無料ではじめるサーバー管理 > ブログ > DDoS攻撃, Dos攻撃, Emotet, SQLインジェクション, サイバー攻撃, サプライチェーン攻撃, ゼロデイ攻撃, フィッシング, マルウェア, ランサムウェア, 不正アクセス > Webサイトへのサイバー攻撃、どんなものがある？サイバー攻撃から守る、基本的な対策をご紹介

Webサイトへのサイバー攻撃、どんなものがある？サイバー攻撃から守る、基本的な対策をご紹介

最終更新日：2024/04/11

こんにちは。「クロジカサーバー管理」マーケティングの金山です。

日常の生活や経済活動において、インターネットに繋げられるデジタルツールが当たり前のように取り入れられるようになりました。

そういったことを背景としてサイバー攻撃は増加しており、最近では世間を騒がせて快感を得ることを目的とする犯罪よりも、金銭を盗み取るためのサイバー攻撃が膨れ上がっています。

そこで今回は、サイバー攻撃にはどのようなものがあるのか？ Webサイトを中心としたサイバー攻撃の種類とその対策について解説いたします。

サイバー攻撃とは
サイバー攻撃の被害件数と被害額
代表的なサイバー攻撃
サイバー攻撃に効き目がある準備
まとめ
クロジカサーバー管理はクラウドサーバーのアウトソーシングサービスです

サイバー攻撃とは

サイバー攻撃とは、インターネット・デジタル機器に関連を持たせた手段で、金銭の詐取・個人情報の窃取・サイト改ざんなどをターゲットとして実行される攻撃です。

インターネット・デジタル機器の普及で、多くのことがデジタル機器で完結できるようになり、わたしたちの生活はとても便利になりました。一方で、逆の見方をすると、サイバー攻撃を目論む攻撃者にとって新たなる可能性が作り出されていることにもなってしまっています。

こうした経緯もあり、サイバー攻撃の対象となる範囲が広がるとともに、IT技術の高度化と足並みを揃えるかのように、サイバー攻撃も高性能化しているため、金銭の詐取・個人情報の漏えい・サイト改ざんの被害も増え続けてしまっているのが現状です。

サイバー攻撃の対象

サイバー攻撃の対象は個人と組織に大きく分けられ、組織には国家・大手企業だけでなく、実は中小企業もターゲットとなる可能性があります。

なぜなら、事前の対策が国家・大手企業より手薄で十分な予算を確保できないため、セキュリティツールや専門のエンジニアを取り入れることが困難で、サイバーセキュリティに関する知識不足も要因となっているためです。

サイバー攻撃により個人情報が漏えいしたり、サイトが改ざんされてサービスの取り止めに陥ったケースも過去に何件もあり、原状回復できずに事業全体が長期にわたる影響・損失を被る事例も少なくありません。

サイバー攻撃の目的

サイバー攻撃を行う目的は攻撃する人によって異なります。

世間を騒がせて快感を得ることを目的としたものや、自身が持つ技術の精度やアイデアをこれ見よがしに見せるといった自己顕示欲を満たす目的としたものも少なくありません。

最近では金銭を奪うことを目的とするもの、特定組織の重要な秘密情報をそっと盗み取る産業スパイなど、組織犯罪と類似しているものが増加している傾向です。

ハッキングを通じて政治的な主張をする人々、アノニマスやウィキリークスなどで知られるハクティビストと呼ばれるグループの存在も確認されています。

サイバー攻撃の被害件数と被害額

サイバー攻撃の件数は近年急上昇しています。
情報通信研究機構（NICT）が調査したところによると、サイバー攻撃に関係する通信は10年間で約40倍に膨れ上がり、2022年の1年間で約5,226億パケットに到達しました。

この中でWebサイトを狙った攻撃は全体の9.8％（約512億パケット）を占めています。

サイバー攻撃の被害額で見ると、1,000万円を超過した日本企業は全体の33.5%を占め、1年間の被害額は平均すると約1億4800万円にまで達しているようです。

出展：情報通信研究機構（ NICTER観測レポート2022の公開｜2023年）／トレンドマイクロ株式会社（法人組織のセキュリティ動向調査 2020年版を発表 | トレンドマイクロ）

