「サイバー攻撃と一口に言っても、種類が多すぎてよくわからない」
そんな方に向けて、この記事ではサイバー攻撃の手口53種類をまとめました。
それぞれの攻撃がどんな仕組みで、どんな被害をもたらすのかを、ITに詳しくない方でもわかるように解説しています。
自社のセキュリティ対策を見直す際の参考にしてください。
サイバー攻撃とは?まず押さえたい基礎知識
サイバー攻撃という言葉はよく耳にするものの、「具体的に何が起きているのか」をイメージできる方は多くありません。
まずはここで基本的な概念を整理しておきましょう。
- 【この章で紹介する内容】
- ・サイバー攻撃とは何か
- ・サイバー攻撃とハッキング・不正アクセスの違い
- ・サイバー攻撃の主な目的
- ・近年のサイバー攻撃の傾向
- ・IPAの選出したサイバー攻撃「情報セキュリティ10大脅威」
サイバー攻撃とは何か
サイバー攻撃とは「コンピューターやネットワークに対して、悪意を持って行われる不正な行為の総称」です。
具体的には、企業のパソコンやサーバーに侵入してデータを盗んだり、システムを動かなくさせたり、ファイルを暗号化して身代金を要求したりする行為が該当します。
たとえば次のようなものがサイバー攻撃に含まれます。
- ・メールに添付されたファイルを開いたとたんに社内データが盗まれる
- ・社員がアクセスした偽サイトでIDとパスワードが流出する
- ・外部からシステムに不正ログインされ、業務が完全停止する
「ウイルスに感染した」「ハッキングされた」という言葉もよく聞きますが、これらはすべてサイバー攻撃の一形態です。
サイバー攻撃とハッキング・不正アクセスの違い
「ハッキング」と「不正アクセス」はサイバー攻撃の手段の一つであり、サイバー攻撃という大きなカテゴリの中に含まれます。
混乱しやすいこれらの言葉ですが、それぞれ意味が異なります。
整理すると以下のとおりです。
| 用語 | 意味 |
|---|---|
| サイバー攻撃 | コンピューターやネットワーク全般に対する悪意ある行為の総称 |
| ハッキング | システムの脆弱性を探して侵入する行為。必ずしも悪意があるとは限らない |
| 不正アクセス | 権限のない者がシステムに無断でアクセスする行為。法律で禁止されている |
つまり、「不正アクセス」はサイバー攻撃の手口の一つであり、「ハッキング」はその技術的行為を指します。
「サイバー攻撃=ハッキング」ではなく、もっと広い概念として覚えておきましょう。
サイバー攻撃の主な目的
サイバー攻撃の目的は「金銭の詐取」が最多ですが、それ以外にも複数の動機が存在します。
攻撃者がなぜ企業を狙うのか、その目的を知っておくことで、自社がどのリスクにさらされているかが見えてきます。
主な目的は以下のとおりです。
| ハッキングの目的 | 内容 |
|---|---|
| 金銭目的 | ランサムウェアによる身代金要求、クレジットカード情報の窃取など |
| 情報窃取 | 顧客データや技術情報・取引情報などを盗み、競合他社や闇市場に売却 |
| 業務妨害 | 競合企業や標的企業のシステムをダウンさせ、業務を止める |
| 踏み台利用 | セキュリティの弱い中小企業を経由して、大手取引先への攻撃に利用 |
| 政治・思想的動機 | 国家や組織に対するメッセージを発信するハクティビスト活動 |
中小企業が特に注意すべきは「踏み台利用」です。
攻撃者は大企業を直接狙うのではなく、セキュリティが手薄な取引先企業(中小企業)を足がかりにします。
近年のサイバー攻撃の傾向
近年の最大の特徴は、「手口の自動化・高度化」と「中小企業への標的化」が同時に進んでいる点です。
以前は国家や大企業が主な標的でしたが、今やすべての規模の企業がリスクにさらされています。
とりわけ注目すべき傾向が次の点です。
| 傾向 | 内容 |
|---|---|
| AIを悪用した攻撃の増加 | 自然な日本語のフィッシングメールがAIで大量生成されるようになり、見抜くことが難しくなっている |
| サプライチェーン攻撃の急増 | 大企業のセキュリティが強化された結果、その取引先(中小企業)を狙う手口が増加 |
| ランサムウェアの二重脅迫化 | データを暗号化するだけでなく、外部に公開すると脅す手口が主流に |
| テレワーク環境の悪用 | VPNやリモートデスクトップの脆弱性を突いた侵入が急増 |
これらはすでに日本国内の中小企業でも実際に被害が出ている攻撃です。
「まだうちは大丈夫」という油断が最大のリスクといえます。
IPAの選出したサイバー攻撃「情報セキュリティ10大脅威」
IPAが毎年発表する「情報セキュリティ10大脅威」は、その年に特に被害が多かった脅威をまとめたもので、対策の優先順位を決める指標として活用できます。
IPA(独立行政法人情報処理推進機構)は、国内のセキュリティ専門家の意見をもとに、組織向けの10大脅威を毎年選定・発表しています。
2026年版では以下の脅威が上位にランクインしています。
| 順位 | 驚異の種類 |
|---|---|
| 1 | ランサム攻撃による被害 |
| 2 | サプライチェーンや委託先を狙った攻撃 |
| 3 | AIの利用をめぐるサイバーリスク |
| 4 | システムの脆弱性を悪用した攻撃 |
| 5 | 機密情報を狙った標的型攻撃 |
| 6 | 地政学的リスクに起因するサイバー攻撃(情報戦を含む) |
| 7 | 内部不正による情報漏えい等 |
| 8 | リモートワーク等の環境や仕組みを狙った攻撃 |
| 9 | DDoS攻撃(分散型サービス妨害攻撃) |
| 10 | ビジネスメール詐欺 |
出典:IPA(独立行政法人情報処理推進機構)「情報セキュリティ10大脅威 2026」
この一覧は、自社のセキュリティ対策を見直す際の「チェックリスト」として活用できます。
上位から順に、自社に該当する対策が取れているかを確認してみましょう。
サイバー攻撃は大きく6つに分類できる
サイバー攻撃には数多くの手口がありますが、性質によって大きく6つのカテゴリに分けられます。
全体像を把握することで、どの分野に対策が必要かが明確になります。
- 【この章で紹介する対策】
- ・マルウェア感染型
- ・認証情報・不正ログイン型
- ・Webサイト・アプリ脆弱性悪用型
- ・ネットワーク妨害型
- ・人の心理を狙う型
- ・高度・複合型
マルウェア感染型
マルウェア感染型とは、悪意あるソフトウェア(マルウェア)をパソコンやサーバーに侵入させることで被害を引き起こす攻撃です。
メールの添付ファイルや不審なWebサイトへのアクセスなどを経由して感染するケースが多く、気づかないうちに被害が広がるのが特徴です。
ウイルス・ワーム・ランサムウェアなどがこれに該当します。
| 項目 | 内容 |
|---|---|
| 主な侵入経路 | メール添付、不審サイト、USBメモリ |
| 被害内容 | データの暗号化・窃取、システム障害 |
| 中小企業への影響 | 業務の完全停止、顧客情報の流出 |
認証情報・不正ログイン型
認証情報・不正ログイン型は、IDとパスワードを盗んだり推測したりして、正規ユーザーになりすましてシステムに侵入する攻撃です。
「パスワードを使い回している」「同じIDとパスワードを複数サービスで使っている」という状況の企業は特に狙われやすくなっています。
| 項目 | 内容 |
|---|---|
| 主な手口 | パスワードリスト攻撃、ブルートフォース攻撃 |
| 被害内容 | 不正ログイン、情報の窃取・改ざん |
