サイバー攻撃の目的をご存じですか?サイバー攻撃は主に金銭や機密情報の窃取といった目的で行われます。近年はセキュリティ対策が手薄な中小企業が狙われ、個人情報漏えいやサービス停止といった大きな被害にあう事例が後を絶ちません。本記事ではサイバー攻撃の目的から攻撃者の正体、対策までを解説します。
サイバー攻撃の現状
サイバー攻撃とはシステムやサーバなどに対しデータの窃取、改ざん、破壊などを行う行為の総称です。
総務省が公表した「情報通信白書令和6年版」によると、NICT(国立研究開発法人情報通信研究機構)が観測したダークネット観測の通信数は、2022年に約6,197億パケットに達しました。
2015年と比較して約9.8倍に増加し、各IPアドレスに対し、14秒に1回の頻度で攻撃が観測されるほどサイバー攻撃は活発化しています。
この現状は企業規模や業種を問わず、全ての組織がサイバー攻撃の標的となりうることを示しているといえるでしょう。
参考:令和6年版情報通信白書 サイバーセキュリティの動向(総務省)
サイバー攻撃の目的
サイバー攻撃はさまざまな動機に基づいて行われており、目的の理解は適切なセキュリティ対策を講じるために重要です。主な目的は以下の通りです。
経済的利益
現代のサイバー攻撃における最も主要な動機は、金銭的な利益の獲得です。攻撃者にとって企業が保有する個人情報、クレジットカード情報、取引先の機密情報などは、現金化できる「資産」と見なされています。
そのため豊富な「資産」を持つ大企業だけでなく、セキュリティが十分でない中小企業も費用対効果の高いターゲットとして積極的に狙われる傾向にあります。
金銭の直接的な窃取・要求
金銭を得るための直接的な手法として、広く知られているのがランサムウェア攻撃です。
ランサムウェア攻撃とは企業のサーバやパソコン内のデータを暗号化して使用不能にし、そのデータを復旧させることと引き換えに高額な身代金を要求する攻撃手法です。近年では単にデータを暗号化するだけでなく、「窃取したデータを公開する」と脅して支払いを強要する「二重脅迫(ダブルエクストーション)」が主流となっています。
身代金を支払ってもデータが完全に復旧される保証はなく、攻撃者に「支払いに応じる企業」と認識され、さらなる攻撃の標的となるリスクが高まります。
そのため、要求に応じるのではなく侵入を防ぐ対策やバックアップ取得の徹底が重要です。
情報資産の現金化
情報がお金になる時代です。攻撃者は、企業から窃取した情報資産を売買することでも利益を得ます。
盗み出された個人情報、クレジットカード情報、企業の技術情報や顧客リストといった機密情報は「ダークウェブ」と呼ばれる、通常はアクセスできないインターネット空間で取引されます。
これらの情報は別のサイバー犯罪者によってフィッシング詐欺や不正アクセス、なりすましといった二次的な犯罪に悪用されるため、被害がさらに拡大する恐れがあるのです。
自社が保有する情報資産の重要性を再認識し、守るためのセキュリティ対策を講じることは重要な経営課題といえるでしょう。
コンピュータリソースの無断利用
他者のコンピュータをマルウェアに感染させ、その計算能力(リソース)を無断で利用する攻撃も存在します。代表的な例が仮想通貨を生成(マイニング)する処理を不正に行わせる「クリプトジャッキング」です。
また、乗っ取った多数のコンピュータで「ボットネット」と呼ばれるネットワークを構築する場合もあります。
ボットネットは主に以下の2つの目的で悪用されます。
- 特定のWebサイトへの直接的なDDoS攻撃
- 他の犯罪者への「DDoS攻撃代行サービス」としての貸し出し
自社のコンピュータが気付かぬうちに不正利用された場合、サイバー攻撃の加害者とみなされ損害賠償を受けるケースもあるため、注意すべき攻撃です。
戦略的・組織的優位性
サイバー攻撃の中には個人の利益ではなく、国家や競合企業といった組織が背景に存在し戦略的な優位性を得るために実行されるものがあります。
セキュリティ対策が手薄になりがちな取引先の中小企業が、侵入の「踏み台」として狙われるケースもあるため対策は必須です。
