サイバー攻撃とは

サイバー攻撃とは何ですか?

サイバー攻撃とは、ネットワークやコンピュータ・システムまたはデジタル・デバイスへの不正アクセスを通じて、データやアプリケーションまたはその他の資産の窃盗や暴露、変更、無効化または破壊を意図する行為です。

脅威アクターは、軽微な窃盗から戦争行為に至るまで、あらゆる種類の理由でサイバー攻撃を開始します。マルウェア攻撃、ソーシャル・エンジニアリング詐欺、パスワードの窃盗など、さまざまな手口を使って標的のシステムに不正アクセスをおこないます。

サイバー攻撃はビジネスを混乱させ、損害を与え、さらには破壊する可能性があります。データ侵害の平均コストは435 万米ドルです。この値札には、違反の発見と対応にかかるコスト、ダウンタイムと収益の損失、企業とそのブランドに対する長期的な風評被害が含まれています。

しかし、一部のサイバー攻撃は他の攻撃よりもはるかに高いコストがかかる可能性があります。ランサムウェア攻撃により、4,000 万米ドルもの身代金の支払いが要求されました（ibm.com外部へのリンク）。ビジネスメール詐欺（BEC）は、1回の攻撃で被害者から 4,700 万米ドルもの金額を盗みました（ibm.com外部へのリンク）。顧客の個人情報（PII）を侵害するサイバー攻撃は、顧客の信頼の喪失、規制当局により科される罰金、さらには法的措置につながる可能性があります。ある調査では、サイバー犯罪は2025年までに世界経済に年間10.5兆米ドルの損害を与える可能性があると推計されています（ibm.com外部へのリンク）。

データ侵害のコスト

最新のデータ侵害コストレポートを使用して、データ侵害のリスクをより適切に管理するためのインサイトを入手します。

関連コンテンツ

X-Force Threat Intelligenceインデックスに登録する

サイバー攻撃はなぜ起こるのでしょうか?

サイバー攻撃の背後にある動機はさまざまですが、主に次の3つのカテゴリーに分類されます。

犯罪的
政治的
個人的

犯罪的な動機に基づく攻撃者は、金銭の窃盗、データの窃盗、ビジネスの妨害を通じて金銭的な利益を得ようとします。サイバー犯罪者は、銀行口座をハッキングして直接お金を盗んだり、ソーシャル・エンジニアリング詐欺を利用して人々を騙して送金させたりすることがあります。ハッカーはデータを盗み、個人情報の窃盗に使用したり、ダークウェブ上で販売したり、身代金として保持したりする可能性があります。

恐喝は使用されるもう1つの戦術です。ハッカーはランサムウェア、DDoS 攻撃、またはその他の戦術を使用して、企業が支払いを行うまでデータやデバイスを人質に取る可能性があります。しかし最新のX-Force Threat Intelligence Indexによると、サイバーインシデントの32%は恐喝のための暗号化ではなく、データの窃盗と販売に関係しています。

不満を抱いている現従業員や元従業員など、個人的な動機を持つ攻撃者は、主に、軽視された一部の従業員に対する報復を求めます。金銭を盗んだり、機密データを盗んだり、企業のシステムを混乱させたりする可能性があります。

政治的動機を持つ攻撃者は、サイバー戦争、サイバーテロ、または「ハクティビズム」と関連付けられることがよくあります。サイバー戦争では、国家主体が敵の政府機関や重要インフラを標的にすることがよくあります。例えば、ロシア・ウクライナ戦争の勃発以来、両国は重要な機関に対するサイバー攻撃を多発させています（ibm.com外部のリンク）。「ハクティビスト」と呼ばれる活動的なハッカーは、ターゲットに大きな損害を与えることはありません。その代わりに、彼らは通常、自分たちの攻撃を世間に知らせることで、その原因について注目を集めようとします。

あまり一般的ではないサイバー攻撃の動機としては、ハッカーが知的財産を盗んで競合他社より不当に優位に立つという企業スパイ行為や、システムの脆弱性を利用して周囲に警告する自警団ハッカーなどがあります。ハッカーの中には、単にスポーツとしてハッキングを行い、知的挑戦を楽しむ人もいます。

サイバー攻撃の背後にいるのは誰ですか?