| 中小企業への影響 | クラウドサービスや会計システムへの不正アクセス |
Webサイト・アプリ脆弱性悪用型
WebサイトやWebアプリのプログラムの欠陥(脆弱性)を突いて、データを盗んだりシステムを乗っ取ったりする攻撃です。
自社のホームページや受注システム・ECサイトを持っている企業は、このカテゴリの攻撃に注意が必要です。
SQLインジェクションやXSSなどが代表的な手口です。
| 項目 | 内容 |
|---|---|
| 主な手口 | SQLインジェクション、XSS、ゼロデイ攻撃 |
| 被害内容 | 個人情報の流出、サイトの改ざん |
| 中小企業への影響 | 顧客情報の漏えい、ECサイトの不正決済 |
ネットワーク妨害型
ネットワーク妨害型は、大量のデータを送りつけてシステムをパンクさせたり、通信を傍受・改ざんしたりする攻撃です。
DDoS攻撃が代表例で、突然Webサービスがつながらなくなる、業務システムが止まるといった被害が生じます。直接的な情報漏えいには至らないケースも多いですが、業務停止による損失は甚大です。
| 項目 | 内容 |
|---|---|
| 主な手口 | DDoS攻撃、SYNフラッド、中間者攻撃 |
| 被害内容 | サービス停止、通信の傍受・改ざん |
| 中小企業への影響 | 顧客情報の漏えい、受注システムやECサイトの停止 |
人の心理を狙う型
人間の油断や信頼心・焦りの心理につけ込んで情報を盗んだり、不正な操作をさせたりする攻撃です。技術的な知識がなくても被害に遭うのがこの種の攻撃の怖さです。
フィッシング詐欺や標的型攻撃メールなどが代表例で、社員一人ひとりの行動が企業全体のリスクに直結します。
| 項目 | 内容 |
|---|---|
| 主な手口 | フィッシング、標的型攻撃メール、ソーシャルエンジニアリング |
| 被害内容 | ID・パスワードの詐取、マルウェアの感染 |
| 中小企業への影響 | 経営者や経理担当者を狙ったビジネスメール詐欺 |
高度・複合型
高度・複合型は、複数の攻撃手法を組み合わせて長期にわたって潜伏しながら被害を拡大させる、最も危険なカテゴリです。
APT攻撃やサプライチェーン攻撃がこれに該当し、気づいたときには長期間にわたって情報が盗まれていた、というケースが多くあります。
一度侵入されると、発見・排除が非常に困難です。
| 項目 | 内容 |
|---|---|
| 主な手口 | APT攻撃、サプライチェーン攻撃、Emotet |
| 被害内容 | 長期的な情報窃取、取引先への二次被害 |
| 中小企業への影響 | 取引先を通じた侵入、気づかない情報漏えい |
企業のサイバーセキュリティ対策なら
初めてセキュリティ対策に取り組むのであれば、 まずは、ウイルス対策とUTMの導入がおすすめです。
【一覧】サイバー攻撃の種類53種類
ここでは、現在確認されているサイバー攻撃を6つのカテゴリに分けて、合計53種類を網羅的に解説します。
自社のシステムや業務に照らし合わせながら、リスクのある攻撃を確認してください。
マルウェア系の攻撃
マルウェアとは「悪意あるソフトウェア」の総称で、コンピューターに感染して様々な被害を引き起こします。
感染経路や被害の性質によって多くの種類があります。
ウイルス
ウイルスとは、正規のプログラムやファイルに寄生して自己増殖し、他のファイルやシステムを次々と感染させるマルウェアです。
人間の風邪ウイルスと同様に、感染したファイルを介して広がります。
たとえば、感染したUSBメモリを会社のパソコンに挿し込むと、そのパソコンから社内ネットワーク全体に広がることがあります。
- 【攻撃の特徴】
- ・データの破壊・改ざん
- ・ファイルの削除や動作の不安定化
- ・ネットワーク上の他のパソコンへの感染拡大
対策はウイルス対策ソフトの導入と、USBメモリの使用ルールの整備です。
▲ 一覧に戻るワーム
ワームとは、他のファイルやプログラムに寄生することなく、ネットワークを通じて自力で自己増殖・拡散するマルウェアです。
ウイルスと違い、人の操作を必要とせずに自動で広がるため、感染スピードが非常に速いのが特徴です。
社内ネットワークの1台に感染するだけで、ネットワークに接続された全端末に短時間で広がるリスクがあります。
- 【攻撃の特徴】
- ・ネットワーク帯域を占有して通信を遅くする
- ・バックドアを作成して外部から操られる状態になる
- ・短時間で社内全端末に感染が拡大する
対策にはOSやソフトウェアの最新アップデート適用と、ネットワーク監視が有効です。
▲ 一覧に戻るトロイの木馬
トロイの木馬とは、正規の便利なソフトウェアを装って端末に侵入し、裏で悪意ある動作を行うマルウェアです。
「無料ツール」「便利なアプリ」に見せかけてインストールさせ、その裏で情報を盗んだりバックドアを仕掛けたりします。
ギリシャ神話のトロイの木馬が名前の由来で、見た目は無害なのが最大の特徴です。
- 【攻撃の特徴】
- ・正規ソフトに見せかけて社員が自らインストールする
- ・バックドアを作成して攻撃者が自由に出入りできる状態になる
- ・キーロガーや情報窃取ツールが同時に仕込まれることが多い
対策は、信頼できるソフト以外のインストールを禁止するルール作りと、セキュリティソフトによる監視です。
▲ 一覧に戻るランサムウェア
ランサムウェアとは、感染したコンピューターのファイルを暗号化して使用不能にし、復元と引き換えに金銭を要求するマルウェアです。
前述した「まず優先して知るべき攻撃」でも解説したとおり、現在最も被害が多い攻撃の一つです。
バックアップなしでは業務の復旧が困難になるため、事前の対策が必要になります。
- 【攻撃の特徴】
- ・全ファイルが暗号化されて業務が完全停止する
- ・支払っても復元されるとは限らない
- ・最近は「データを公開する」と脅す二重脅迫型が主流
対策はオフラインバックアップの定期取得とUTMの導入、EDRによるリアルタイム監視です。
▲ 一覧に戻るスパイウェア
スパイウェアとは、利用者に気づかれないよう端末に潜伏し、入力情報や行動を収集して外部に送信するマルウェアです。
名前のとおり「スパイ」として動作し、パスワードや個人情報・業務データを密かに盗み続けます。
気づかないまま長期間にわたって情報が流出するのが怖いところです。
- 【発生する被害】
- ・IDとパスワードの入力情報が盗まれる
- ・画面キャプチャや音声を取得されるケースもある
- ・長期間発見されず、大量の情報が流出するリスクがある
対策はセキュリティソフトによる定期スキャンと、不審なソフトウェアをインストールしないルール徹底です。
▲ 一覧に戻るアドウェア
アドウェアとは、端末に感染して大量の広告を強制表示させるマルウェアで、ユーザーの行動情報を収集する機能を持つものもあります。
一見「迷惑な広告が出るだけ」に見えますが、バックグラウンドで情報を収集しているケースも多く、スパイウェアとの境界が曖昧なものもあります。
無料ソフトにバンドルされていることが多いため、インストール時の注意が必要です。
- 【攻撃の特徴】
- ・大量のポップアップ広告が表示されて業務が妨害される
- ・ブラウザのホームページが勝手に変更される
- ・行動履歴が収集されてターゲット広告や詐欺に利用される
対策は信頼できるソフト以外のインストール禁止と、セキュリティソフトによる検知です。
▲ 一覧に戻るルートキット
ルートキットとは、攻撃者がシステムの最深部(ルート)に潜伏し、自らの存在を隠しながら長期間不正な操作を行うためのツール群です。
