日々進化し、複雑さを極めるサイバー攻撃は、新たな手口で組織の脆弱性やスキを虎視眈々と狙っています。その脅威は、規模の大小を問わず目前にまで迫っており、もはや全企業・個人にとって他人事ではありません。
この記事では、進化し続けるサイバー攻撃を39種類、ジャンル別に分けてわかりやすく解説します。近年の攻撃傾向や対策方法もお伝えするので、セキュリティを見直したい企業様は、ぜひ参考にしてください。
サイバー攻撃とは?
サイバー攻撃とは、企業や個人のネットワークやシステムへの不正アクセスを通じて、機密情報の窃取、データ破壊、業務停止などの損害を与える犯罪行為です。近年では、ランサムウェアによる被害が深刻化しており、データを暗号化して身代金を要求するだけでなく、事前に情報を盗み取って二重に脅す手口も増えています。
サイバー攻撃の割合
デジタルデータソリューション株式会社の調査によると、2024年に企業が相談したサイバー攻撃で最も多かったのは「ハッキング・乗っ取り」で約24%を占めました。次いで「ランサムウェア」が約21%と高い割合を示し、依然として深刻な脅威であることが伺えます。
ランサムウェアはその一種である「マルウェア」全体で見ても一定の相談割合を占めていることから、個別の対策に加え、より広範なマルウェア感染への対策も重要であるといえるでしょう。
エクセルの業務効率アップでセキュリティ強化を実現
エクセル業務を効率化するための実践ガイドでは、エクセルでの作業をより効果的に行うための具体的な方法を紹介しています。誰もが使いこなせるエクセル運用で、属人化リスクを減らし、サイバー攻撃等の備えを強化しましょう。
サイバー攻撃について詳しく知りたい方は、以下の記事をご覧ください。「サイバー攻撃を受けるとどうなるか」という疑問に対しても分かりやすくお答えしています。
標的型サイバー攻撃の種類6選
標的型サイバー攻撃は、特定の企業や組織を狙い撃ちにし、メールや改ざんされたウェブサイト経由でマルウェアやウイルスを送り込みます。ランサムウェアなどの有名な種類が多く、業務停止や情報漏洩のように被害が大きいサイバー攻撃です。
| 種類 | 主な特徴 | 主な被害 | 対策の難易度 |
| ランサムウェア | データ暗号化と身代金要求 | データ喪失、業務停止 | 高 |
| プライチェーン攻撃 | 取引先経由で侵入 | 侵入広範囲の情報漏洩 | 非常に高 |
| マルウェア | 悪意あるソフトで攻撃 | データ窃取、システム破壊 | 中〜高 |
| ルートキット | 深部に潜伏し検出困難 | 長期的な不正アクセス | 高 |
| 踏み台攻撃 | 他者のPCを経由した攻撃 | 匿名での攻撃実行 | 中 |
| 水飲み場型攻撃 | Webサイトを改ざんし攻撃 | 情報漏洩、不正アクセス | 中〜高 |
①ランサムウェア
ランサムウェアは、コンピュータ上のファイルを暗号化し、データ復元と引き換えに身代金を要求するサイバー攻撃の種類です。被害者が支払いに応じなければ、大切なデータが永久に失われると脅迫します。
ランサムウェアに攻撃されると、ファイルやシステムデータが使用不能になり、画面に身代金の支払い方法と連絡先を示すメッセージが表示されます。ただし、要求に従っても復元できないケースもあるため、絶対に指示に従わないでください。
②サプライチェーン攻撃
サプライチェーン攻撃は、標的企業そのものではなく、取引先などの関連企業を狙うサイバー攻撃の種類です。セキュリティが手薄な取引先から侵入し、信頼関係を悪用して本来のターゲット企業に接近します。
特に、中小企業を踏み台に、大企業・大組織に侵入・拡大するケースが多く見られます。知り合いを偽装するため気づきにくく、被害が拡大しやすい点が特徴です。
