サイバー攻撃から身を守る方法とは？

機密情報の漏洩、銀行口座の流出、個人情報の盗難などは、サイバー攻撃による被害のほんの一部に過ぎません。しかし、その事実を知って絶望する必要はありません。サイバー攻撃から身を守る方法は存在しますし、何が起きているのかを知ることで、結果として安全な生活を送ることに繋がるからです。そこで今回は、サイバー攻撃の仕組みや、サイバー犯罪の種類、サイバー攻撃の日本における事例、そして自分自身を守る方法について見ていきましょう。

サイバー攻撃とは、ネットワークを通じて、サーバーやパソコン、スマートフォン、タブレットなどの端末を意図的に狙い、破壊したり、データを盗んだり、改ざんしたりする行為のことを指します。

サイバー攻撃は、ハッカーのような個人によって行われることもあれば、組織によって行われる大規模なケースもあり、その場合、人や組織、あるいは国が標的になります。

政府機関や重要インフラのシステムに攻撃を仕掛け、人々の生活や社会経済活動に深刻な影響を与える「サイバーテロ」や、時間や手段、方法を問わず、特異的かつ継続的に攻撃を行い、最終的に重要な情報を入手する「標的型サイバー攻撃」は、年々巧妙化しており、大きな脅威になっているサイバー攻撃と言われています。

サイバー攻撃には数え切れないほどの手口がありますが、具体的な事例を紹介する前に、どのように行われるかを見てみましょう。サイバー攻撃は大きく分けて以下の4種類に分類されます。

受動的攻撃

これは通常、破壊的でないサイバー攻撃です。ハッカーや悪意のある第三者は自分たちの活動を隠し、ターゲットにその事実が知られないようにします。基本的には、機密情報を収集または窃取するために受動的攻撃が仕掛けられます。

能動的攻撃

能動的攻撃は一般的に、個人のデバイス、ネットワーク、あるいはインフラ全体を混乱させたり破壊したりすることを目的としています。個人だけでなく、組織や国が動的攻撃の標的になる可能性も大いにあります。

内部攻撃

内部攻撃（インサイダー攻撃）は、その名前の通り、標的とするシステムへのアクセスをすでに許可されている人物や組織によって実行されます。内部攻撃によるインサイダー脅威は、近年急速に高まっています。

外部攻撃

外部攻撃（アウトサイダー攻撃）は、攻撃対象とって部外者である人物や組織によって実行されるのが一般的です。攻撃を仕掛ける人物や組織には、個人が行うものから国家が行うものまでさまざまなケースがあります。

ここからは、サイバー攻撃の内部を見てみましょう。最も一般的なサイバー攻撃の被害事例や手口を紹介します。

DDoS攻撃

DDoS（分散型サービス拒否）攻撃とは、オンライントラフィックを集中させることによって、サービス、サーバー、またはネットワークを妨害するように設計されたインターネット上のサイバー攻撃です。感染したコンピュータのネットワークを使用してターゲットを圧倒するため、サービスは正規のトラフィックを一切受け付けなくなります。この種の攻撃は、サービスを遅くしたり、完全に停止させたりする可能性があります。日本では、2015年に東京五輪組織委員会のホームページがDDoS攻撃を受け、約12時間にわたって閲覧ができなくなった事件がありました。

マルウェア

マルウェアとは、悪意のあるソフトウェアの総称で、ターゲットに危害を加えるか、または他の方法で利用するように設計されたものです。マルウェアには、被害者の情報を密かに収集したり、迷惑な広告を表示したりするアドウェアから、ユーザーのデータを暗号化して身代金を要求するランサムウェア攻撃まで、さまざまなものがあります。2015年に発生した日本年金機構の情報漏洩は、マルウェアの感染が原因だったということがわかっています。また、2020年に株式会社カプコンがランサムウェアによるサイバー攻撃を受けて、財務情報および個人情報が流出した事件は記憶に新しいでしょう。

ソーシャルエンジニアリング攻撃

ソーシャルエンジニアリング攻撃は、ユーザーをだまして、機密データの開示、マルウェアのインストール、加害者への送金をさせるものです。サイバー犯罪者は通常、銀行関係者やウェブサイトなど、信頼できる人物になりすましてウェブサイトやメールを偽装し、自分の利益に反する行為を実行させようと試みます。