特に厄介なのは、通常のウイルス対策ソフトでは検知が難しく、感染に気づくのが遅れやすいことです。
感染後は完全な対処のためにシステム全体の再インストールが必要になるケースもあります。
- 【攻撃の特徴】
- ・セキュリティソフトから自らの存在を隠蔽する
- ・管理者権限を奪い、システムを自由に操作される状態になる
- ・長期間発見されず、じっくりと情報収集・破壊活動が行われる
対策にはルートキット専用の検出ツールの活用と、システムの定期的な整合性チェックが必要です。
▲ 一覧に戻るキーロガー
キーロガーとは、ユーザーのキーボード入力をすべて記録して攻撃者に送信するマルウェアです。
文字どおり「キーのログを取る」ことが目的で、パスワードやクレジットカード番号・重要なメッセージなど、入力した情報がすべて盗まれます。
単独で使われる場合と、トロイの木馬などに組み込まれる場合があります。
- 【攻撃の特徴】
- ・パスワードや暗証番号の入力情報がリアルタイムで盗まれる
- ・オンラインバンキングの不正送金に悪用されるケースが多い
- ・ハードウェア型(物理的にキーボードに取り付ける)も存在する
対策は仮想キーボードの活用と、多要素認証の導入、セキュリティソフトによる検知です。
▲ 一覧に戻るボット
ボットとは、攻撃者の指示を受けて自動的に動作するマルウェアで、感染した端末は「ボットネット」と呼ばれる攻撃網の一部として利用されます。
感染した端末は気づかないうちにDDoS攻撃の踏み台や、スパムメールの送信元として悪用されます。
- 【攻撃の特徴】
- ・自社のパソコンが他社への攻撃の踏み台として使われる
- ・社内からスパムメールが大量送信されることがある
- ・外部からのリモートコントロールが可能な状態になる
対策はUTMによるネットワーク監視と、セキュリティソフトの常時稼働です。
▲ 一覧に戻るファイルレスマルウェア
ファイルレスマルウェアとは、ファイルをディスクに書き込まず、メモリ上やWindowsの正規の機能(PowerShellなど)を悪用して動作するマルウェアです。
従来のウイルス対策ソフトはファイルのスキャンを基本とするため、ファイルを持たないこのマルウェアは検知が非常に難しいのが特徴です。
近年急増しており、高度な防御策が必要になります。
- 【攻撃の特徴】
- ・一般的なウイルス対策ソフトで検知できないケースが多い
- ・パソコンを再起動するだけで痕跡が消えるため解析も困難
- ・Windowsの正規機能を悪用するため、動作自体は「正常」に見える
対策にはEDR(エンドポイント検知・対応)の導入と、PowerShellの実行ポリシー制限が有効です。
▲ 一覧に戻る認証情報・不正アクセス系の攻撃
IDとパスワードを突破口にして不正にシステムへ侵入するカテゴリです。テレワーク環境の普及により、このカテゴリの攻撃リスクは大幅に高まっています。
ブルートフォース攻撃
ブルートフォース攻撃(総当たり攻撃)とは、パスワードとして考えられるすべての文字列の組み合わせを機械的に試し続けてログインを試みる攻撃です。
「力任せ(ブルートフォース)」という名前のとおり、とにかく片っ端から試す手法です。
短いパスワードや単純なパスワードは短時間で突破されます。最近はコンピューターの処理能力向上で、解析速度が飛躍的に上がっています。
- 【攻撃の特徴】
- ・8文字以下の単純なパスワードは数分〜数時間で突破されることがある
- ・ログイン試行回数に制限がないサービスは特に危険
- ・辞書に載っているような単語は優先的に試される
対策はログイン試行回数の制限設定と、英数字・記号を混ぜた複雑なパスワードの設定、多要素認証の導入です。
▲ 一覧に戻るパスワードリスト攻撃
パスワードリスト攻撃とは、他のサービスから流出したID・パスワードの組み合わせを使って、別のサービスへの不正ログインを試みる攻撃です。
前述した「代表的な攻撃」でも紹介したとおり、パスワードの使い回しをしている企業・個人を狙います。
闇サイトでは流出リストが売買されており、攻撃者が入手するハードルは低いのが現状です。
- 【攻撃の特徴】
- ・一つのサービスで流出したパスワードが他のサービスへの攻撃に使われる
- ・クラウドサービス(会計・在庫管理など)への不正ログインが急増
- ・多数のサービスを自動で試行するツールが攻撃者に普及している
対策は「パスワードの使い回し禁止」の徹底と、多要素認証(MFA)の全サービスへの導入です。
▲ 一覧に戻るパスワードスプレー攻撃
パスワードスプレー攻撃とは、よく使われるパスワード(例:「Password1」など)を多数のアカウントに対して少しずつ試していく攻撃です。
ブルートフォースとは逆の発想で、「一つのアカウントに多数のパスワードを試す」のではなく「一つのパスワードを多数のアカウントに試す」ことで、アカウントロックを回避しながら不正ログインを狙います。
- 【攻撃の特徴】
- ・一つのアカウントへの試行回数が少ないためロックがかかりにくい
- ・社員が弱いパスワードを使っていると簡単に突破される
- ・大量のアカウントに対して自動で試行される
対策はパスワードポリシーの強化(複雑なパスワードの必須化)と、多要素認証の導入です。
▲ 一覧に戻るクレデンシャルスタッフィング
クレデンシャルスタッフィングとは、流出した認証情報(クレデンシャル)を使って、自動的に大量のサービスへのログインを試みる攻撃です。
パスワードリスト攻撃の発展形で、流出したIDとパスワードを自動化ツールで多数のサービスに一斉に試します。
人手を介さず自動で行われるため、短時間に大規模な不正アクセスが発生します。
- 【攻撃の特徴】
- ・一度の流出で多数のサービスに連鎖的に不正ログインされる
- ・自動化ツールにより数百万件規模のアカウントが試される
- ・被害発覚が遅れやすく、長期間にわたってログインされるリスクがある
対策は多要素認証の徹底と、ログイン試行のモニタリング(異常なアクセスパターンの検知)が重要です。
▲ 一覧に戻るセッションハイジャック
セッションハイジャックとは、ユーザーがWebサービスにログイン中の「セッション」を乗っ取り、本人になりすましてサービスを操作する攻撃です。
ログイン後のユーザーには「セッションID」という識別情報が発行されますが、これを盗まれると本人に成りすました状態で操作されます。
パスワードが正しくても防げないのが特徴です。
- 【攻撃の特徴】
- ・ログイン中のまま自分のアカウントが外部から操作される
- ・ネットバンキングや業務システムで不正操作が行われる
- ・安全でない通信(HTTPなど)で盗まれやすい
対策はHTTPS通信の徹底、セッションの有効期限設定、セキュリティの高いブラウザの使用です。
▲ 一覧に戻るリプレイ攻撃
リプレイ攻撃とは、正規ユーザーの認証データを途中で盗み、それをそのまま再送信(リプレイ)してシステムに不正アクセスする攻撃です。
ログイン通信の内容をコピーして「そっくりそのまま再送する」手口で、暗号化されていても対応できない場合があります。
- 【攻撃の特徴】
- ・正規の通信を記録・再送することで認証を突破される
- ・古いシステムや暗号化が不十分な通信環境で発生しやすい
- ・ワンタイムパスワードを使わないシステムが特に狙われる
対策はワンタイムトークン(使い捨て認証コード)の導入と、タイムスタンプによる認証の有効期限設定です。
▲ 一覧に戻るスプーフィング