③マルウェア
マルウェアは、ウイルスやワーム、トロイの木馬など、悪意あるプログラムすべての総称です。ランサムウェアもマルウェアの種類の一つですが、一般的に感染したデータを暗号化し、身代金を要求するものをランサムウェアと呼びます。
これらは不審なメールや危険なサイト経由で侵入し、ネットワークを通じて感染拡大するのが特徴です。ひとたび侵入されると、情報流出やシステム破壊など様々な被害をもたらします。
④ルートキット攻撃
ルートキット攻撃は、システムの深層に潜伏し、通常のセキュリティ対策を巧妙に回避するサイバー攻撃です。発見が難しく、長期間にわたって潜伏する事例も少なくありません。
そのため、気付かないうちに社内システムが密かに監視・操作され、個人情報の搾取や、他の悪意ある活動の拠点として悪用される危険性があります。
⑤踏み台攻撃
踏み台攻撃は、攻撃者が第三者のコンピュータを悪用し、隠れ蓑として標的を攻撃する種類のサイバー攻撃です。攻撃者は、まず、マルウェア感染やID・パスワード窃取などで無関係なコンピュータを乗っ取ります。
次に、その「踏み台」を経由して、本来の標的システムへ攻撃を実行します。この迂回により、IPアドレスなどの攻撃者情報を隠し、追跡を複雑化させるのが特徴です。
⑥水飲み場型攻撃
水飲み場型攻撃は、マルウェアを使ったサイバー攻撃の種類です。あたかも安全な水飲み場に毒が盛られている状況に似ていることから、「水飲み場型攻撃」と呼ばれています。
具体的には、標的とする組織の従業員が日常的に利用する信頼されたWebサイト(業界団体や取引先のWebサイト、社内ポータルサイトなど)を攻撃者が事前に特定し、そのサイトを改ざんしてマルウェアを仕込みます。
詐欺型サイバー攻撃の種類10選
詐欺型サイバー攻撃は、正規サービスになりすまし、ユーザーを巧妙に欺いて金銭や個人情報を盗み取る、または悪質な不正サイトへ誘導するサイバー攻撃です。以下の様に、多様な種類が存在します。
| 種類 | 主な特徴 | 主な被害 | 対策難易度 |
| フィッシング | 実在組織偽装のメール・サイト | 個人情報・資格情報の窃取 | 中 |
| スパムメール | 大量の迷惑メール送信 | 時間的損失、マルウェア感染 | 低 |
| セッションハイジャック | ログインセッションの乗っ取り | アカウント不正利用 | 高 |
| IPスプーフィング | 送信元IPアドレスの偽装 | 不正アクセス、情報漏洩 | 高 |
| ARPスプーフィング | MACアドレス情報の偽装 | 通信傍受、情報窃取 | 中〜高 |
| DNSキャッシュポイズニング | DNS情報の改ざん | 偽サイトへの誘導 | 高 |
| ドメイン名ハイジャック | ドメイン情報の不正書き換え | 偽サイト誘導、ブランド毀損 | 高 |
| セッションID固定化攻撃 | セッションIDの強制利用 | 不正アクセス、情報窃取 | 中〜高 |
| MITB攻撃 | ブラウザ内での通信傍受 | 金融情報窃取、不正送金 | 非常に高 |
| フォームジャッキング | 入力画面に悪意あるコード挿入 | クレジットカード情報窃取 | 高 |
①フィッシング
フィッシングは、銀行や通販サイトを装ったメールやSMSで偽サイトへ誘導し、ID・パスワードやカード情報を盗むサイバー攻撃の種類です。
件名に「至急」「アカウント停止」といった危機感を煽る文言を入れるのが定番で、入力した瞬間にデータが攻撃者へ転送されます。近年はSMSやチャットアプリ経由の「スミッシング」も増加しています。
②スパムメール
スパムメールとは、不特定多数の受信者に対して大量に送信するサイバー攻撃の種類です。スパムメールのサイバー攻撃は、悪意のあるリンクでマルウェアを拡散し、メールを開くと激しい警告音と警告文が表示され、見るものの不安感や恐怖感を煽ります。
