サイバー攻撃の被害件数は世界規模で増加しており、その種類や手口は多様化・巧妙化している。企業はサイバー攻撃の最新の傾向を踏まえて有効なセキュリティ対策を検討する必要があり、そのためには社員一人ひとりがサイバー攻撃に興味を持ち、前提としての理解を深める必要があります。

警察庁の発表^（※1）によると、2022年上半期中に報告されたサイバー犯罪の検挙件数は約5,900件となっており、多くのセキュリティ関係者の多大な努力にも関わらず、過去5年における同時期の件数と比較して最多になったことが明らかにされました。
デジタル化が加速するなか、子どもから高齢者まで幅広い世代がサイバー空間を利用するようになった一方、新しいサービスや技術を悪用した犯罪が続々と発生し、その手口は悪質・巧妙化の一途をたどっています。

※1 参考：令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について

2000年ごろに頻発した、従来型のサイバー攻撃を振り返ってみると、感染したコンピューターのシステムを破壊し、なおかつほかのシステムに潜り込み増殖するワームと呼ばれるマルウェアや、ネットワークから侵入してデータを盗んだり改ざんしたりするものが目立ちました。これらは、ウイルス対策ソフトウェアを稼働し定期的にスキャニングで検査すれば比較的対処できるレベルでした。 しかし、2022年までの間に、SNS、Wi-Fi、ブロードバンド、クラウド、スマートフォン、IoT機器の登場があり、守るべきシステム環境は大幅に多様化、攻撃者の手法も進化しました。 また、新型コロナウイルス感染症の感染拡大により、社外から社内システムへアクセスするテレワーク環境が新たなサイバー攻撃の標的として狙われる傾向があり、サイバー攻撃の状況にも変化が見られます。 警察庁^（※1）の発表によると、テレワークなどで使用するVPN機器やリモートデスクトップの脆弱性を狙って侵入するランサムウェアが増加しており、全体の約8割がテレワークの普及を利用した侵入という結果が出ています。 IPAが発表している「情報セキュリティ10大脅威 組織編」^（※2）においても、リモート接続のセキュリティの脆弱性を狙ったとされるランサムウェアによる被害が1位、次いで標的型攻撃による、組織からの機密情報の窃取がランキングされており、テレワークで勤務する場合のセキュリティ対策の徹底が求められています。 FBI^（※3）の発表によると、世界における2021年のサイバー攻撃による被害額は約9,100億円（1ドル＝130円換算）と前年より約3,550億円増加し、被害が高額化する傾向は止まりません。
さらに、最近のサイバー攻撃の大きな特徴として、ITリテラシーが低い企業から被害が拡大していることが挙げられます。攻撃者は標的とする企業の関連会社や委託先企業など、サプライチェーンの中でセキュリティ対策が脆弱な企業を足がかりとしてサイバー攻撃を仕掛け、標的とする企業の機密情報の窃取や金銭窃取、事業停止を狙います。
警察庁^（※1）によると、2022年上半期にサイバー攻撃を受けた企業の中には復旧に5,000万円以上の費用がかかった事例もあります。
大手企業の海外子会社を踏み台とした国内のシステムへの不正アクセスや医療機関などを狙ったランサムウェア被害も国内外で相次いで発生しており、警戒が必要な状況が続いています。^（※4）

※1 参考：令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について P.5より
※2 参考：IPA_情報セキュリティ10大脅威 2022 組織編
※3 参考：FBI_Internet Crime Report 2021
日本語訳：IPA_情報セキュリティ白書2022 P.8より
※4 参考：公安調査庁_サイバー空間における脅威の概況 2022 P.3より

このようなサイバー攻撃を仕掛ける攻撃者は、犯罪者、犯罪グループ、諜報員、産業スパイ、ハッカー集団、社外の悪意ある組織の職員（退職者を含む）などです。 また、その攻撃の目的とは、どの不正行為にも共通して見られる金銭盗取や、国家や企業などの機密情報を窃取し組織体の戦略変更やイメージダウンを狙う組織犯罪、産業スパイ活動、またハクティビストによる政治的・社会的な主張など、攻撃者のタイプにより異なっています。 最近は、攻撃者が組織的かつ計画的に攻撃の発覚を遅らせるような手口で巧妙に攻撃を行い、被害の拡大・長期化を狙っています。 このような攻撃者の目的を理解し狙われやすいターゲットをあらかじめ予測することが、効果的かつ効率的なセキュリティ対策を講じるうえで重要だといえるでしょう。