スプーフィングとは、IPアドレスやメールアドレス・電話番号などを偽装して、正規のユーザーや機器になりすます攻撃の総称です。
「なりすまし」全般を指す幅広い概念で、メール・IP・ARP・DNSなど様々なレベルでのなりすましがあります。
取引先を装ったメールが実は攻撃者から送られていた、というケースがこれに該当します。
- 【攻撃の特徴】
- ・取引先や社内のメールアドレスを偽装したメールが届く
- ・IPアドレスを偽装して社内ネットワークへの侵入を試みる
- ・電話番号を偽装して社員に不正操作をさせる(ビッシングと組み合わせ)
対策は送信元メールアドレスの厳密な確認と、SPF/DKIM/DMARCなどのメール認証技術の導入です。
▲ 一覧に戻る中間者攻撃(MITM)
中間者攻撃(MITM:Man in the Middle Attack)とは、通信する二者の間に攻撃者が割り込み、通信内容を盗み見したり改ざんしたりする攻撃です。
カフェや空港の無料Wi-Fiを利用する際、攻撃者が偽のアクセスポイントを設置して通信を傍受するケースが代表例です。社外でのテレワーク環境には特に注意が必要です。
- 【攻撃の特徴】
- ・送受信しているデータが攻撃者に丸見えになる
- ・ログイン情報や機密メールが盗まれる
- ・攻撃者が通信内容を改ざんして誤った情報を送り込む
対策はVPNの必須化と、HTTPS通信の徹底です。社員が公共Wi-Fiを使用する場合は特に注意が必要です。
▲ 一覧に戻るビジネスメール詐欺(BEC)
ビジネスメール詐欺(BEC:Business Email Compromise)とは、経営者や取引先を装ったメールで、社員に不正な送金や情報開示を実行させる詐欺です。
「社長からの緊急の振込指示」「取引先からの口座変更依頼」など、業務上ありえる内容を巧妙に偽装するため、担当者が信じてしまうケースが多発しています。
- 【攻撃の特徴】
- ・「社長からの緊急指示」を装い、担当者が数百万円を振り込む
- ・取引先からの「口座変更のお知らせ」で振込先が詐欺口座に変わる
- ・メールアドレスが本物と1文字違うだけの偽アドレスから届く
対策は送金・口座変更の際に電話での二重確認を徹底するルール作りが最も有効です。
▲ 一覧に戻るアカウント乗っ取り
アカウント乗っ取りとは、フィッシングやパスワードリスト攻撃などの手口でアカウントの認証情報を入手し、正規ユーザーを締め出して不正利用する攻撃です。
SNSのビジネスアカウントやクラウドサービスのアカウントが乗っ取られ、悪用される事例が増えています。
乗っ取られた後にパスワードを変更されると、元の所有者が取り戻すことは困難です。
- 【攻撃の特徴】
- ・クラウドの業務システムに不正ログインされて情報が盗まれる
- ・SNSアカウントが乗っ取られて誤情報が拡散される
- ・乗っ取り後に認証情報を変更されてアカウントを失う
対策は多要素認証の導入と、不審なログイン通知に即座に対応できる体制作りです。
▲ 一覧に戻るWebアプリ・システムの脆弱性を狙う攻撃
自社のホームページや受発注システム、ECサイトなどWebアプリケーションの欠陥(脆弱性)を突いて情報を盗んだりシステムを乗っ取ったりするカテゴリです。
SQLインジェクション
SQLインジェクションとは、Webサイトの入力フォームに悪意あるSQL命令文を埋め込み、データベースから情報を不正に取得・改ざん・削除する攻撃です。
ECサイトや会員登録フォームなど、データベースと連携しているWebサービスが主な標的です。
適切な対策なしで運用しているサイトは非常に危険な状態にあります。
- 【攻撃の特徴】
- ・顧客情報・会員データが大量に流出する
- ・データベースの内容が改ざん・削除される
- ・管理者権限を取得されてサイト全体が乗っ取られる
対策はWebアプリの開発時に「プリペアドステートメント」を使用し、WAFを導入することが重要です。
▲ 一覧に戻るOSコマンドインジェクション
OSコマンドインジェクションとは、Webアプリケーションの入力フォームを通じてOSのコマンドを実行させ、サーバーを乗っ取る攻撃です。
SQLインジェクションがデータベースを標的とするのに対し、こちらはサーバーのOS自体を操作します。
成功すると攻撃者がサーバーを完全にコントロールできる状態になります。
- 【攻撃の特徴】
- ・サーバー上のファイルを自由に読み取り・削除される
- ・攻撃者がサーバーをリモートで自由に操作できる状態になる
- ・バックドアを設置されて継続的に悪用される
対策は入力値の厳密なバリデーション(検証)と、WAFの導入、最小権限の原則に基づいたサーバー設定です。
▲ 一覧に戻るクロスサイトスクリプティング(XSS)
クロスサイトスクリプティング(XSS)とは、Webサイトに悪意あるスクリプトを埋め込み、そのページを見たユーザーのブラウザ上でスクリプトを実行させる攻撃です。
攻撃者が仕掛けたスクリプトが正規のWebサイトから実行されるため、ユーザーはそのサイトを信頼してしまいます。
主な被害はクッキー(セッション情報)の窃取や、フィッシングサイトへのリダイレクトです。
- 【攻撃の特徴】
- ・正規サイトを見ているのにフィッシングページに誘導される
- ・ログイン中のセッション情報が盗まれてアカウントを乗っ取られる
- ・悪意あるポップアップが表示されて情報を入力させられる
対策はWebアプリのXSS対策コーディングと、コンテンツセキュリティポリシー(CSP)の設定です。
▲ 一覧に戻るクロスサイトリクエストフォージェリ(CSRF)
CSRFとは、ログイン中のユーザーに悪意あるサイトを閲覧させることで、本人の意図しない操作(送金・設定変更など)を正規サービス上で実行させる攻撃です。
ユーザーが気づかないうちに「ボタンを押した状態」と同じ操作が実行されるため、被害に気づきにくいのが特徴です。
ネットバンキングや管理画面への攻撃に悪用されます。
- 【攻撃の特徴】
- ・ログイン中に別のタブで罠のサイトを見るだけで不正操作が実行される
- ・銀行への不正送金や、パスワードの変更が本人の知らぬ間に行われる
- ・管理者権限で操作されるためシステム全体に影響が出る
対策はCSRFトークンの実装と、Cookieの「SameSite」属性の設定です。
▲ 一覧に戻るディレクトリトラバーサル
ディレクトリトラバーサルとは、Webアプリケーションのファイルパス処理の欠陥を突いて、公開されるべきでないサーバー内のファイルに不正にアクセスする攻撃です。
「../」などの記号を入力することで、Webサーバーの設定ファイルや認証情報ファイルなどに直接アクセスできてしまうことがあります。
- 【攻撃の特徴】
- ・サーバーの設定ファイルや認証情報が流出する
- ・公開を意図していない機密文書がダウンロードされる
- ・システムの構造を把握されて次の攻撃の足がかりになる
対策は入力値のサニタイジング(無害化処理)と、公開ディレクトリの適切な設定管理です。
▲ 一覧に戻るバッファオーバーフロー攻撃
バッファオーバーフロー攻撃とは、プログラムのデータ一時保存領域(バッファ)を意図的に溢れさせて、プログラムの動作を乗っ取る攻撃です。
メモリの隣接領域に不正なコードを上書きすることで、プログラムを任意の動作で実行させます。
古いシステムや更新プログラムを適用していないソフトウェアで特に発生しやすいです。
- 【攻撃の特徴】
- ・管理者権限でプログラムを実行される状態になる
- ・サービスのクラッシュや再起動が引き起こされる
- ・システムに任意のコードを実行させられる