中間者攻撃

中間者攻撃では、犯罪者はユーザーのコンピュータと、アプリ、ウェブサイト、他のユーザーといった受信者との間の通信を傍受します。そして、通信を操作して、ターゲットのデータを入手することができます。

ゼロデイ攻撃

ゼロデイ攻撃は、パッチがリリースされる前のソフトウェアやネットワークの脆弱性を狙ったサイバー攻撃です。最近の事例では、2019年に三菱電機がこのタイプのサイバー攻撃を受け、最大8122人の情報が流出した可能性があると報道されました。

クロスサイトスクリプティング

クロスサイトスクリプティングは、信頼できるWebサイトに悪意のあるスクリプトを挿入し、ユーザーの個人情報を収集するサイバー攻撃です。通常、ターゲットがウェブサイトのログインフィールドに入力した情報を記録することによって行われます。

SQLインジェクション

SQLインジェクションは、悪意のあるSQLコードを実行可能なものとして解釈するよう、ウェブサイトをだまし討ちするサイバー攻撃です。こうすることで、犯人は、本来なら機密であるはずの情報をサイトから獲得することができるのです。

上記で紹介したサイバー犯罪の事例が示すように、サイバー攻撃は甚大な被害をもたらす可能性があります。サイバー脅威はインターネットの隅々にまで潜んでいるように見えますが、犯行を未然に防いで自分自身を守るためにできる対策もあります。

• マルウェア対策を使う。マルウェア対策とは、マルウェアを阻止または駆除するツールやソフトウェアのことで、悪意のあるソフトウェアに対する最初の防衛線としての役割があります。たとえば、脅威対策のようなマルウェア対策を使うことで、デバイスを保護し、万が一感染した場合は被害を最小限に抑えることができます。
• OSやソフトウェアを常に最新の状態に保つ。OSやソフトウェアをアップデートすることで、アプリに新しい機能を追加できるだけではなく、第三者に悪用される可能性のある脆弱性を解消するセキュリティパッチを適用できます。
• 公衆Wi-Fiホットスポットを避ける。ハッカーや悪意のある第三者は、無料の公衆Wi-Fiホットスポットを狙ってサイバー攻撃を仕掛けることがあります。公衆Wi-Fiのセキュリティは弱く、第三者が不正に侵入することは容易なため、カフェやホテル、空港などで公衆Wi-Fiに接続すると、標的にされてしまう可能性があります。
• VPNを利用する。どうしても公衆Wi-Fiを利用しないといけない場合は、VPNを利用するといいでしょう。VPNとは仮想プライベートネットワークの略で、インターネット接続を暗号化する仕組みです。VPNをパソコンやスマホに導入することで、第三者はあなたのオンラインアクティビティを盗み見ることができなくなります。また、IPアドレスがばれることにより生じるデメリットを解消したい場合にも有効です。
• ネット上で自分に関する情報をできる限り公開しない。生年月日や生まれ育った場所の名前は、ハッカーや犯罪者にとって非常に貴重な情報です。ネット上であなたに関する情報を公開してしまうと、悪意のある第三者がその情報を使ってアカウントを乗っ取ったり、サイバー攻撃を仕掛けたりするかもしれません。
• セキュリティのためにブラウザ拡張機能を利用する。オンライン上であなたを守るために設計されたブラウザの拡張機能はたくさんあります。広告ブロックやアンチトラッカー、悪意のあるウェブサイトをブロックするものなど、さまざまな種類があります。正常に機能するプラグインを入手するには、サイバーセキュリティを向上させるためのブラウザ拡張機能の推奨事項を確認しましょう。
• アプリは信頼できる提供元からダウンロードする。アプリのダウンロードは、公式アプリストアのような安全なサイトからのみ行うようにしましょう。提供元不明のアプリをダウンロードした場合、アプリに組み込まれたマルウェアに感染する可能性があります。公式アプリストアでは厳しいチェックが行われているため、マルウェアが隠されている可能性は低くなります。
• 見慣れないリンクをクリックしない。ソーシャルエンジニアリング攻撃を防ぐには、冷静な判断が不可欠です。「手っ取り早くお金を稼げる」と謳うメールにリンクが記載されていたら、クリックする前に、危険なサイトではないかをチェックしましょう。サイトの安全性を確認できるツールを使うか、マウスをリンクの上に置いて表示されるURLを見て怪しいかどうか判断することで、フィッシング詐欺などのサイバー攻撃を未然に防げます。