スパムメールと呼ばれるものは、マルウェアだけではなく、広告宣伝や当選通知、遺産相続といった詐欺的な文面まで様々です。不信メールを開かない習慣付けで被害を回避できます。
③セッションハイジャック
セッションハイジャックは、Webサイトにログイン中のユーザーになりすまし、不正にアクセスするサイバー攻撃の一種です。攻撃者は、通信中にやり取りされる「セッションID」を盗み取り、それを使って正規ユーザーとしてログイン状態を再現します。
特に、セキュリティ対策の甘いサイトや、暗号化されていない公共Wi-Fiを使っているときに狙われやすく、SNSの乗っ取りや不正購入などの被害につながるおそれがあります。
④IPスプーフィング
IPスプーフィングは、パケットの送信元IPアドレスを偽装し、信頼された端末に成りすます詐欺的サイバー攻撃の種類です。攻撃者の所在を隠せるため、侵入やDDoSに悪用されるケースが見られます。
企業の内部ネットワークでは特定のIPアドレス範囲からの通信のみを許可していることがありますが、IPスプーフィングによってその範囲内のアドレスを偽装すれば、外部からでも内部ネットワークに侵入できます。
⑤ARPスプーフィング
ARPスプーフィングは、社内LANなどのローカルネットワーク上で行われる通信傍受攻撃です。パスワードやクレジットカード情報など、機密情報を見ることができるため、莫大な損害を受けるケースもあります。
この攻撃は、ARP(アドレス解決プロトコル)の「このIPアドレスに対応するMACアドレスは何?」という問い合わせに応じて情報を教える仕組みを悪用し、それは自身であると偽の応答を送りデータを盗み見る仕組みです。
⑥DNSキャッシュポイズニング
DNSキャッシュポイズニングは、インターネットの住所ともいえるDNS(ドメイン名システム)の仕組みを悪用する種類のサイバー攻撃です。
具体的には、ドメイン名とIPアドレスを紐づけるDNSのキャッシュ(一時保存)に偽の情報を送り込み、正規サイトではなく攻撃者の用意した偽サイトに誘導される状態を作り出します。信頼していたサイトが突然怪しいページになった場合は、この攻撃の可能性があるでしょう。
⑦ドメイン名ハイジャック攻撃
ドメイン名ハイジャックとは、ユーザーからのDNS問い合わせが悪意のあるサイトに転送される種類のサイバー攻撃です。その名の通り、ウェブサイトのドメイン登録情報を不正に書き換えて乗っ取り(ハイジャック)ます。
例えば、正規の銀行サイトのドメインを乗っ取り、そっくりの偽サイトに差し替えることで、ユーザーの情報を盗み取るといった手口です。
⑧セッションID固定化型攻撃
セッションID固定化攻撃は、攻撃者が用意したセッションIDをユーザーにクリックさせ、アカウントを乗っ取るサイバー攻撃の種類です。例えば、メールのリンクなどで、特定のセッションIDを含むURLをクリックさせログインさせます。
すると、攻撃者が用意したセッションIDが有効化されるので、攻撃者は、同じセッションIDを使ってユーザーのログイン状態を横取りできてしまうという仕組みです。
⑨MITB攻撃
MITB攻撃は、ブラウザとサーバー間の通信を傍受・改ざんする高度なサイバー攻撃の種類です。この攻撃では、メールなどのマルウェアを使って侵入し、ユーザー情報搾取、画面の改ざんなどを行います。
例えば、オンラインバンキング利用時に、ユーザー画面では振込金額が1万円と表示されていても、実際には攻撃者の口座に10万円が送金される、といった詐欺が可能になります。
⑩フォームジャッキング攻撃