対策はOSやソフトウェアの定期的なアップデートと、脆弱性スキャンの実施です。
▲ 一覧に戻るゼロデイ攻撃
ゼロデイ攻撃とは、ソフトウェアの脆弱性が発見されてから修正プログラムが提供されるまでの「空白期間」を突く攻撃です。
「ゼロデイ(0日)」とは「修正プログラム提供の0日前」という意味で、対策が存在しない状態での攻撃です。
2026年のIPA10大脅威でも上位にランクインしており、危険な攻撃の一つです。
- 【攻撃の特徴】
- ・パッチ(修正プログラム)が存在しないため防ぐことが非常に困難
- ・主要なOSやブラウザでも発見され、世界中で一斉に被害が広がる
- ・脆弱性情報が公開される前に攻撃者がゼロデイ脆弱性を高値で売買している
対策はUTMやWAFによる通信フィルタリングと、ソフトウェアのパッチを最速で適用する運用ルールの整備です。
▲ 一覧に戻るドライブバイダウンロード
ドライブバイダウンロードとは、不正なスクリプトを仕込んだWebサイトにアクセスするだけで、ユーザーが知らないうちにマルウェアがダウンロード・インストールされる攻撃です。
「drive-by(通りすがりに)」という名前のとおり、リンクをクリックしたり何かをインストールしたりする操作が不要で、アクセスするだけで感染します。
正規のWebサイトが改ざんされて踏み台にされるケースもあります。
- 【攻撃の特徴】
- ・アクセスするだけでマルウェアが自動的にインストールされる
- ・正規の有名サイトが改ざんされて経由地になることがある
- ・ブラウザやプラグイン(Java、Flashなど)の脆弱性が悪用される
対策はブラウザと使用しているプラグインの常時最新化と、URLフィルタリング機能の導入です。
▲ 一覧に戻るクリックジャッキング
クリックジャッキングとは、Webページ上の正規のボタンや画像の上に見えない透明なレイヤーを重ね、ユーザーが意図しない操作を実行させる攻撃です。
「この動画を見る」とクリックしたつもりが、裏で「退会手続き」や「送金操作」が実行されていた、というケースがこれです。
- 【攻撃の特徴】
- ・クリックするたびに意図しない操作が裏で実行される
- ・SNSの「いいね」や「フォロー」を無断で押させられることも
- ・管理画面上での不正操作に悪用されるリスクがある
対策はWebサイトの「X-Frame-Options」ヘッダーの設定と、フレーム内への読み込みを禁止する設定です。
▲ 一覧に戻るフォームジャッキング
フォームジャッキングとは、ECサイトや問い合わせフォームに悪意あるスクリプトを埋め込み、入力されたクレジットカード情報や個人情報をリアルタイムで盗む攻撃です。
決済フォームで入力した情報が、支払い処理と同時に攻撃者にも送信されます。
ユーザーには決済が正常に完了したように見えるため、被害に気づくのが大幅に遅れます。
- 【攻撃の特徴】
- ・クレジットカード情報がリアルタイムで攻撃者に送信される
- ・ECサイト運営者もすぐには気づかないため大量の被害が発生する
- ・正規のサイトへの第三者スクリプトの挿入で発生するため対策が難しい
対策はECサイトのセキュリティスキャンの定期実施と、コンテンツセキュリティポリシー(CSP)の厳格な設定です。
▲ 一覧に戻るネットワーク・インフラを狙う攻撃
会社のネットワーク基盤そのものを標的にして、通信を妨害・傍受・改ざんするカテゴリです。サービスの停止や通信内容の漏えいが主な被害です。
DoS攻撃
DoS攻撃(Denial of Service Attack)とは、1台のコンピューターからサーバーやネットワークに大量のデータを送り続け、過負荷状態にしてサービスを停止させる攻撃です。
DDoS攻撃(次項)の「1台版」にあたり、送信元が1台なのでIPアドレスをブロックすれば対処できる場合もあります。
Webサービスの停止が主な被害です。
- 【攻撃の特徴】
- ・Webサイトや業務システムへのアクセスが不能になる
- ・正規ユーザーがサービスを利用できなくなる
- ・短時間で大量のアクセスが集中してシステムがダウンする
対策はファイアウォールによる不審なアクセスのブロックと、DoS/DDoS対策サービスの導入です。
▲ 一覧に戻るDDoS攻撃
DDoS攻撃(Distributed Denial of Service Attack)とは、世界中に分散した多数のコンピューター(ボットネット)から同時に攻撃を仕掛け、標的のサービスをダウンさせる攻撃です。
DoS攻撃の強力版で、分散しているため発信元を特定・遮断することが困難です。
- 【攻撃の特徴】
- ・大規模なサービス停止が長時間にわたって続く
- ・攻撃元が世界中に分散しているため遮断が困難
- ・「攻撃を止めてほしければ金を払え」という脅迫型も増加中
対策はCDN(コンテンツデリバリーネットワーク)やDDoS対策サービスの導入が最も効果的です。
▲ 一覧に戻るSYNフラッド攻撃
SYNフラッド攻撃とは、TCP通信の接続開始要求(SYN)を大量に送り続け、サーバーの接続処理能力を枯渇させてサービスを停止させる攻撃です。
通常のTCP通信では「SYN→SYN-ACK→ACK」という3段階の「3ウェイハンドシェイク」を経て接続が確立しますが、攻撃者はSYNを大量送信したまま応答(ACK)を返さず、サーバーの接続待ち状態を埋め尽くします。
- 【攻撃の特徴】
- ・サーバーの接続リソースが枯渇してサービスがダウンする
- ・正規のユーザーがまったく接続できない状態になる
- ・比較的少ないリソースで大きなダメージを与えられる
対策はSYNクッキーの有効化と、ファイアウォールによる異常なSYNパケットの検知・遮断です。
▲ 一覧に戻るDNSキャッシュポイズニング
DNSキャッシュポイズニングとは、ドメイン名とIPアドレスの対応情報(DNSキャッシュ)を偽の情報に書き換え、正規サイトへのアクセスを偽サイトに誘導する攻撃です。
正しいURLを入力しても偽サイトに接続してしまうため、ユーザーが気づくことが難しいのが特徴です。
フィッシング詐欺と組み合わせることで被害が拡大します。
- 【攻撃の特徴】
- ・正しいURLを打ち込んでも偽サイトに誘導される
- ・IDやパスワード・クレジットカード情報が偽サイトで入力される
- ・ユーザーが正規サイトにいると信じたまま情報を入力する
対策はDNSSECの導入と、DNS設定の定期的な確認です。
▲ 一覧に戻るDNSトンネリング
DNSトンネリングとは、DNS通信(ドメイン名の問い合わせ)を悪用してファイアウォールを迂回し、マルウェアの制御通信やデータの窃取を行う攻撃技術です。
DNSはほぼすべてのネットワークで使用が許可されているため、この通信を隠れ蓑にして不正な通信を行います。
ファイアウォールで一般的なポートをブロックしていても通り抜けてしまうため厄介です。
- 【攻撃の特徴】
- ・ファイアウォールを迂回してデータが外部に送信される
- ・感染した端末が外部の攻撃者と通信し続ける
- ・検知が難しく、長期間にわたって通信が続く
対策はDNS通信のモニタリングと、UTMによる不審なDNSクエリの検知です。
▲ 一覧に戻るIPスプーフィング
IPスプーフィングとは、送信元のIPアドレスを偽装して、別の端末になりすましてネットワーク通信を行う攻撃です。
DoS/DDoS攻撃の送信元を隠蔽するために使われる他、ファイアウォールの「信頼するIPアドレス」設定を突破するためにも悪用されます。
- 【攻撃の特徴】
- ・攻撃の発信元を隠蔽してDoS攻撃をかける