犯罪組織、国家機関、個人はいずれもサイバー攻撃を開始する可能性があります。脅威アクターを分類する1つの方法は、脅威を外部脅威または内部脅威として分類することです。

外部からの脅威はネットワークやデバイスの使用を許可されていませんが、とにかく侵入します。外部のサイバー脅威アクターには、組織化された犯罪グループ、プロのハッカー、国家支援のアクター、アマチュアハッカー、ハクティビストなどが含まれます。

インサイダー脅威とは、企業の資産への正当なアクセス権を持ち、故意または偶発的に権限を悪用するユーザーのことです。このカテゴリには、システムにアクセスできる従業員、ビジネスパートナー、顧客、請負業者、およびサプライヤーが含まれます。

不注意なユーザーが会社を危険にさらす可能性がありますが、ユーザーが意図的に権限を使用して悪意のある活動を実行する場合、それはサイバー攻撃にすぎません。機密情報を安全でないドライブに不用意に保存する従業員はサイバー攻撃を行っているわけではありませんが、不満を抱いた従業員が個人的な利益のために故意に機密データのコピーを作成している場合はサイバー攻撃を行っています。

サイバー攻撃のターゲットは何ですか?

攻撃者は通常、特定の何かを狙ってコンピュータネットワークに侵入します。一般的なターゲットには以下が含まれます。

お金
企業の財務データ
クライアントリスト
個人識別情報 (PII) またはその他の機密個人データを含む顧客データ
メールアドレスとログイン資格情報
企業秘密や製品デザインなどの知的財産

場合によっては、サイバー攻撃者は何かを盗もうとはまったく思っていません。むしろ、情報システムやITインフラストラクチャを混乱させて、企業、政府機関、またはその他の標的に損害を与えたいだけです。

サイバー攻撃はビジネスにどのような影響を及ぼしますか?

サイバー攻撃が成功すると、企業に損害を与える可能性があります。ダウンタイム、データ損失、金銭的損失を引き起こす可能性があります。例：

ハッカーはマルウェアまたはサービス拒否攻撃を使用して、システムまたはサーバーのクラッシュを引き起こす可能性があります。このダウンタイムは、大規模なサービスの中断や経済的損失につながる可能性があります。データ侵害のコストに関する調査によると、平均的なデータ漏洩は142万米ドルの機会損失をもたらします。
SQL インジェクション攻撃により、ハッカーはシステムからデータを変更、削除、または盗むことができます。
フィッシング攻撃により、ハッカーは人々をだまして金銭や機密情報を送金させることができます。
ランサムウェア攻撃は、企業が攻撃者に身代金を支払うまでシステムを無効にする可能性があります。あるレポート（ibm.com外部へのリンク）によると、身代金の平均支払い額は812,360米ドルです。

サイバー攻撃は、ターゲットに直接的な損害を与えるだけでなく、多くの二次的なコストや結果をもたらす可能性があります。例えば、データ侵害のコストに関する調査によると、企業は侵害の検知、対応、修復に平均262万米ドルを費やしています。

サイバー攻撃は、直接の標的を超えて被害者に影響を及ぼす可能性もあります。2021年、DarkSideランサムウェア・ギャングが米国最大の精製石油パイプライン・システムであるColonial Pipeline社を攻撃しました。攻撃者は、漏洩したパスワードを使用して同社のネットワークに侵入しました（ibm.com外部へのリンク）。米国東海岸に供給されるガス、ディーゼル、ジェット燃料の45％を運ぶパイプラインを閉鎖し、広範囲にわたる燃料不足につながりました。

サイバー犯罪者が要求した身代金はビットコイン暗号通貨で約500万米ドルにおよび、Colonial Pipeline社はそれを支払いました（ibm.com外部へのリンク）。しかし米国政府の支援により、同社は最終的に230万米ドルの身代金を回収しました。

サイバー攻撃の一般的な種類は何ですか?

サイバー犯罪者は多くの高度なツールや技術を使用して、企業のITシステム、パーソナル・コンピューター、その他のターゲットに対してサイバー攻撃を仕掛けます。最も一般的なサイバー攻撃の種類には、以下のようなものがあります。

マルウェア

マルウェアは、感染したシステムを動作不能にする可能性のある悪意のあるソフトウェアです。マルウェアは、データを破壊したり、情報を盗んだり、オペレーティングシステムの実行機能に重要なファイルを消去したりする可能性があります。マルウェアには、次のようなさまざまな形態があります。