フォームジャッキングは、オンラインショップなどの入力フォームに悪質なJavaScriptコードを埋め込み、ユーザーが入力した機密情報を搾取します。
例えば、ウェブサイトの入力フォームで、ユーザーが入力した情報(カード番号など)を、正規サイトの運営者のように盗み見ることが可能となります。表面上は従来通りの買い物なので、気が付きにくい巧妙な攻撃です。
脆弱性型サイバー攻撃の種類8選
脆弱性サイバー攻撃とは、セキュリティ上の弱点(脆弱性)のあるソフトウェアやシステムを狙ったサイバー攻撃の一種です。例えば、古いソフトウェアやプログラムの設計ミスなどが該当します。
| 種類 | 主な特徴 | 主な被害 | 対策の難易度 |
| クロスサイトスクリプティング(XSS) | Webページに悪質スクリプト埋込 | 情報窃取・不正操作 | 中 |
| SQLインジェクション | DB操作用SQL文の不正挿入 | データ漏洩・改ざん | 中〜高 |
| ゼロデイ攻撃 | ソフト・OSの脆弱性を突く攻撃 | システム侵害 | 極めて高 |
| バッファオーバフロー | メモリ領域を超えるデータ送信 | プログラム制御奪取 | 高 |
| ディレクトリトラバーサル | 非公開ファイルへの不正アクセス | 機密情報閲覧 | 中 |
| OSコマンドインジェクション | 不正なOSコマンド実行 | システム制御奪取 | 高 |
| クロスサイトリクエストフォージェリ(CSRF) | 正規ユーザーを装った不正リクエスト | 意図しない処理実行 | 中〜高 |
| リプレイ攻撃 | 通信内容の盗聴と再送信 | なりすまし・不正取引 | 中 |
①クロスサイトスクリプティング(XSS)
クロスサイトスクリプティングは、Webページに不正なコードを仕込み、ページ訪問者のブラウザ上でスクリプトを動かすサイバー攻撃の種類です。これにより、訪問者のクッキー情報搾取、アカウント乗っ取りなどの被害が発生します。
書き込み機能やコメント欄などに悪意のあるJavaScriptを紛れ込ませ、他のユーザーがページを開いた瞬間に実行させる手口が典型的です。
②SQLインジェクション
SQLインジェクションは、Webサイトの入力欄に特殊な文字列を送り込み、データベースを不正に操作するサイバー攻撃の種類です。
本来ならユーザー名や検索ワードを入れるフォームに、巧妙に細工したSQL命令文を送ることで、データベースシステムを騙して情報を抜き取ります。攻撃を受けると、顧客情報の漏洩やデータの改ざん・削除など深刻な被害をもたらします。
③ゼロデイ攻撃
ゼロデイ攻撃とは、開発者すら気づいていない新たな脆弱性を突く攻撃手法です。名前の由来は「修正プログラムが公開されてから0日目」という意味合いから来ています。
一般に知られていないソフトやOSのセキュリティホールを利用するため、通常のセキュリティ対策では防ぎきれず、被害に気づいたときにはすでに情報が流出しているケースもあります。
④バッファオーバフロー攻撃
バッファオーバフロー攻撃は、プログラムの許容量を超えるデータを送り込み、システムの動作を乗っ取るサイバー攻撃の種類です。昔からある古典的な攻撃手法ですが、今でも組込みシステムやIoT機器などで被害が報告されています。
100文字までの入力欄に500文字のデータを送り、溢れた分が別のメモリ領域に上書きする現象を利用して、実行コードを仕込み、プログラムの制御を奪うなどが一例です。
⑤ディレクトリトラバーサル
ディレクトリトラバーサル攻撃は、Webサーバーの公開されていないファイルに不正アクセスするサイバー攻撃の種類です。
攻撃者は「../」などの特殊な文字列をURLに埋め込み、意図的に上位のフォルダへ移動します。これにより、本来アクセスできないはずの重要な設定ファイルや機密情報が盗み見られます。