- ・信頼されたIPアドレスになりすましてネットワークに侵入する
- ・アクセスログを汚染して調査を妨害する
対策はファイアウォールでの送信元IPアドレスの検証(イングレスフィルタリング)と、UTMによる異常通信の検知です。
▲ 一覧に戻るARPスプーフィング
ARPスプーフィングとは、同一ネットワーク内でARP(アドレス解決プロトコル)の応答を偽装して、通信の経路を攻撃者の端末に向けさせる攻撃です。
社内ネットワーク内に潜伏した攻撃者がこれを使うと、他の社員のすべての通信を傍受できる状態になります。
中間者攻撃(MITM)の実現手段としてよく使われます。
- 【攻撃の特徴】
- ・社内ネットワーク内の通信が攻撃者を経由して盗み見される
- ・VPNを使わずに社内通信を平文で送るケースで特に危険
- ・ネットワーク内に攻撃者が侵入した際の標準的な手口
対策は動的ARPインスペクション(DAI)の設定と、社内ネットワークのVPN化です。
▲ 一覧に戻るポートスキャン
ポートスキャンとは、標的のサーバーやパソコンに対して多数のポートに順番にアクセスし、どのポートが開いているか(どのサービスが稼働しているか)を調べる攻撃の前段階行為です。
直接的な被害をもたらすわけではありませんが、攻撃の「下調べ」として行われます。
開いているポートを把握することで、攻撃者はそのポートを利用したサービスの脆弱性を突きやすくなります。
- 【攻撃の特徴】
- ・侵入の糸口となる開放ポートが攻撃者に把握される
- ・稼働中のサービスとそのバージョンが特定される
- ・続く本格的な攻撃の「偵察」として組み合わせて使われる
対策は不要なポートの閉鎖と、ファイアウォールによるポートスキャンの検知・ブロックです。
▲ 一覧に戻るランダムサブドメイン攻撃
ランダムサブドメイン攻撃とは、存在しないランダムなサブドメインへの問い合わせを大量に送りつけて、DNSサーバーに過大な負荷をかけてサービスを停止させる攻撃です。
DDoS攻撃のDNS版ともいえる手口で、ランダムに生成したサブドメインへの名前解決要求を大量発生させ、DNSサーバーのリソースを枯渇させます。
- 【攻撃の特徴】
- ・DNSサーバーがダウンして、ドメインベースのサービスが全停止する
- ・大量の無効な問い合わせで帯域が消費されて通信が遅くなる
- ・DNS応答キャッシュが汚染される副次被害も発生する
対策はDNSサーバーへのレート制限設定と、クラウド型のDNSプロバイダーへの移行が有効です。
▲ 一覧に戻るPing of Death
Ping of Deathとは、規格で定められた最大サイズを超える巨大なPingパケットを送りつけて、受信したシステムを誤作動させたりクラッシュさせたりする古典的な攻撃です。
現在の主要なOSは対策済みですが、古いシステムや組み込み機器(IoT機器)では今も有効な攻撃となっています。
工場の設備や古いサーバーを使っている企業は注意が必要です。
- 【攻撃の特徴】
- ・古いOSを使ったシステムがクラッシュする
- ・IoT機器や組み込み機器が誤作動する
- ・現代のシステムへの直接的な影響は少ないが、古い機器では有効
対策は使用中のシステムを最新バージョンに更新し、古いOSや機器を使い続けないことです。
▲ 一覧に戻る人の心理や操作ミスを狙う攻撃
技術的な脆弱性ではなく、人間の心理や行動の隙を突く攻撃です。どれだけ高性能なセキュリティシステムを導入しても、社員への教育がなければ防げません。
フィッシング詐欺
フィッシング詐欺とは、金融機関や大手サービスになりすました偽メールや偽サイトで、IDやパスワード・クレジットカード情報などを入力させて盗む攻撃です。
前述の「代表的な攻撃」でも詳しく解説しましたが、AIの活用で日本語の品質が飛躍的に上がり、見抜くことが難しくなっています。
- 【攻撃の特徴】
- ・本物とそっくりの偽ログイン画面でIDとパスワードを入力させる
- ・「アカウントが停止されます」などの焦らせる文句で誘導する
- ・URLは一見正規に見えるが、よく見ると1文字違うなど微妙に異なる
対策は多要素認証(MFA)の全サービス導入と、リンクはクリックせずに公式サイトに直接アクセスする習慣の徹底です。
▲ 一覧に戻るスミッシング
スミッシング(Smishing)とは、SMS(ショートメッセージ)を使ったフィッシング詐欺で、偽のリンクを送りつけてフィッシングサイトに誘導する攻撃です。
「荷物の配送通知」「未払い料金の請求」など日常生活でありがちな内容でSMSが届くため、スマートフォンを使う社員全員がターゲットになります。
- 【攻撃の特徴】
- ・「宅配便の再配達はこちら」というSMSのリンクをタップすると偽サイトへ
- ・スマートフォンのSMSは迷惑フィルターが甘く届きやすい
- ・個人のスマホ(BYOD)を業務利用している企業は特に注意
対策はSMSのリンクを安易にタップしないルールの周知と、スマートフォンへのセキュリティアプリ導入です。
▲ 一覧に戻るビッシング
ビッシング(Vishing)とは、音声通話(Voice)を使ったフィッシング詐欺で、電話で公的機関や銀行、IT企業などを装って個人情報や認証情報を聞き出す攻撃です。
最近はAIによる音声合成で、知人や上司の声を模倣した詐欺電話も出現しています。
- 【攻撃の特徴】
- ・「IT部門です」と名乗り、パスワードを聞き出す
- ・「税務署です」と名乗り、支払い情報を要求する
- ・AIで経営者の声を合成して「今すぐ振り込め」と指示する事例も
対策は電話でパスワードや認証情報を聞かれても絶対に答えないルール徹底と、折り返し確認の義務付けです。
▲ 一覧に戻る標的型攻撃メール
標的型攻撃メールとは、特定の企業や個人を調査したうえで、実際の業務内容に即した内容でマルウェアを添付したメールを送りつける攻撃です。
前述の「代表的な攻撃」でも解説しましたが、一般的なフィッシングと異なり、受け取った相手が「自分宛てのメールだ」と認識してしまうほど精巧に作られています。
- 【攻撃の特徴】
- ・「先日お話しした件の資料です」など実際の取引内容に言及してくる
- ・送信元が取引先のアドレスに酷似している
- ・開封した瞬間にマルウェアが起動して感染する
対策は不審なメールを報告する社内体制の整備と、EDRによる端末の挙動監視です。
▲ 一覧に戻る水飲み場型攻撃
水飲み場型攻撃とは、標的の企業や業界の社員が頻繁に訪れるWebサイトを事前に改ざんしてマルウェアを仕込み、標的が自ら感染してくるのを待つ攻撃です。
動物が水飲み場に集まるのを肉食獣が待ち伏せする様子から名付けられた攻撃手法です。
業界団体のWebサイトや専門情報サイトが改ざんされるケースがあります。
- 【攻撃の特徴】
- ・いつも見ている業界サイトを閲覧するだけで感染する
- ・標的が能動的に行動しないと攻撃できないため、特定業種に絞った攻撃に多い
- ・改ざんされたサイトは一見すると普通に見えるため気づきにくい
対策はWebフィルタリングの導入と、ブラウザやプラグインの常時最新化です。
▲ 一覧に戻るソーシャルエンジニアリング
ソーシャルエンジニアリングとは、技術ではなく「人を操る」手口で情報を引き出す攻撃の総称です。権威、焦り、親しみなどの心理的バイアスを利用します。
「IT担当です、パスワードを確認させてください」「上司に頼まれました、このUSBを挿してください」など、対面や電話での会話から情報や操作を引き出す手口です。
- 【攻撃の特徴】
- ・権威のある人物を装って指示に従わせる(権威的服従)