政治・軍事目的
国家が背後で支援する攻撃グループの標的は、他国の政府機関や重要インフラです。
活動は外交や安全保障に関わる機密情報を盗み出すスパイ活動から、電力網、交通システムといった社会インフラを有事の際に機能不全に陥らせ社会に混乱を巻き起こすサイバー攻撃まで多岐にわたります。
平時から標的のシステムに侵入して潜伏し、有事の際にシステムを破壊する「サイバー戦争」に備えるといった動きも確認されています。
直接の標的となりうる重要インフラ関連企業だけでなく、そのサプライチェーンを構成する企業にもセキュリティ対策が求められるのです。
産業スパイ・競合他社への妨害
ビジネス上の競争優位性を得るために、サイバー攻撃が用いられるケースもあります。
代表的なケースが競合他社の新製品開発情報、独自の技術データ、顧客リスト、経営戦略といった企業の知的財産を盗み出す「産業スパイ」です。これにより、他社に先んじてビジネスを有利に進めることが可能になります。
また、競合他社のWebサイトやオンラインサービスに対してDDoS攻撃を仕掛け、販売機会の損失やブランドイメージの低下を狙うといった直接的な妨害行為も行われます。
技術や情報が重要な現代において、産業スパイや妨害行為は経営に致命的なダメージを与えかねない脅威といえるでしょう。
思想・信条の主張
金銭や戦略的利益ではなく、特定の政治的・社会的な思想や信条を主張するためにサイバー攻撃を行う者たちもいます。このような活動は「ハクティビズム」と呼ばれ、サイバー攻撃を正当な抗議活動であると認識しています。
彼らは自分たちの主張に反する政府機関、国際機関、企業のWebサイトを改ざんして政治的なメッセージを掲載したり、DDoS攻撃によってサービスを停止させたりするのです。
利益目的ではありませんが、企業の事業活動に支障をきたし社会的な信用を失墜させるという点では、他のサイバー攻撃と同様に大きな脅威といえます。
個人的な感情・欲求
サイバー攻撃の中には、個人的な恨みや復讐、あるいは自己顕示欲といった感情的な動機に基づく攻撃も存在します。
職場での不満から従業員が内部情報を漏えいしたり、元従業員が組織のシステムに侵入しデータを破壊したりするケースです。
また、金銭などの実利的な見返りがなくても単に他人が困る様子を見て楽しむ愉快犯や、自らのハッキング技術の高さを世に知らしめたいという自己顕示欲を満たすために攻撃を行う者もいます。
これらの攻撃は動機が個人的であるため予測が難しい攻撃といえるでしょう。
他の攻撃のための準備
サイバー攻撃の中にはそれ自体が最終目的ではなく、より大規模で深刻な攻撃を成功させるための準備段階として実行されるものがあります。その典型例がサプライチェーン攻撃で用いられる「踏み台」の確保です。
攻撃者はセキュリティ対策が強固な大企業や政府機関を直接狙わず、まずセキュリティ対策が比較的脆弱な取引先に侵入します。
そして、その侵入した中小企業のシステムを足がかり(踏み台)として利用し、信頼された通信を装って本命である大企業のネットワークへの侵入を試みます。
本命のターゲット企業は信頼された取引先との通信は許可している場合が多いため、その通信に攻撃を紛れ込ませることで防御システムに異常を検知されづらくなるのです。
自社を守る対策が、結果的に取引先や社会全体を守ることにつながるという意識が重要です。
サイバー攻撃の目的の変化
サイバー攻撃の主な目的は、インターネットの発展とともに大きく変化してきました。
インターネットが普及し始めたころは自らの技術力を試したり、世間を騒がせたりすることを目的とした愉快犯的な攻撃が中心でした。しかし、インターネットが爆発的に普及し経済活動に不可欠なインフラとなった現代では、金銭を直接的な目的とする攻撃が圧倒的多数を占めるようになっています。
近年では、ランサムウェアをサービスとして提供するRaaS事業者や攻撃対象への侵入を専門に受け持つアクセスブローカーといった専業化・分業化が進んでいます。
これらのサービス利用により、誰でもサイバー攻撃が可能な時代になったといえるでしょう。
サイバー攻撃は誰が仕掛けるのか