代表的なサイバー攻撃

サイバー攻撃には多くの種類が存在します。主にWebサイトをターゲットとしたサイバー攻撃を中心に、代表的な攻撃の種類を幾つか確かめていきましょう。

不正アクセス

不正アクセスとは、アクセスできる権限がない第三者によって、システムやサービスに不正にログインされることです。

サーバーの脆弱性（セキュリティ上の欠点）をつくものや、あらゆる文字の組み合わせを試してログインを突破するものなど、様々な方法で侵入します。

企業が不正アクセスの標的となった場合、顧客の情報などが外部に流出することで、二次被害にエスカレートすることもあります。

マルウェア

マルウェアとは、悪意のあるソフトウェア全般を指します。意図的にパソコンへ不具合を生じさせる目的で作成された悪質なプログラムです。

以下に解説する「ランサムウェア」や「Emotet」もマルウェアの一種となります。

ランサムウェア

ランサムウェアとは、ユーザーのデータを人質にとり、データを回復するための「身代金（ransom）」を要求する「ソフトウェア（マルウェア）」のことで、身代金要求型ウイルスとも呼ばれています。

ランサムウェアの多くは、勝手にファイルを暗号化したり、パスワードを設定することで、データへのアクセスをできなくさせたり、搾取した顧客情報などのデータの見返りに、多額な身代金を要求するものです。

Emotet（エモテット）

Emotet（エモテット）とは、情報窃取とウイルスを媒介するマルウェアで、不正に端末へ侵入すると、他のマルウェアを次々とダウンロードされてしまいます。

マルウェアが不法に侵入する手段として利用されており、2014年に発見されてから、程度が甚だしい損害が後を絶っていないのです。

感染する代表的な経路はメールに添付する手口なので珍しくはありませんが、実在している関係者からの返信を装っており、不自然さのない本文であるため、騙されてしまうリスクが高く注意が必要です。

SQLインジェクション

データベースサーバーと連携したWebサイトの場合、ユーザが入力した情報に基づいたSQL文を組み立て、データベースへのデータ追加・更新などを行います。

Webサーバーがセキュリティ面で隙だらけの状態であると、ブラウザから入力された悪意のあるSQL文がそのままの状態でデータベース操作の一部に注入されてしまう可能性があります。

例えば、Webサイトに設けられた「お問い合わせフォーム」。ここに攻撃者が不適切なSQL文を入力し、情報を抽出されてしまうといった被害が発生しています。

サプライチェーン攻撃

大企業・行政官庁など大規模な組織への正面突破が困難である場合、セキュリティ対策が比較的手薄な取引先・子会社を経由して攻撃を仕掛けます。

ターゲットとした企業に対して、取引先に偽装したメールを送付したり、利用しているソフトウェアの不適切な更新プログラムが仕掛けられるので注意が必要です。

ゼロデイ攻撃

セキュリティ更新プログラムなどの修正プログラムが未公表である脆弱性を悪用する攻撃のことです。

従来は攻撃を仕掛ける人以外には知られていない脆弱性を狙った攻撃がゼロデイ攻撃と呼ばれていましたが、最近では脆弱性が公表されていても、修正プログラムが公表されていない場合はゼロデイ攻撃と呼ばれるようになりました。

知らぬ間にマルウェアが企業のWebシステムに侵入して、機密情報を盗み取るゼロデイ攻撃は、非常に巧みで簡単に理解できない手法が増えています。

セキュリティシステム上の弱点を突いた静寂な侵入は発見されにくく、被害をより大きくしてしまうため、ゼロデイ攻撃こそ、規模が並を超えている脅威であるといえます。

DoS攻撃・DDoS攻撃

ターゲットに定めたWebサイトへ、プログラムを用いて大量のアクセスを実行する攻撃です。サーバー側がその処理のためにリソースを割り当てることになるため、Webサイトが正しく機能しなくなってしまいます。

DoS攻撃は攻撃する側と攻撃される側の1対1で仕掛けられますが、DDoS攻撃は2つ以上に散在する攻撃用マシンから一斉に攻撃が仕掛けられるものです。

DDoS攻撃を防ぐことが困難である点は、2つ以上に散在する攻撃用マシンがどこに存在しているのか、攻撃が開始されるまで分からないため、すべてを守りきることが難しい点が挙げられます。

フィッシング詐欺

フィッシング詐欺とはインターネットで実行される詐欺行為で、クレジットカードなどのサービスそのものであるようなふりをして、ユーザーからログイン情報を盗み出します。

フィッシングは「fishing」とよく間違われますが、英語で「phishing」と綴り、「釣り（fishing）」と「洗練されている（sophisticated）」を合体させた造語です。

主に個人向けのものですが、IPAが公開している「情報セキュリティ10大脅威」では上位に位置しているので、それだけ身の回りに存在する脅威であり、被害が途絶えない手口です。