⑥OSコマンド・インジェクション
OSコマンドインジェクションは、WebアプリのOSコマンド実行システムを使ったサイバー攻撃の種類です。例えば、ユーザー入力をそのままシステムコマンドに渡すようなプログラムがあると、攻撃者は「ping 8.8.8.8; rm -rf /」のように、本来の命令の後に悪意あるコマンドを追加できます。
これらの指示を、セミコロンやパイプ記号を使って連結し、サーバー上でファイル削除や情報窃取、バックドア設置などの不正操作を行います。
⑦クロスサイトリクエストフォージェリ(CSRF)
クロスサイトリクエストフォージェリは、ユーザーアカウントを乗っ取り不正操作を行うサイバー攻撃の種類です。攻撃者はユーザーになりすまして、パスワード変更や商品購入など、様々な操作を実行できます。
SNSで「面白い動画」と偽った悪意あるリンクを共有し、クリックしたユーザーのブラウザから、バックグラウンドで銀行の送金処理などを行うなどが一例です。
⑧リプレイ攻撃
リプレイ攻撃は、正規ネットワーク通信を盗み見て、後で同じデータを送り返すサイバー攻撃の種類です。通信内容そのものを解読する必要はなく単純に記録・再生するだけなので、難易度はあまり高くありません。
オンラインショッピングの決済情報を傍受し、同じ内容を再送信して二重請求する、社内システムへのログイン情報を記録して後で使い回すなどが一例です。
サーバー負荷型サイバー攻撃の種類7選
サーバー負荷型攻撃は、サービスを停止させ、企業に経済的損失をもたらします。DDoS攻撃を主軸に近年急増しており、さらに攻撃手法は年々巧妙化・複雑化してきました。
| 種類 | 主な特徴 | 主な被害 | 対策の難易度 |
| DDoS攻撃 | 複数端末から大量アクセス | サービス停止・応答遅延 | 高 |
| F5アタック | 連続リロード(F5)実行 | サーバー負荷増大 | 低〜中 |
| TCP SYNフラッド | 3ウェイハンドシェイク悪用 | 接続枯渇・サービス遅延 | 中〜高 |
| Ping of Death | 巨大ICMPパケット送信 | システムクラッシュ | 中 |
| ランダムサブドメイン攻撃 | DNSキャッシュ無効化 | DNS機能停止 | 高 |
| ICMPフラッド | 大量Pingリクエスト | ネットワーク帯域圧迫 | 中 |
| Smurf攻撃 | ブロードキャストアドレス悪用 | ネットワーク機能麻痺 | 中 |
①DDoS攻撃
DDoS攻撃は、複数の感染端末から標的サーバーへ一斉に通信を集中させる攻撃です。正規ユーザーからのアクセスと区別が難しく、サーバーが処理しきれなくなり機能停止に陥ります。
攻撃者はマルウェアに感染させた数千〜数万台の端末(ボットネット)を遠隔操作し、一斉に攻撃を仕掛けます。2022年には1秒間に3.4テラビットの通信量を記録する史上最大級の攻撃も発生しました。
②F5アタック
F5アタックは、キーボードのF5キー(リロード)を連打するように、ウェブページの再読込要求を短時間に大量送信するサイバー攻撃の種類です。
技術的なハードルが低く、誰でも実行できます。特に画像や動画など重いコンテンツを含むページが標的になりやすく、同時に多人数が実行すると被害が増大します。
③TCP SYNフラッド
TCP SYNフラッドは、通信確立時の手順を悪用したサイバー攻撃の種類です。サーバーは応答待ち状態を一定時間保持するため、この攻撃を受けると接続枠がすぐに埋まってしまい、サイトがダウンします。
例えば、インターネット通信では「SYN→SYN-ACK→ACK」という3ステップの握手が必要ですが、この攻撃では偽装した送信元から大量のSYNパケットだけを送り、サーバーの応答(SYN-ACK)を無視します。