攻撃者の正体を知ることは、彼らの動機や標的を予測し、より効果的な対策を立てる上で重要です。本章では、主な攻撃者について解説します。
犯罪組織
現代のサイバー攻撃の多くは、金銭的利益の獲得を目的とする組織化された犯罪グループによって実行されています。
犯罪組織にとってサイバー攻撃はランサムウェア攻撃で企業から直接身代金を脅しとったり、窃取した個人情報や機密情報をダークウェブで売買したりする「ビジネス」です。目的達成のためには手段を選ばず、常に新しい攻撃手法や脆弱性を利用して攻撃を仕掛けます。
さらに、彼らは費用対効果を重視するため、身代金の支払能力がある病院や製造業だけでなく、侵入が容易と判断した中小企業も積極的に標的とします。
効率性を追求するビジネスとして確立しており、あらゆる組織にとって身近で警戒すべき攻撃者といえるでしょう。
国家支援グループ
特定の国家の指示や支援を受けて活動する、高度な技術力を持つ攻撃者グループも存在します。これらは一般に「APTグループ(Advanced Persistent Threat:持続的標的型攻撃)」と呼ばれます。
主な目的は以下の様に政治的・軍事的なものが中心です。
- 他国の政府機関や軍事関連企業、あるいは先進技術を持つハイテク企業の機密情報を盗むスパイ活動
- 有事の際に電力・通信といった重要インフラを機能不全に陥らせる破壊活動
潤沢な資金と時間を背景に、目的を達成するためには何年にもわたって標的のシステム内を潜伏し続けることもあります。
サプライチェーンの踏み台にされる恐れがあるため、中小企業であっても警戒しなければならない攻撃者といえるでしょう。
ハクティビスト
「ハクティビスト」とは、ハッキング(Hacking)と活動家(Activist)を組み合わせた造語で、政治的・社会的な思想や信条を主張するためにサイバー攻撃を行う集団や個人を指します。
日本でも特定の社会問題などをテーマに、関連する企業やWebサイトが海外のハクティビスト「アノニマス」から攻撃を受ける事例が実際に発生しました。
彼らの目的は自分たちの主張に反する政府機関や企業に対して、社会的な抗議の意思を示すことです。
主な攻撃手法は以下の通りです。
- Webサイトを改ざんして自身のメッセージを発信
- DDoS攻撃によってサービスを停止に追い込む
金銭的な利益を目的としないものの、企業の事業継続に打撃を与え社会的な信用を失墜させるという点で大きな脅威といえるでしょう。
内部関係者
企業の従業員や元従業員、業務委託先の社員といった組織の内部情報にアクセスできる人間が攻撃者となるケースも少なくありません。その動機は解雇や処遇に対する個人的な恨み、復讐、不当な解雇への報復、金銭的な困窮、あるいは競合他社への情報提供などさまざまです。
内部関係者は正規のアクセス権限を悪用して犯行に及ぶため、外部からの攻撃に比べて検知が困難であるという点が特徴です。
また、システムの弱点や重要な情報のありかを熟知しているため、一度攻撃が発生すると被害が深刻化しやすい傾向にあり危険な存在といえます。
愉快犯
サイバー攻撃の中には、金銭や機密情報といった具体的な利益を目的とせず、愉快犯的な動機で行われるものがあります。
昔ながらのハッカー像としてイメージされる、自らの技術力を誇示したいという自己顕示欲や、好奇心、単なるいたずらが目的の攻撃です。
愉快犯による攻撃は無差別に標的を狙う点が特徴で、セキュリティ対策が不十分な中小企業のWebサイトやシステムを無作為に狙います。近年は「腹いせ」でサイバー攻撃代行サービスを利用して安価に攻撃する事例もあります。
たとえ直接的な金銭被害がなくとも、Webサイトの改ざんやサービス停止は企業の信用が大きく損なわれるでしょう。
「自社には価値ある情報はない」と考えるのではなく、基本的な対策を徹底し、予期せぬ攻撃に備えることが重要です。
サイバー攻撃の種類
攻撃手法は多岐にわたり、目的を達成するために複数の手口が組み合わせて使用されることが一般的です。
代表的なサイバー攻撃は以下の通りになります。
| 目的 | 主な手口 | 概要 |