トロイの木馬は、有用なプログラムを装ったり、正規のソフトウェア内に隠れたりして、ユーザーをだましてインストールさせます。リモートアクセストロイの木馬 (RAT) は被害者のデバイスに秘密のバックドアを作成しますが、ドロッパートロイの木馬は足場を築くと追加のマルウェアをインストールします。
ランサムウェアは、強力な暗号化を使用してデータやシステムを人質に取る高度なマルウェアです。その後サイバー犯罪者は、システムを解放し、機能を回復することと引き換えに支払いを要求します。IBMのX-Force Threat Intelligence Indexによると、ランサムウェアはサイバー攻撃の中で2番目に多く使われる攻撃であり、全体の17%を占めています。
スケアウェアは偽のメッセージを使用して被害者を脅し、マルウェアをダウンロードさせたり、機密情報を詐欺師に渡したりさせます。
スパイウェアは、ユーザー名、パスワード、クレジットカード番号などの機密情報を密かに収集するマルウェアの一種です。そしてこの情報をハッカーに送り返します。
ルートキットは、ハッカーがコンピュータのオペレーティング・システムやその他の資産に管理者レベルのアクセスを取得できるようにするマルウェア・パッケージです。
ワームは自己複製する悪意のあるコードであり、アプリとデバイス間で自動的に拡散する可能性があります。

ソーシャル・エンジニアリング

ソーシャル・エンジニアリング攻撃は、共有すべきではない情報の共有、ダウンロードすべきではないソフトウェアのダウンロード、犯罪者への送金など、行うべきではないことを行うように人々を操作します。

フィッシングは最も蔓延しているソーシャル・エンジニアリング攻撃の1つです。データ侵害のコストに関する調査によると、データ漏洩の原因としては2番目に多いものです。最も基本的なフィッシング詐欺は、偽のEメールやテキスト・メッセージを使用して、ユーザーの認証情報を盗んだり、機密データを流出したり、マルウェアを拡散したりします。フィッシング・メッセージは、正規の送信元から送信されているかのように見えるように設計されていることがよくあります。たいていの場合、被害者はハイパーリンクをクリックして悪意のあるWebサイトにアクセスするか、マルウェアであるEメールの添付ファイルを開くよう指示されます。

サイバー犯罪者は、より洗練されたフィッシング方法も開発しています。スピア・フィッシングは、特定の個人を操作することを目的とした高度に標的を絞った攻撃であり、多くの場合、被害者の公開ソーシャル・メディア・プロフィールの詳細を使用して、策略をより説得力のあるものにします。ホエール・フィッシングはスピア・フィッシングの一種で、特に企業の上級役員をターゲットにしています。ビジネスメール（BEC）詐欺では、サイバー犯罪者が経営者、ベンダー、その他のビジネス関係者を装い、被害者をだまして送金や機密データの共有をさせます。

サービス妨害攻撃

サービス拒否 (DoS) 攻撃および分散型サービス拒否 (DDoS) 攻撃システムのリソースを不正なトラフィックであふれさせます。このトラフィックによりシステムが過負荷になり、正当なリクエストへの応答が妨げられ、システムの実行能力が低下します。サービス拒否攻撃は、それ自体が目的である場合もあれば、別の攻撃のセットアップである場合もあります。

DoS 攻撃と DDoS 攻撃の違いは単純に、DoS 攻撃は単一のソースを使用して不正なトラフィックを生成するのに対し、DDoS 攻撃は複数のソースを使用するという点です。DDoS 攻撃は、ハッカーの制御下にあるインターネットに接続されたマルウェアに感染したデバイスのネットワークであるボットネットを使用して実行されることがよくあります。ボットネットには、ラップトップ、スマートフォン、モノのインターネット (IoT) デバイスが含まれる場合があります。被害者は、ボットネットがいつ自分のデバイスを乗っ取ったかを知らないことがよくあります。

アカウント侵害

アカウント侵害ハッカーが悪意のある活動のために正規のユーザーのアカウントを乗っ取るあらゆる攻撃です。サイバー犯罪者はさまざまな方法でユーザーのアカウントに侵入する可能性があります。フィッシング攻撃を通じて資格情報を盗んだり、ダークウェブから盗まれたパスワードデータベースを購入したりする可能性があります。彼らは、Hashcat や John the Ripper などのパスワード攻撃ツールを使用して、パスワードの暗号化を解読したり、自動化されたスクリプトやボットを実行して潜在的なパスワードを生成し、機能するまでテストするブルートフォース攻撃を仕掛けたりする可能性があります。

中間者攻撃

「盗聴攻撃」とも呼ばれる中間者 (MiTM) 攻撃では、ハッカーが 2 人の間、またはユーザーとサーバーの間の通信を密かに傍受します。MitM 攻撃は一般に、セキュリティで保護されていない公衆 Wi-Fi ネットワークを介して実行され、攻撃者がトラフィックをスパイするのは比較的簡単です。

