年々多様化・巧妙化する、サイバー攻撃の手口

IPA（独立行政法人情報処理推進機構）が発表した「情報セキュリティ10大脅威 2025」では、情報セキュリティの脅威として次のような手口を挙げています。

• ランサムウェア：感染したパソコン内のデータを暗号化し、その解除を条件に金銭を要求する攻撃手法
• サプライチェーンや委託先をターゲットにした攻撃：企業の取引先や関連組織のセキュリティの隙間を突いて侵入し、そのネットワークを利用して本命の企業へ攻撃を仕掛ける手法
• システムの脆弱性を狙う攻撃：業務で使用しているシステムやアプリケーションの弱点を突いて、未修正の脆弱性を悪用し不正アクセスや情報漏洩を引き起こす手法

など

出典：IPA（独立行政法人情報処理推進機構）「情報セキュリティ10大脅威 2025」
https://www.ipa.go.jp/security/10threats/10threats2025.html

新たなサイバー攻撃手法として、AIを悪用した攻撃も増加しています。代表的な手法は、生成AIを操作して機密情報の流出や誤情報の拡散を引き起こす「プロンプトインジェクション」です。また、経営者を偽ったディープフェイクを使用して、従業員から金銭を騙し取る手口も確認されています。

サイバー攻撃は中小企業ほど高リスク？

サイバー攻撃のターゲットは国や大企業だけでなく、中小企業も含まれます。中小企業は資金や人手が限られているため、セキュリティ対策が不十分な場合が多く、攻撃者はその隙を狙います。場合によっては、中小企業を足掛かりにして、大企業や国の組織へ攻撃を仕掛けることもあります。
サイバー攻撃が引き起こすリスクは、情報漏洩や業務停止にとどまりません。システム破壊や取引先の業務停止、踏み台として使用されて機密情報が流出するなど、企業の信用が著しく損なわれる可能性があります。さらに、復旧費用や損害賠償が発生し、巨額のコストを伴うこともあります。

サイバー攻撃は中小企業が狙い目？動向や被害事例と対策のまとめ
https://www.ntt.com/business/services/network/internet-connect/ocn-business/bocn/knowledge/archive_57.html

近年、ランサムウェアによる被害は高水準で推移

さまざまなサイバー攻撃の手口のうち、最近被害報告件数が増えているのがランサムウェアです。警察庁によると、2021年から被害件数が増加し、2022年以降は高水準で推移しています。

【ランサムウェアの被害報告件数】

• 2021年上半期：61件
• 2021年下半期：85件
• 2022年上半期：114件
• 2022年下半期：116件
• 2023年上半期：103件
• 2023年下半期：94件
• 2024年上半期：114件
• 2024年下半期：108件

2023年から「ノーウェアランサム」の被害報告も増加しています。この手口では、機密情報を盗み、その情報をもとに金銭を要求します。
従来のランサムウェアは暗号化データの復旧が対策となりますが、ノーウェアランサムは盗まれた情報を脅迫材料として使用されるため、対応が困難です。

出典：警察庁「令和6年におけるサイバー空間をめぐる脅威の情勢等について」
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R6/R06_cyber_jousei.pdf p8

個人情報の流出被害が深刻。多額の損失が発生した事例も

日本国内で多く見られるサイバー攻撃の事例は、個人情報の流出です。大手出版社や情報処理サービス企業がランサムウェア攻撃を受け、数万～数十万人分の個人情報が流出しています。
大学や公的機関、金融機関でも同様の事例が発生しており、これらによって多額の損失が生じたケースもあります。どのような組織であっても、早急な対策が求められます。

世界的には、重要インフラなどを狙ったサイバー攻撃も多発

世界のサイバー攻撃で有名な事例としては『WannaCry』が挙げられます。2017年に世界中で猛威を振るったこのランサムウェアは、世界中で20万台以上の端末に被害を与えました。これによる被害は計り知れません。

世界では、営利目的や悪戯のみではなくテロの手段としてもサイバー攻撃が行われるようです。アメリカの原子力発電所を狙ったもの攻撃や、イランの核関連施設を狙ったものは、記憶に新しいでしょう。

サイバー攻撃対策は「侵入防止」に偏りがちですが、ランサムウェアなどのマルウェアは毎日数百万件発生しており、完全防御は不可能です。
そのため、「入口対策」だけでなく、侵入後の「内部対策」や「出口対策」も必須です。

侵入を防ぐ「入口対策」

入口対策には、ウイルス対策ソフトや、条件に合致するメールを排除するメールフィルタリング、特定データの侵入を防ぐファイアウォールなどが含まれます。
さらに高度な対策として、不正アクセスや異常を検知し通知するIDS（不正侵入検知システム）や、異常検知後に自動で通信を遮断するIPS（不正侵入防御システム）もあります。

権限を渡さない「内部対策」

内部対策には、システム動向を記録するログ監視や、社外ネットワークと内部基幹情報のネットワークを分離するネットワーク分離が含まれ、権限の不適切な付与を防止します。デバイス操作ログのリアルタイム監視と異常発生時の即時対応を行うEDR（次世代セキュリティツール）も有効です。

情報を持ち出させない「出口対策」

出口対策には、プロキシーサーバーが有効です。社内と社外のネットワーク間に設置し、不審なアクセスを遮断し、アクセスログを監視します。
また、重要データの暗号化も有効です。暗号化により、万一データが外部に持ち出されても内容が保護され、情報流出を防止できます。

サイバー攻撃に対する多角的な対策には、セキュリティの見直しに加え、パソコンの持ち出し制限などのアナログ的手段も依然として有効です。

自社パソコンのセキュリティ

企業のパソコンをサイバー攻撃から守る手段として、アンチウイルスソフトの導入やデータの暗号化などが挙げられます。前提として重要な点が、OSや利用しているソフトウェアのバージョンを、常に最新のものにすることです。最新版のOSの更新情報には、新しいウイルスに関する情報も含まれています。

導入に失敗しないためには、事前に予算を決めないことです。際限なくかける必要はありませんが、予算がネックになってセキュリティが不十分になるケースがあります。セキュリティが甘かったために被害に遭った場合の損害は計り知れません。 予算はいったん考慮せず、万全のセキュリティ対策を講じるにはどうすれば良いかという点から考えていきましょう。

スマホのセキュリティ

スマホのセキュリティについては、ウイルスソフトだけでなく、接続先についても考えていきましょう。 フリーWi-Fiは便利ですが、誰でもアクセスできるため、不正傍受されやすいことも間違いありません。会社のデータを利用するなら、ロックのないアクセスポイントの利用は避けるべきです。

また、第三者に利用されないよう本人認証を二段階認証にする、紛失した場合は早急に利用を停止するなども心がけておく必要があります。

持ち込みや持ち出しパソコン、USBも注意

IPAでは、情報漏洩対策として、不要な端末を持ち込ませない、情報を持ち出さない、その場に情報が確認できる状態で端末を放置しないことなどを挙げています。 従業員の私物パソコンの持ち込みや、重要な情報をUSBで持ち帰らせることも極力避けるべきです。そういった行為が日常化してしまえば、情報漏洩のリスク管理が難しくなります。

サイバー攻撃の手口が巧妙化する中、企業は情報漏洩やシステム破壊などの被害を受けています。新たな攻撃手法が次々と登場する現状では、すべての攻撃を防ぐことは不可能です。そのため、入口・内部・出口の3方向からの多層的な対策が重要です。