| 金銭目的 | ランサムウェア攻撃 | データを暗号化し、復旧と引き換えに身代金を要求する |
| フィッシング詐欺 | 偽のメールやWebサイトで、IDやパスワード、個人情報を盗む | |
| ビジネスメール詐欺 (BEC) | 経営者や取引先になりすまし、偽の送金指示などを行う | |
| 情報窃取 | 標的型攻撃メール | 特定の組織や個人を狙い、業務に関係があるように装ったメールでマルウェアに感染させる |
| ゼロデイ攻撃 | OSやソフトウェアの脆弱性が公表・修正される前に攻撃する前に攻撃する | |
| SQLインジェクション | データベースに不正な命令を送り、情報を窃取・改ざんする | |
| 業務妨害 | DDoS攻撃 | 複数の機器から標的のサーバに大量のアクセスを集中させ、サービスを停止させる |
| Webサイト改ざん | Webサイトのコンテンツを、政治的メッセージや不適切な画像などに書き換える | |
| 不正アクセス全般 | パスワードリスト攻撃 | 他のサービスから漏えいしたID・パスワードのリストを使い、不正ログインを試みる |
| ブルートフォース攻撃 | パスワードを解読するために、考えられる全ての文字列の組み合わせを総当たりで試行する |
これらの攻撃は巧妙化、高度化しており、自社がどの攻撃の標的になりやすいかを理解し、適切な対策を講じることが重要です。
サイバー攻撃の事例
サイバー攻撃の事例を知ることは、自社がどのような被害を被るかを想定し、対策を講じる際の参考になります。
国内で発生し、大きな影響を与えた主なサイバー攻撃事例は以下の通りです。
ランサムウェア攻撃による大規模情報漏えいの事例
国内のエンタメ企業がハッカー集団によるサイバー攻撃を受け、データ暗号化による身代金要求と、盗んだ情報を公開すると脅す「二重脅迫」を受けました。主要サービスおよび社内業務の長期停止、さらに個人情報を含む大規模なデータ漏えいを受け事業全体が深刻な打撃を受けたのです。
主要なサービスは再開するまでに約2カ月を要し、一部のサービスはそのまま廃止を余儀なくされています。
特に金銭的な被害は甚大で、「売上機会の損失」に加えて、原因調査やシステム再構築にかかる高額な「復旧コスト」という、二重の負担を強いられました。
まさに金銭、業務、信頼という、企業活動の根幹を成す全てが同時に破壊されるランサムウェア攻撃のおそろしさを象徴する事例といえるでしょう。
サプライチェーン攻撃による生産ライン停止の事例
自動車部品メーカーの子会社が保有するVPN装置の脆弱性をつかれ社内ネットワークに侵入、その後、ラテラルムーブメント(水平移動)で自動車部品メーカーまで侵入された事例です。
その後、自動車部品メーカーのシステムがランサムウェアの攻撃を受け停止し、部品発注システムが機能不全に陥りました。その結果、部品製造が困難となり重要な取引先である自動車メーカーは国内の全工場を停止する措置を余儀なくされたのです。
自動車製造そのものは翌日再開されましたが、経済的損失は計り知れない規模と見られます。
自社に重要な機密情報がなくても「自社が止まると、取引先が止まる」という事実が、サプライチェーンを構成する企業にとっていかに重大なリスクであるかを示した事例といえるでしょう。
パスワードリスト攻撃によるサービス廃止の事例
大手コンビニエンスストアの決済サービスに、他のサービスから流出したと思われるID・パスワードを利用した大規模なパスワードリスト攻撃が行われました。
さらに、このサービスには2段階認証が導入されておらず、パスワード再設定機能にも不備があったため攻撃の被害が爆発的に拡大したのです。
結果、第三者によるアカウントの乗っ取りと不正利用が多発し、サービスは開始からわずか3カ月で全面廃止という結末を迎えました。
セキュリティ設計の不備により、事業の失敗、巨額の機会損失、そしてブランドイメージの失墜という、計り知れない代償を払うことになった事例といえます。
サイバー攻撃の対策
これまで見てきたように、サイバー攻撃は多様化しその手法も巧妙です。新たな脆弱性が日々発見されており、サイバー攻撃を100%防ぎきることは難しいといえます。