ハッカーはユーザーの電子メールを読んだり、受信者に届く前に秘密裏に電子メールを変更したりする可能性があります。セッションハイジャック攻撃では、ハッカーはユーザーと、企業の機密データベースなどの重要な資産をホストするサーバーとの間の接続を中断します。ハッカーは自分の IP アドレスをユーザーの IP アドレスと交換し、サーバーに自分が正規のセッションにログインしている正規のユーザーであると認識させます。これにより、ハッカーは自由にデータを盗んだり、大混乱を引き起こしたりすることができます。

サプライチェーン攻撃

サプライチェーン攻撃ハッカーがソフトウェアベンダー、材料サプライヤー、その他のサービスプロバイダーをターゲットにして企業に侵入するサイバー攻撃です。ベンダーは多くの場合何らかの方法で顧客のネットワークに接続しているため、ハッカーはベンダーのネットワークを攻撃ベクトルとして使用して、一度に複数のターゲットにアクセスする可能性があります。

たとえば、2020年にロシアの国家関係者がソフトウェア・ベンダーのSolarWinds社をハッキングし、ソフトウェア・アップデートを装って顧客にマルウェアを配布しました（ibm.com外部へのリンク）。このマルウェアにより、ロシアのスパイは、SolarWinds社のサービスを利用して、財務省、司法省、国務省を含むさまざまな米国政府機関の機密データにアクセスすることができました。

他の種類のサイバー攻撃

クロスサイトスクリプティング (XSS)

クロスサイトスクリプティング (XSS) 攻撃は、正規の Web ページまたは Web アプリケーションに悪意のあるコードを挿入します。ユーザーがサイトまたはアプリにアクセスすると、ユーザーの Web ブラウザーでコードが自動的に実行され、通常は機密情報が盗まれたり、なりすましの悪意のある Web サイトにユーザーがリダイレクトされます。攻撃者は XSS 攻撃に JavaScript を頻繁に使用します。

SQL インジェクション

SQL インジェクション攻撃は、構造化照会言語 (SQL) を使用して、Web サイトまたはアプリのバックエンドデータベースに悪意のあるコマンドを送信します。ハッカーは、検索バーやログインウィンドウなどのユーザーに表示されるフィールドからコマンドを入力します。その後、コマンドがデータベースに渡され、クレジットカード番号や顧客の詳細などの個人データを返すように求められます。

DNS トンネリング

DNS トンネリングは、DNS パケット内に悪意のあるトラフィックを隠し、ファイアウォールやその他のセキュリティ対策をバイパスできるようにします。サイバー犯罪者は、DNS トンネリングを使用して秘密の通信チャネルを作成し、これを使用してデータをサイレントに抽出したり、マルウェアとコマンドアンドコントロール (C&C) サーバー間の接続を確立したりできます。

ゼロデイエクスプロイト

ゼロデイエクスプロイトは、ゼロデイ脆弱性を利用します。ゼロデイ脆弱性とは、セキュリティコミュニティに知られていない、または特定されているもののパッチがまだ適用されていない脆弱性です。これらの脆弱性は、開発者が欠陥を知るまでに数日、数か月、または数年も存在する可能性があり、ハッカーの主な標的となります。

ファイルレス攻撃

ファイルレス攻撃は、正規のソフトウェアプログラムの脆弱性を利用して、悪意のあるコードをコンピュータのメモリに直接挿入します。サイバー犯罪者は多くの場合、Microsoft Windows オペレーティングシステムに組み込まれているスクリプトツールである PowerShell を使用して、構成を変更したりパスワードを盗んだりする悪意のあるスクリプトを実行します。

DNS スプーフィング

「DNS ポイズニング」とも呼ばれる DNS スプーフィング攻撃は、DNS レコードを秘密裏に編集して、Web サイトの実際の IP アドレスを偽の IP アドレスに置き換えます。被害者が実際のサイトにアクセスしようとすると、知らないうちに悪意のあるコピーに誘導され、データが盗まれたり、マルウェアが拡散されたりします。

サイバー攻撃の防止、検出、対応

組織はサイバーセキュリティー・システムと戦略を導入することでサイバー攻撃を軽減できます。サイバーセキュリティーとは、テクノロジー、人材、プロセスを組み合わせて、重要なシステムや機密情報をデジタル攻撃から保護する技法です。