- ・「今すぐ対応しないと問題になる」と焦らせて判断力を奪う
- ・親しみを装って情報を自然に話させる
対策はどんな状況でも「確認の手順を踏む」というルールを全社員に徹底することが最大の防御になります。
▲ 一覧に戻るなりすましサイトへの誘導
なりすましサイトへの誘導とは、正規サイトとほぼ同じ見た目の偽サイト(なりすましサイト)を作成し、メールやSMSなどで誘導してログイン情報や個人情報を入力させる攻撃です。
URLが一見正規に見えるように「amazon-security.com」「mufg-support.jp」など、もっともらしいドメインが使われます。
- 【攻撃の特徴】
- ・URL以外は本物そっくりのサイトでIDとパスワードを入力させる
- ・SEOを悪用してなりすましサイトを検索上位に表示するケースもある
- ・ブランドを無断利用することで信頼性を装う
対策はブックマークや公式アプリからのアクセスを習慣化し、メールやSMSのリンクから直接ログインしないことです。
▲ 一覧に戻る高度・複合型の攻撃
複数の攻撃手法を組み合わせ、長期にわたって潜伏しながら被害を拡大させる最も危険なカテゴリです。
発見・排除が難しく、被害が判明したときには大規模な情報漏えいが起きているケースが多いです。
APT攻撃
APT攻撃(Advanced Persistent Threat:高度持続的標的型攻撃)とは、国家レベルのリソースを持つ攻撃者が、特定の標的に対して長期間にわたって継続的に行う高度な攻撃です。
「高度(Advanced)」「持続的(Persistent)」「脅威(Threat)」という名前のとおり、単発の攻撃ではなく、数ヶ月〜数年かけてじっくりと侵入・情報収集・破壊を行います。
- 【攻撃の特徴】
- ・長期間にわたって社内ネットワークに潜伏して情報を収集する
- ・発見されにくいよう正規の通信に紛れて活動する
- ・国家機密や軍事技術など、高価値情報を持つ企業・機関が主な標的
対策はEDRによるエンドポイント監視、ネットワークの異常通信検知、SIEM(セキュリティ情報イベント管理)の導入です。
▲ 一覧に戻るサプライチェーン攻撃
サプライチェーン攻撃とは、セキュリティが強固な大企業の代わりに、その取引先・委託先・ソフトウェアベンダーなど「サプライチェーン」の弱い部分を狙って侵入する攻撃です。
前述の「代表的な攻撃」でも詳しく解説しましたが、中小企業が踏み台にされることが多く、自社が被害を受けるだけでなく、大切な取引先に多大な迷惑をかける結果につながります。
- 【攻撃の特徴】
- ・自社が攻撃に加担する「踏み台」として悪用される
- ・ソフトウェアの更新ファイルに悪意あるコードが混入される
- ・委託している業務システムを通じて顧客情報が流出する
対策は取引先・委託先を含めたセキュリティ基準の統一と、使用するソフトウェアの出所確認の徹底です。
▲ 一覧に戻るEmotet
Emotetとは、メールを通じて感染し、社内ネットワーク内で自己増殖しながら認証情報を収集するとともに、感染したメールアドレスから次の攻撃メールを送り続ける高度なマルウェアです。
日本でも非常に大きな被害が繰り返し発生しており、2022年の復活以降も変異しながら活動を続けています。
感染すると自社だけでなく、取引先へも攻撃メールを送るため、社会的信用を失うリスクがあります。
- 【攻撃の特徴】
- ・実際のメール文面を引用した「返信を装ったメール」で感染が広がる
- ・感染端末から社内の全連絡先に攻撃メールが自動送信される
- ・認証情報を収集してランサムウェアへの感染の下準備をする
対策はメールのマクロ機能の無効化と、EDRによるリアルタイム検知、感染時の端末即時ネットワーク遮断の手順整備です。
▲ 一覧に戻る二重脅迫型ランサムウェア
二重脅迫型ランサムウェアとは、データを暗号化する従来のランサムウェアに加えて、暗号化前にデータをコピーして「支払わなければ公開する」と脅す攻撃手法です。
バックアップがあっても「情報を公開するぞ」という脅しが残るため、バックアップだけでは解決できない状況になります。
顧客情報や機密情報が公開された場合の社会的・法的ダメージは計り知れません。
- 【攻撃の特徴】
- ・バックアップがあっても「情報公開」という脅しが残る
- ・顧客情報の流出が確定的になるため対外的な対応が必要になる
- ・支払っても情報を公開する悪質な攻撃者グループも存在する
対策はデータの暗号化保管と、インシデント発生時の対応計画(インシデントレスポンスプラン)の事前整備です。
▲ 一覧に戻るIoT機器を狙う攻撃
IoT機器を狙う攻撃とは、ネットワークに接続された防犯カメラ・ルーター・工場の制御機器などのIoT機器のセキュリティの弱さを突いて侵入する攻撃です。
多くのIoT機器は出荷時のデフォルトパスワードが設定されたままで使われており、攻撃者にとって格好の侵入口になっています。
製造業では工場の制御システムまで侵害されるリスクがあります。
- 【攻撃の特徴】
- ・防犯カメラの映像が外部から盗み見される
- ・IoT機器を踏み台にして社内ネットワークに侵入される
- ・工場の制御システム(OT)が攻撃されて生産ラインが停止する
対策はIoT機器のデフォルトパスワードの必ず変更し、ファームウェアを定期更新すること、また業務ネットワークとIoT機器のネットワークを分離することが重要です。
▲ 一覧に戻るクラウド設定不備を突く攻撃
クラウド設定不備を突く攻撃とは、AWSやAzureなどのクラウドサービスの設定ミスや権限設定の不備を悪用して、保存されたデータに不正にアクセスする攻撃です。
「クラウドに移行したから安全」と思っている企業が多いですが、設定次第で社内データが外部からアクセス可能な状態になっていることがあります。
ストレージの公開設定ミスによる個人情報流出が国内でも多発しています。
- 【攻撃の特徴】
- ・ストレージの公開設定ミスで顧客データが誰でも閲覧可能になる
- ・権限設定の誤りで不要なユーザーがシステムを操作できる状態になる
- ・クラウドのルートアカウント情報の流出でシステム全体が乗っ取られる
対策はクラウドの設定を定期的にチェックし(クラウドセキュリティポスチャー管理:CSPM)、最小権限の原則を徹底することです。
▲ 一覧に戻るサイバー攻撃の被害事例
2025年に発生した代表的な被害
大手企業や医療機関、インフラ事業者など、規模や業種を問わず被害が広がっています。
ランサムウェアによる業務停止やサプライチェーンを経由した情報漏えいなど、その手口は年々巧妙化しているのが特徴です。
代表的な被害事例の詳細は以下の記事で解説しています。
▶ 【2025年最新】サイバー攻撃を受けた企業一覧|被害内容・原因・復旧対応まで徹底解説
中小企業で発生した事例
「うちは小さい会社だから狙われない」は過去の話です。
従業員数十名規模の中小企業でも、ランサムウェア感染による業務停止やビジネスメール詐欺による送金被害など、深刻な被害が多数報告されています。
自社が実際にどのような攻撃を受けるリスクがあるのか、具体的な事例をもとに確認しておきましょう。
▶ 中小企業サイバー攻撃事例!実在企業の被害から学ぶ原因と対策
サイバー攻撃対策でよくある失敗
対策を「やっているつもり」でも、重大な穴を残してしまっているケースが中小企業には非常に多くあります。
ここでは経営者が陥りがちな失敗を整理します。
【この章で解説する内容】
・ウイルス対策ソフトだけで十分だと思っている
・パスワードを使い回している