④Ping of Death
Ping of Deathは、制限を超える巨大なICMPパケットを送りつけ、受信側のシステムをクラッシュさせるサイバー攻撃の種類です。
これはDDoS攻撃の一種で、断片化された複数のパケットが結合されたとき、最大許容サイズを超えるよう細工されています。現代のOSは対策済みですが、IoT機器など古い技術を使った端末では今でも被害が報告されています。
⑤ランダムサブドメイン攻撃
ランダムサブドメイン攻撃(DNS水責め攻撃)は、存在しない大量のサブドメイン名問い合わせでDNSサーバーを麻痺させるサイバー攻撃の種類です。
例えば、「abcd123.example.com」のような実在しないランダムな文字列を大量生成し、DNSキャッシュサーバーに問い合わせます。すると、キャッシュにヒットしないため毎回権威DNSサーバーへの問い合わせが発生し、膨大な負荷がかかるという仕組みです。
⑥ICMPフラッド
ICMPフラッドは、大量のPingコマンド(ICMPエコーリクエスト)を標的に集中させます。単純ながら効果的なサイバー攻撃の種類の一つで、攻撃ツールも簡単に入手できるため、技術的難易度が低い手法です。
具体的には、接続確認用の通常Pingを悪用し、短時間に何万回も送信することで、ネットワーク帯域やCPUリソースを消費させます。
⑦Smurf攻撃
Smurf攻撃は、ネットワーク全体のコンピューターに一斉に応答を呼びかけるブロードキャスト機能を利用したサイバー攻撃の種類です。
攻撃を仕掛けると、ネットワーク上の多数のコンピューターが、呼びかけに応答して一斉に被害者のコンピューターへ返信するため、少ない攻撃で大量の応答が被害者に集中し、サービス停止・遅延を引き起こします。
パスワード突破型サイバー攻撃の種類3選
続いて、パスワード突破型のサイバー攻撃を3種類紹介します。
| 種類 | 主な特徴 | 主な被害 | 対策の難易度 |
| ブルートフォース攻撃 | 全ての組み合わせを試行 | アカウント乗っ取り | 中 |
| 辞書攻撃 | 一般的な単語リストを使用 | 個人情報窃取 | 低〜中 |
| パスワードリスト攻撃 | 漏洩データの使いまわし | 複数サービスへの不正侵入 | 中〜高 |
①ブルートフォース攻撃(総当たり攻撃)
ブルートフォース攻撃は、考えうる全ての文字の組み合わせを片っ端から試すシンプルなサイバー攻撃の種類です。「力ずく」の攻撃とも呼ばれ、「a」から「aa」「ab」と順に試していくなど、無数のパスワード候補を試します。
単純な攻撃に見えますが、現代のコンピューターは1秒間に数百万の組み合わせを試せるため、短時間で解読されることもあります。
②辞書攻撃
辞書攻撃は、人間の心理を突いた効率的なパスワード解読法を使ったサイバー攻撃の種類です。一般的な単語や名前、生年月日などをリスト化し、それらを順番に試行します。
多くの人が覚えやすいパスワードを設定する傾向があるため、「password」「123456」などの安易な文字列や一般的な単語を狙い、総攻撃型より高確率で突破します。
③パスワードリスト攻撃
パスワードリスト攻撃は、過去に流出した認証情報を再利用するサイバー攻撃の種類です。大手サービスのデータ漏洩によって得られた大量のID・パスワードのペアを使い、別のサービスでログインを試みるといった具合です。
多くのユーザーが複数のサイトで同じパスワードを使い回すため、一度どこかで漏れると連鎖的に被害が広がります。
偵察型サイバー攻撃の種類5選
最後に、偵察型サイバー攻撃を5種類見ていきましょう。
| 種類 | 主な特徴 | 主な被害・対策 | 対策の難易度 |