出典：情報処理推進機構（IPA）（情報セキュリティ10大脅威 | 情報セキュリティ | IPA 独立行政法人情報処理推進機構）

リモートワークを狙った攻撃

コロナ禍で普及したリモートワークをターゲットとした攻撃も増加傾向にあります。

大手通信企業がデスクトップを仮想化するサーバーを経由した攻撃に遭遇して、この事件では約700社に及ぶ取引先の情報が外部へと流出しました。

リモートワークをはじめ、社外にパソコンを持ち出し公共のネットワークを利用する際など、注意が必要です。

サイバー攻撃に効き目がある準備

IT技術が進歩して世間に広く行き渡ったことによって、サイバー攻撃も増加したことに伴いリスクも大きくなっています。

セキュリティに関連した認識・理解を深めてアクションを起こすなど、常に注意を高めて油断しないことが重要です。

以下に挙げる対策は基本的なものですが、今一度徹底できているかどうかを確認してみるといいでしょう。

アカウント情報の厳格な管理

デジタル機器・Webサービス・アプリを利用する場合、ID・パスワードを利用することが前提となります。

もしも不正に利用もしくは侵入された際に被害が拡大してしまうので、複雑で容易に推測できないパスワードを設定する、ほかの用途で使用していたものは使わない、定期的に変更をかける、などが基本的な対策となります。

セキュリティ意識の向上

すでに確かめてきたように、攻撃手法は更新され新しく開発されるなど、サイバー攻撃は非常に巧みな進化を遂げています。

過去の健全で実用的な判断に頼っているだけでは、こういった攻撃に対応することはできません。

防御の土台にある最も重要な部分は、まず攻撃に関する情報を入手することであるため、セキュリティを専門に取り扱っているメディアなどを常日頃参照しながら、自社のネットワーク環境や働き方と照らし合わせ、自社にとってのリスクレベルがどれほどかを考えながら対策を検討していくことが重要です。

セキュリティソフトやサービスの導入

サイバー攻撃に共通している点は、不正にホームページに侵入した攻撃者が、再度侵入を試みる際に作られた仕掛けである「バックドア（裏口）」から、インターネット経由で不正アクセスすることです。

セキュリティを強化するには、ホームページの構成ならびに弱点を理解したうえで、攻撃手法にあわせたWAF（Web Application Firewall）やSSL証明書、DDoS対策のためのCDN（Contents Delivery Network）といった対策を講じる必要があります。

OS・ミドルウェア・CMSのアップデート

OS・ミドルウェア・CMSは性質上、必然的に脆弱性が発生します。

ここ最近のサイバー攻撃では、ゼロデイ脆弱性と呼ばれているように、脆弱性が表面化する前にその脆弱性が狙い撃ちされているのが特徴です。

ベンダー側もそういった状況を予想したうえで、スピード感のあるアップデートを提供しているため、ユーザー側としても、リアルタイムで提供されたアップデートを実施するようにしましょう。

不正アクセスや改ざんの監視

ほぼすべてのサイバー攻撃はコンピュータやネットワーク上で実行されるもので、見てはっきりとわかる形にはなっていません。

攻撃に備えて注意していなければ、知らぬ間に目には見えない形で被害の範囲が広がって、深刻な状態になってから察知するといった事例が頻繁にあるようです。

こうした被害の拡大を防ぐために、アクセス負荷の状況を把握したり、最後にWebサイトをチェックした時点とそれ以前とで異なる点がないかどうかを確認するといった作業が必要となります。

そして、これらの作業を営業時間内だけでなく、深夜帯・土日含めて24時間365日体制で監視できる体制が望ましいです。

バックアップ

上記の監視体制によりサイト改ざんに気付けた際、バックアップデータがあればサイト改ざん前の状態に戻すことが可能です。

頻度はそれぞれですが、少なくとも更新をかけたタイミングでは都度、プラスして毎週・毎月など定期的に取得しておくと安心です。

これにはサイバー攻撃からの復旧だけでなく、更新時のちょっとしたミスやファイルの上書きなどといったことにも対応できるようになります。

サーバー管理のアウトソーシング

Webサイトのサーバー管理に人材をアテンドするには少し検討が必要です。インフラ知識のある専任エンジニアの採用はなかなか難しいですし、他の業務と兼務しながらの対応も、非現実的です。

例えインシデント（事故）に発生していなくとも、サーバーの監視によって生じたアラートも日夜休日問わず頻繁に上がってきますので、対応に追われてしまいます。

こうした属人的な業務は、外注に頼るのが一番効率的です。MSP（マネージドサービスプロバイダ）と呼ばれるサーバー管理のアウトソーシングサービスがあります。
24時間365日の監視体制や定期的なバックアップ作業、何かあった際の一時復旧対応などがサービスに含まれているものがありますので、こおうしたアウトソーシングを頼るのが良いでしょう。