サイバー攻撃の防止

多くの組織は、最も重要な資産とリソースを特定して保護するために、脅威管理戦略を導入しています。脅威管理には、次のようなポリシーとセキュリティソリューションが含まれる場合があります。

最小特権アクセス、多要素認証、強力なパスワードポリシーなどのIDおよびアクセス管理（IAM）プラットフォームとポリシーは、適切な人だけが適切なリソースにアクセスできるようにするのに役立ちます。企業は、リモートの従業員が安全でないWi-Fi経由で機密リソースにアクセスする場合、仮想プライベート・ネットワーク（VPN）の使用を要求する場合もあります。
包括的なデータ・セキュリティー・プラットフォームとデータ損失防止（DLP）ツールは、機密データを暗号化し、そのアクセスと使用状況を監視し、不審なアクティビティーが検知されたときに警告を発することができます。組織は、侵害が発生した場合の被害を最小限に抑えるために、定期的にデータのバックアップを作成することもできます。
ファイアウォールは、そもそも脅威アクターがネットワークに侵入するのを防ぐのに役立ちます。ファイアウォールは、コマンドアンドコントロールサーバーと通信しようとするマルウェアなど、ネットワークから流出する悪意のあるトラフィックをブロックすることもできます。
セキュリティー意識向上トレーニングは、ユーザーがフィッシングやその他のソーシャル・エンジニアリング攻撃などの最も一般的なサイバー攻撃ベクトルを特定して回避するのに役立ちます。
パッチ管理スケジュールや定期的なペネトレーション・テストを含む脆弱性管理ポリシーは、ハッカーに悪用される前に脆弱性を発見し、閉鎖するのに役立ちます。
攻撃対象領域管理（ASM）ツールは、潜在的に脆弱な資産をサイバー攻撃者に発見される前に特定、カタログ化、修復できます。
統合エンドポイント管理 (UEM)ツールは、ラップトップ、デスクトップ、モバイルデバイスなど、企業ネットワーク上のすべてのエンドポイントにセキュリティポリシーと制御を適用できます。

サイバー攻撃の検知

サイバー攻撃の試みを完全に防ぐことは不可能であるため、組織は継続的なセキュリティ監視と早期検出プロセスを使用して、進行中のサイバー攻撃を特定してフラグを立てることもできます。例には以下が含まれます:

セキュリティー情報およびイベント管理（SIEM）システムは、侵入検知システム（IDS）、エンドポイントの検知と対応システム（EDRs）、その他のセキュリティー・ソリューションなど、社内のさまざまなサイバーセキュリティー・ツールからのアラートを一元管理し、追跡します。
脅威インテリジェンス・プラットフォームは、セキュリティー・アラートを強化して、セキュリティー・チームが直面する可能性のあるサイバーセキュリティー脅威の種類を理解できるようにします。
ウイルス対策ソフトウェアは、コンピューター・システムを定期的にスキャンして悪意のあるプログラムを検出し、特定されたマルウェアを自動的に駆除します。
プロアクティブな脅威ハンティングプロセスにより、ネットワーク内に密かに潜む高度な持続的脅威 (APT) などのサイバー脅威を追跡できます。

サイバー攻撃への対応

組織は、進行中のサイバー攻撃やその他のサイバーセキュリティイベントに対して適切な対応を確保するための措置を講じることもあります。例には以下が含まれます:

インシデント対応計画は、さまざまな種類のサイバー攻撃を封じ込めて根絶し、影響を受けたシステムを復元し、根本原因を分析して将来の攻撃を防ぐのに役立ちます。インシデント対応計画は、サイバー攻撃の全体的なコストを削減することが示されています。データ侵害のコストに関する調査によると、正式なインシデント対応チームと計画がある組織は、平均して58%も侵害コストが低くなっています。
セキュリティー・オーケストレーション、自動化、レスポンス（SOAR）ソリューションを使用すると、セキュリティー・チームが半自動または完全に自動化されたプレイブックで異種のセキュリティー・ツールを調整し、リアルタイムでサイバー攻撃に対応できるようになります。
拡張検出および対応 (XDR)ソリューションは、ユーザー、エンドポイント、電子メール、アプリケーション、ネットワーク、クラウドワークロード、データなど、すべてのセキュリティ層にわたってセキュリティツールと運用を統合します。XDR は、プロアクティブな脅威ハンティングを含む、複雑なサイバー攻撃の防止、検出、調査、対応プロセスの自動化に役立ちます。