そのため、自社の目的、予算、リソースに合わせて複数の防御策を組み合わせ、たとえ一部が突破されても次の層で食い止める「多層防御」の考え方が重要です。
主な対策をご紹介します。
検知装置の導入
サイバー攻撃対策の基本は、攻撃の侵入を防ぎ、侵入された場合でもいち早く検知するためのセキュリティ製品を導入することです。
具体的には、ネットワークの出入り口で不正な通信を監視・遮断するIPS/IDSや、その先にあるパソコンやサーバを守る内部対策としてのEPP(Endpoint Protection Platform)です。
さらに近年では、侵入されることを前提とし、侵入後の不審な挙動を検知して迅速な対応を支援する「EDR(Endpoint Detection and Response)」の重要性が高まっています。
このように「入口対策」「内部対策」「侵入後対策」という多層防御を組み合わせることが、攻撃の検知と被害の最小化につながるのです。
認証の厳格化
不正アクセスを防ぐ上で、IDとパスワードによる本人確認(認証)を強化することは重要です。
多くのサービスで利用されるパスワードは漏えいや使い回しによって容易に破られる恐れがあります。そこで知識情報(パスワードなど)、所持情報(スマートフォンなど)、生体情報(指紋・顔など)のうち2つ以上を組み合わせる「多要素認証(MFA)」が有効です。
これにより、パスワードが漏えいしても、不正ログインの危険性を低減することができます。
また近年は、パスワード自体を使わない「パスキー認証」や、複数のクラウドサービスの認証情報を一元管理する「IDaaS」の活用も有効な手段です。
正規のIDが乗っ取られると本人と攻撃者の見分けがつかずに被害が深刻化するため、認証の厳格化は必須の対策といえるでしょう。
脆弱性管理
ソフトウェアやOS、通信機器に存在するセキュリティ上の弱点である「脆弱性」を放置することは、極めて危険です。まずは、自社が保有するIT資産を正確に把握し、それぞれに潜む脆弱性を継続的に管理する体制を構築する必要があります。
ソフトウェア開発元からセキュリティパッチが提供された際には、可能な限り速やかに適用することが基本です。特に重要な脆弱性は、対応の遅れが深刻なリスクにつながる可能性があります。
しかし、パッチ適用に伴う一時的なシステム停止を懸念して対応を先延ばしにしてしまうと、サイバー攻撃を受けるリスクが高まり、結果として事業停止や情報漏えいといった重大な被害に発展しかねません。
こうしたリスクを回避するためにも、脆弱性対応は都度の判断ではなく、あらかじめ計画された運用ルールに基づいて実施することが重要です。計画的かつ継続的な脆弱性管理こそが、事業の継続性と信頼性を高める鍵といえるでしょう。
従業員の教育
どれだけ高度なセキュリティシステムを導入しても、それを利用する人の意識が低ければ効果は半減します。
従業員が不用意にメールの添付ファイルを開いたり、安易なパスワードを設定・使い回したりして、マルウェアに感染しては意味がありません。
フィッシングメールの見分け方、安全なパスワード管理、社内情報の取り扱いルールなどを周知徹底することで、ヒューマンエラーによるインシデントを低減できます。
また、従業員のセキュリティ意識の向上は、内部不正の抑止やシステムの異常を早期に発見する効果も期待できます。
従業員への教育は企業が行える最も基本的かつ、必須のセキュリティ対策といえるでしょう。
まとめ
サイバー攻撃の目的はかつての愉快犯的なものから、金銭の窃取や国家間のスパイ活動といった、より組織的で悪質なものへと大きく変化しています。
攻撃者はセキュリティ対策が手薄な企業をターゲットとしており、「自社は狙われない」という考えはもはや通用しません。
自社が保有する情報資産の価値とそれが狙われる危険性を正しく認識し、自社の状況に合わせたセキュリティ体制を構築していくことが、現代の企業に求められる重要な責務といえるでしょう。
IPAの「10大脅威2025」について詳細や対策をまとめた資料を公開しています。以下よりダウンロードできますのでぜひご活用ください。