近年は、従来の脆弱性につけ込む攻撃方法にくわえて、ピンポイントで特定の企業、団体、個人をターゲットにする標的型メール攻撃、アカウントへの不正アクセス、ランサムウェア、DDoS攻撃、IoT機器やスマートフォン、タブレットを狙ったサイバー攻撃が増加しています。

最近では企業の規模や業種を問わず、「ランサムウェア」が世界規模で猛威を振るっています。
警察庁^（※）の報告によると、2022年は上半期のみでランサムウェアによる被害件数が114件と、2020年以降右肩上がりで増加し続けており、サービス障害や金銭被害により、社会インフラや経済活動に多大な影響を発生させています。 ランサムウェアの手口としては、不審メールや添付ファイルによる従来型のものから、前述したテレワークなどで利用される「VPN機器」からの侵入、システムの脆弱性を悪用しネットワークやウェブサイトを経由して感染するものまで広範に及んでおり、セキュリティ対策を強化している大手企業の被害も増加しています。 ランサムウェアは事業継続に不可欠なシステムや、重要な情報を保存している端末を暗号化して使用不能にしてしまい、システムを復旧させるための身代金を要求するというマルウェアの一種で、国内外の病院、製造業などでの被害が度々報告されています。

特に「Emotet」による攻撃では、メールに添付されたExcelやWordなどの業務上頻繁に使うアプリケーションのなかに埋め込まれたリンクやマクロによって、知らないうちに感染へと誘導されるケースが多発しています。
受信者に違和感を覚えさせないよう、実際の返信を装った自然なメールに偽装された手口も確認されており、不正メールかの判断が付きづらい傾向も明らかになっています。 Emotetに一度侵入を許すとほかのマルウェアにも次々と感染し、個人情報や機密情報が外部流出したり、窃取された認証情報が社内外へのばらまきの踏み台として悪用されることがあります。
JPCERT/CC^（※）は注意喚起を呼びかけると同時に、Wordマクロの自動実行の無効化などの感染予防対策や、Emocheckなどを利用した定期的な感染有無の確認を推奨しています。

※ 参考：JPCERT/CC_マルウェアEmotetの感染再拡大に関する注意喚起
※ 参考：JPCERT/CC_マルウエアEmotetへの対応FAQ

サイバー攻撃にはさまざまな種類がありますが、インターネットを利用する以上、個人・企業ともに最新のサイバー攻撃の種類や手口を理解したうえで、リスクを回避する行動を取ることが重要です。
ここでは、日々進歩しているサイバー攻撃のなかで、代表的な7種類に絞って紹介していきます。

標的型メール攻撃とは、特定の企業や官公庁などを標的として、重要なデータが保存されているシステムにマルウェアを感染させることで、機密情報などを窃取することを目的としています。標的型メール攻撃のなかで最も多いのは、ユーザーの業務内容に応じて、メールの件名や本文、送信元を偽装したメールを送り付け、マルウェアに感染させる手口です。 IPAの「情報セキュリティ10大脅威（組織編）」（※）では、2012年度の登場以降、常時1位・2位にランキングされており、攻撃者は社会や働き方の変化に便乗し、ターゲットに合わせた巧みな攻撃手法をとることが特徴です。近年では急増しているランサムウェアの足がかりとして、情報を詐取する目的で利用されています。

※ 参考：IPA_情報セキュリティ10大脅威 2012～2022

悪意のあるソフトウェアの総称であり、代表的なマルウェアとしてはウイルス、ワーム、トロイの木馬、スパイウェアなどが挙げられ、誕生以来さまざまな攻撃手法が確認されています。マルウェアに感染すると、感染したコンピューター内にある情報の消失や書き換え、外部流出などの被害をもたらし、クレジットカードや銀行口座に関する情報が盗まれることで金銭的被害にあうケースも多くあります。 犯罪者は、更新されていないソフトウェアやレガシーOSの脆弱性を探して攻撃をしかけてくるため、OSやアプリケーションを常に最新状態に保つなど、さまざまなマルウェアに備えて基本的なセキュリティ対策の徹底が重要です。

近年最も被害が深刻化しているマルウェアの一種で、ランサムウェアが世界中で大きな注目を浴びたのは、2017年の「WannaCry」がアップデート前の古いコンピューターの脆弱性を悪用し、世界規模で大きな被害が広がったからと言われています。 特に、2019年以降のランサムウェアは暗号化やロックだけでなく、その多くが事前に企業の重要な情報を窃取したうえで「身代金を支払わなければ情報を暴露する」と二重の脅迫を行う手法を採用しています。
ランサムウェア本体を直接メールに添付して感染させる従来型のばらまき型の手法から、攻撃者が標的組織の内部ネットワークにあらかじめ侵入し、情報窃取に成功した後にランサムウェアを展開する、標的型攻撃と同様の手法が用いられるようになるなど、その手法が多様化し、現在世界150国以上で被害が確認されています。