| ネットワークスキャン | デバイス探索・マッピング | 攻撃前の情報収集 | 中 |
| ポートスキャン | サービス・脆弱性の特定 | システム構成の把握 | 中 |
| スニファ | 通信内容の盗聴・解析 | 機密情報の漏洩 | 高 |
| 電波傍受 | 無線通信の盗聴 | Wi-Fi通信情報の漏洩 | 高 |
| キーロギング | キー入力の記録・収集 | 個人情報窃取 | 中〜高 |
①ネットワークスキャン
ネットワークスキャンは、標的システムの「地図」を作る工程を指した言葉です。攻撃者はネットワーク上に存在するすべての機器を特定し、IPアドレスやMACアドレス、OSの種類などの基本情報を収集します。
この攻撃では、企業ネットワークの全体像を把握することで、どのサーバーが重要か、どの部分が弱点になりうるかを見極めます。つまり、サイバー攻撃の種類ではなく、サイバー攻撃を仕掛ける糸口を探ることが目的です。
②ポートスキャン
ポートスキャンは、ポートを調査する工程を指します。古いバージョンのソフトウェアが見つかれば、その既知の脆弱性を突いて侵入を試みる手がかりになります。
これは、サイバー攻撃の前段階であり、インターネットに接続された機器にあるコンピュータの入口(ポート)を、特殊なツールを使って、どのポートが開いているか、そこで動いているソフトウェアのバージョンはいくつかを調べます。
③スニファ
スニファは、ネットワーク上の通信内容を盗聴するツールです。正規の目的では障害調査などに使われますが、サイバー攻撃ではこのシステムを悪用します。
この攻撃は、イーサネットケーブルや無線LANの電波に流れるパケットを傍受し、メール内容やWeb閲覧履歴、パスワードを抜き取るタイプのサイバー攻撃の種類です。
④電波傍受
電波傍受は、サイバー攻撃において、Wi-Fi、Bluetooth、携帯電話回線といった無線通信を対象とした、情報窃取、不正アクセス、中間者攻撃などの様々な手法を包括する言葉です。
サイバー攻撃においても、特定の種類のサイバー攻撃を指すのではなく、無線という通信媒体を悪用した広範なサイバー攻撃の手法を指します。特別な機材なしでも実行できます。
⑤キーロギング
キーロギングは、キーボード入力を逐一記録するサイバー攻撃の種類です。専用のソフトウェアやハードウェアを使って、ユーザーが気づかないうちにパスワードやクレジットカード番号などの機密情報を収集します。
ソフトウェア型はマルウェアの一種で、メールの添付ファイルやフリーソフトに紛れ込んでインストールされ、ハードウェア型はキーボードとPC間に小型装置を仕込む物理的な手法で、どちらも検出に至難を極めます。
IPAの最新10大サイバー攻撃ランキングと攻撃の種類
サイバー攻撃の種類は何が脅威とされているのでしょうか?ここでは、IPAのランキングを参照して解説していきます。
情報セキュリティ10大脅威一覧とサイバー攻撃の種類
では、「情報セキュリティ10大脅威 2025」のランキングとサイバー攻撃の種類を一覧で見てみましょう。
| 順位 | 脅威内容 | 関連するサイバー攻撃の種類 |
| 1 | ランサム攻撃による被害 | ランサムウェア |
| 2 | サプライチェーンや委託先を狙った攻撃 | サプライチェーン攻撃 |
| 3 | システムの脆弱性を突いた攻撃 | ゼロデイ攻撃、SQLインジェクション |
| 4 | 内部不正による情報漏えい等 | ― |
| 5 | 機密情報等を狙った標的型攻撃 | マルウェア、フィッシング |
| 6 | リモートワーク等の環境や仕組みを狙った攻撃 | セッションハイジャック、ARPスプーフィング |
| 7 | 地政学的リスクに起因するサイバー攻撃 | IPスプーフィング、DNSキャッシュポイズニング |