・バックアップを取っていない
・取引先や委託先のリスクを見ていない
・社長や管理職がセキュリティを現場任せにしている
・何か起きてから対策しようとしている
ウイルス対策ソフトだけで十分だと思っている
ウイルス対策ソフトは「既知のマルウェア」を検知するツールです。
しかし、現在の攻撃はファイルレスマルウェアや未知の脆弱性を悪用するゼロデイ攻撃など、ウイルス対策ソフトが検知できない手口が増えています。
たとえば次のような攻撃はウイルス対策ソフトでは防げません。
・フィッシングメールによるID・パスワードの詐取
・ゼロデイ脆弱性を突いた侵入
・ビジネスメール詐欺(人を騙す攻撃)
・パスワードリスト攻撃による不正ログイン
ウイルス対策ソフトはあくまで防御の「入り口」に過ぎません。UTM・EDR・バックアップ・教育など、多層的な対策が必須です。
UTMはうちには必要ないな、と感じている方は、ぜひ以下の記事を参考にしてみてください。
▶ 【必読】UTMは必要ない?古いと言われる理由を解明!導入メリットと判断基準
パスワードを使い回している
パスワードの使い回しは「一箇所で被害が出たら全滅する」状況を自ら作り出しているのと同じです。
「覚えきれないから同じパスワードを使っている」という方は非常に多いですが、これが攻撃者にとって最も狙いやすい状況です。
どこか一つのサービスからパスワードが流出すれば、会計システム・メール・クラウドストレージとドミノ倒しで被害が広がります。
・一つのサービスの流出が全サービスへの不正アクセスにつながる
・社員全員が同じパスワードを使い回しているケースもある
・退職した社員のパスワードが変更されないまま使われることも
対策は会社全体でのパスワードマネージャーの導入と、全サービスへの多要素認証の適用です。
パスワードポリシーを明文化することも重要です。
バックアップを取っていない
バックアップがなければランサムウェア攻撃を受けた際に「身代金を払うか、すべて失うか」の二択になります。
特に注意が必要なのは、クラウドストレージが同期されている場合、ローカルで暗号化が発生するとクラウドの内容も同期して暗号化されてしまう点です。
・クラウド同期しているだけではランサムウェア対策にならない
・バックアップがネットワーク接続されていると攻撃対象になる
・バックアップから復元できるか定期的に「訓練」していない
理想的なバックアップ戦略は「3-2-1ルール(3つのコピー・2種類の媒体・1つはオフサイト)」です。オフラインバックアップを定期的に実施してください。
取引先や委託先のリスクを見ていない
取引先のセキュリティレベルが低い場合、自社がいくら対策しても侵害される可能性があります。
「うちは万全だ」と思っていても、業務システムを委託している業者や、毎日やりとりしている取引先が侵害されれば、その影響が自社にも波及してきます。これがサプライチェーン攻撃です。
・取引先から送られてくるファイルを無条件に開いている
・業務委託先のセキュリティ対策を確認したことがない
・共有しているクラウドサービスのアクセス権限を管理していない
対策は取引先へのセキュリティチェックシートの送付と、委託先との契約にセキュリティ要件を盛り込むことです。
社長や管理職がセキュリティを現場任せにしている
サイバーセキュリティは「IT担当者だけの問題」ではなく、経営課題です。経営者が関与しなければ、対策は形骸化します。
「セキュリティはIT担当に任せてある」という経営者もいますが、IT担当者が「対策が必要」と言っても、予算や社内ルールの変更は経営者の決断が必要です。
また、ビジネスメール詐欺のように経営者自身が標的になる攻撃も増えています。
・予算がつかないため担当者が必要な対策を導入できない
・「社長からの指示」を装った詐欺に経営者が無関心でいると被害が出やすい
・セキュリティポリシーが策定されておらず、社員の行動基準がない
経営者が「セキュリティを経営課題として宣言する」ことで、社員全体の意識が変わります。予算の確保と、経営者自身の学習が対策の第一歩です。
何か起きてから対策しようとしている
サイバー攻撃の被害は「起きてから対策する」では取り返しがつきません。事前の備えがすべてです。
攻撃を受けてから復旧するまでの間、業務は停止し、顧客への説明・行政への報告・メディア対応など、想像を超える負荷が発生します。
・ランサムウェア感染後の復旧には平均数週間かかると報告されている
・個人情報漏えいが発生した場合、個人情報保護委員会への報告義務がある
・取引先への二次被害が発生した場合、損害賠償リスクもある
「何もなかった」という時間は、対策を整えるチャンスです。今すぐ現状の棚卸しから始めることをお勧めします。
企業がやっておきたいサイバー攻撃対策
サイバー攻撃への対策は「何から始めればいいかわからない」という方が多いですが、まずは基本的なところから順番に押さえていくことが重要です。
具体的な対策の手順や導入すべきツールについては、以下の記事で詳しく解説しています。
▶ 中小企業サイバーセキュリティ対策の始め方|最初にやるべき手順と具体策を解説
サイバー攻撃に関するよくある質問
最後にサイバー攻撃に関するよくある質問を紹介します。
サイバー攻撃のワースト1位は?
IPA「情報セキュリティ10大脅威(2026年版)」では、ランサムウェアによる被害が1位です。データを暗号化して身代金を要求するこの攻撃は、中小企業も含め国内で最も被害が多く、一度被害に遭うと業務の完全停止という甚大な損失につながります。
サイバー攻撃が多い業種は?
医療・製造・教育・金融・情報通信業が特に被害が多い業種とされています。なかでも医療機関や製造業はランサムウェアの標的になりやすく、サプライチェーンの一端を担う中小製造業も攻撃の標的となっています。業種を問わず「取引先の大手企業」の関連企業は特に注意が必要です。
サイバー攻撃の主な種類は?
大きく分けると「マルウェア感染型・認証情報窃取型・Webアプリ脆弱性悪用型・ネットワーク妨害型・人的要因型・高度複合型」の6種類があります。この記事では53種類の手口を網羅しているため、全体像の把握にご活用ください。
世界一のサイバー攻撃は?
被害規模が最大とされるのは2017年に発生した「WannaCry(ワナクライ)」ランサムウェア攻撃です。150カ国以上・30万台以上のコンピューターが感染し、病院・銀行・鉄道・通信会社など社会インフラに深刻な被害をもたらしました。被害総額は数十億ドル規模とも推定されています。Windowsの未適用の脆弱性を突いた攻撃であり、「パッチ適用の遅れ」が被害拡大の主要因とされています。
まとめ|サイバー攻撃の種類を知り、自社に合った対策を始めよう
この記事では、2026年現在に実際に発生しているサイバー攻撃の種類について解説しました。
【この記事で解説した内容】
・サイバー攻撃は大きく6つのカテゴリに分類できる
・攻撃の手口は年々多様化・巧妙化している
・ウイルス対策ソフトだけでは防げない攻撃が大半を占める
・中小企業こそ「踏み台」として狙われやすい
サイバー攻撃は、手口を知らなければ対策の優先順位が立てられず、結果として「やっているつもり」の穴だらけの状態になってしまいます。
何から始めればいいかわからない方は、まず自社の対策状況を確認することから始めてみてください。
取引先から「セキュリティ対策は万全ですか?」と聞かれたとき、自信を持って答えられる状態を今から作っていきましょう。
UTMの導入や対策全般についてのご相談は、お気軽にお問い合わせください。