※ 関連サイト：ランサムウェアの被害事例と企業に求められるサイバー攻撃対策を解説！

国内の大手製造業が稼働停止に陥る被害により注目されたサプライチェーン攻撃は、IPAの「情報セキュリティ10大脅威 2022 （組織編）」^（※）の3位にランキングされています。
攻撃者はセキュリティ対策の手薄な関連組織や利用サービスなどの脆弱性を標的として最初の攻撃をしかけ、それを踏み台として本命の企業を狙います。 強固なセキュリティ対策を行っている大企業であっても、取引のあるサプライチェーンを足がかりに、攻撃者の侵入を許してしまう恐れがあるため、自社だけでなく取引先や委託先のセキュリティ対応状況の確認が必要といえるでしょう。

※ 関連サイト：企業の脆弱性を狙ったサプライチェーン攻撃とは？最新事例や対策を解説！
※ 参考：IPA_情報セキュリティ10大脅威 2022（組織編）
IPA_情報セキュリティ10大脅威 2022（組織編）

Emotetは、2019年11月に国内でウイルスの感染を狙ったう、ばらまき攻撃が大規模に発生し、多くのメディアで注目され知名度が一気に上昇しました。2022年3月以降IPAへEmotetに関する相談が増加し、情報セキュリティ安心相談窓口では、2022年3月1日から8日の間に323件もの相談を受けたことを発表しており、これは先月同時期（2月1日から8日）のおよそ7倍に相当します^（※）。 主だった活動が観測されない時期と、活動再開を繰り返しているEmotetですが、2022年11月にはメールに添付されたExcelファイルのマクロが強制的に実行されてしまう方法で、再び攻撃を始めています。今後メールの文面は、よりパターンが増えるなど巧妙化が進む可能性があり、注意が必要となります。

※ 参考：IPA_Emotet（エモテット）と呼ばれるウイルスへの感染を狙うメールについて

フィッシングとは、公的機関や金融機関、ショッピングサイトなどの企業に称してメールなどを送信し、正規のウェブサイトを模倣したフィッシングサイト（偽のウェブサイト）へ誘導することで、認証情報やクレジットカード情報をだまし取る手口です。IPAの「情報セキュリティ10大脅威　2022（個人編）」^（※）の1位となり、高額な物品が購入され、不正送金される被害が多発しています。 対策としては、SMSやメールで受信したURLや、SNSの投稿に表示されるURLを安易にクリックしないなどの予防の徹底が重要になります。

※ 参考：IPA_情報セキュリティ10大脅威 2022（個人編）
IPA_情報セキュリティ10大脅威 2022（個人編）

DoS攻撃とは、特定のサーバーに悪意を持って大量のデータを送りつけるサイバー攻撃の一種です。同じ時間帯に大量のアクセスが集中するとシステムやサービスが停止し、一時的にECサイトでの買い物ができなくなるなど、利用者や企業に不利益を生じる迷惑な妨害行為です。 このDoS攻撃をさらに発展させ、対処しきれない複数のIPアドレスから一斉に攻撃対象に大きな負荷をかけるのがDDoS攻撃であり、攻撃者はマルウェアなどで不正に乗っ取った複数のIPアドレスを悪用して攻撃を行います。複数のIPアドレスが使用されるため特定がしづらく、犯人を割り出すのが難しい傾向があります。

コロナ禍以降、テレワーク推進によりIT活用が進み、企業のシステム環境は進化・多様化しました。業務のデジタル化が進む一方で、システムの脆弱性を狙ったサイバー攻撃の手口も複雑化・高度化しています。
このような状況において、企業はサイバー攻撃によるビジネスへの影響を抑え込んでいく対策への取り組みが不可欠となります。特に重要なのが、事業継続の観点でセキュリティを強化する「サイバーレジリエンス」です。
サイバーレジリエンスは、サイバー攻撃に対する予測力・抵抗力・回復力・適応力を備えることで、想定外のインシデントが発生しても、ビジネスに与えるダメージを低減し、事業継続を可能にする取り組みです。
サイバー攻撃による事業継続への影響を軽微にとどめることができるため、攻撃が高度化・巧妙化している今、まさに重要なセキュリティ対策となるでしょう。