| 8 | 分散型サービス妨害攻撃(DDoS攻撃) | DDoS攻撃、F5アタック |
| 9 | ビジネスメール詐欺 | フィッシング、スパムメール |
| 10 | 不注意による情報漏えい等 | ― |
参照:IPA「情報セキュリティ10大脅威 2025」
このランキングは企業と個人それぞれサイバー攻撃の脅威が順位付けされており、2025年に新たに「地政学的リスクに起因するサイバー攻撃」が7位に初選出されました、なお、他の脅威は継続して上位にランクインしており、特に1位の「ランサム攻撃による被害」は10年連続10回目の選出でした。
主なサイバー攻撃の種類別対策
主なサイバー攻撃に対する対策方法を種類別にお伝えします。
| 種類 | 主な対策内容 |
| ランサム攻撃 | バックアップの実施、多要素認証の導入 |
| サプライチェーン攻撃 | 取引先のセキュリティ評価、SBOMの活用 |
| 脆弱性攻撃 | 脆弱性スキャンの実施、不要サービスの停止 |
| 標的型攻撃 | 社員向けセキュリティ研修、多層防御の実装 |
| リモートワーク攻撃 | VPNの設定強化、私用端末の管理ポリシー |
| 地政学的リスク攻撃 | 国際情勢の監視、重要インフラの防御強化 |
| DDoS攻撃 | 回線の冗長化、CDNサービスの利用 |
| ビジネスメール詐欺 | メール認証技術の導入、決済手順の多重化 |
サイバー攻撃への備えとして、まず取り組みたいのが「業務プロセスの可視化」です。作業の標準化が進めばミスの防止にもつながり、不正アクセスなどの異常にもいち早く気づけるようになるでしょう。
特にエクセル作業は、こうした可視化の重要度が高い業務です。日々のルーティンを見直し、効率よく整えることが、セキュリティの底上げにも直結します。
業務効率とセキュリティ強化を実現するエクセルの自動化
エクセル業務を効率化するための実践ガイドでは、業務効率とセキュリティ強化を支援する効果的なエクセルテクニックを現在無料提供していますので、この機会にぜひチェックして日々の業務にご活用ください。
エクセルの基礎をしっかり学べるExcel基礎セミナー講習は、短期間で効率的にエクセルの基礎から習得できます。エクセルの標準化を図る企業様にも最適な学習カリキュラムです。
セミナー名 Excel基礎セミナー講習 運営元 GETT Proskill(ゲット プロスキル) 価格(税込) 27,500円〜 開催期間 2日間 受講形式 対面(東京・名古屋・大阪)・ライブウェビナー・eラーニング
業務を自動化するスキルが身につくExcelマクロ・VBAセミナーは、実務に即したカリキュラムで効率的にエクセル自動化スキルを習得できます。定型業務を自動化して、作業時間を短縮したい企業様はぜひ以下のページをご利用ください。
セミナー名 Excelマクロ・VBAセミナー 運営元 GETT Proskill(ゲット プロスキル) 価格(税込) 27,500円〜 開催期間 2日間 受講形式 対面(東京・名古屋・大阪)・ライブウェビナー・eラーニング
サイバー攻撃に対する具体的な対策が分からない場合、実際今現在どのような攻撃が行われているかを目で確認するのもおすすめです。
以下の記事は、サイバー攻撃をリアルタイムで可視化するサイトを紹介しています。無料で使えるツールなので、ぜひこの機会に実際のサイバー攻撃の現状を体感してみてください。
サイバー攻撃の種類についてまとめ
サイバー攻撃の種類は数多くあり、現在もまさに高度化・巧妙化し、進化し続けているといえます。このように変化し続けるサイバー攻撃の種類はそれぞれ異なる特徴を持つため、最新の手法を把握し、対策に適した備えをすることが重要です。
