病院のシステムが止まる、企業の顧客情報が流出する、というニュースが後を絶ちません。
その多くが サイバー攻撃 によるもの。もはや大企業だけの問題ではなく、中小企業も個人も標的です。
「どんな手口がある?」「なぜ狙われる?」「個人でもできる対策は?」
を、3分で整理します。
サイバー攻撃は、「コンピュータやネットワークを通じて、情報を盗む・破壊する・身代金を要求する悪意ある行為」です。
代表的なのが ランサムウェア(身代金要求)・標的型メール・[フィッシング](/article/phishing-sagi)。
攻撃は年々巧妙化し、セキュリティ対策ソフト・[二要素認証](/article/two-factor-auth)・バックアップ・更新の基本を押さえることが最大の防御です。
サイバー攻撃の正体
サイバー攻撃は、「デジタル技術を悪用して、情報やシステムに危害を加える行為」 です。
主な目的:
- 金銭:身代金・詐欺・口座の不正利用
- 情報窃取:個人情報・機密・知的財産
- 破壊・妨害:システム停止・サービス妨害
- 諜報・政治目的:国家間のスパイ活動
- 愉快犯:技術誇示・いたずら
かつては「目立ちたい愉快犯」が中心でしたが、今は 金銭目的の組織犯罪が主流です。
主な手口
代表的な攻撃:
| 手口 | 内容 |
|---|---|
| ランサムウェア | データを暗号化し「戻したければ身代金を払え」 |
| 標的型攻撃メール | 業務メールを装いウイルス感染させる |
| フィッシング | 偽サイトでID・パスワードを盗む |
| DDoS攻撃 | 大量アクセスでサーバーをダウンさせる |
| マルウェア | ウイルス・スパイウェア等の悪意あるソフト |
| サプライチェーン攻撃 | 取引先経由で侵入 |
| ゼロデイ攻撃 | 未修正の脆弱性を突く |
ランサムウェア(最大の脅威)
近年最も被害が大きい攻撃:
身代金を払っても戻る保証はない
ランサムウェアはデータを人質に取り、暗号通貨での身代金を要求します。病院・自治体・企業が標的になり、業務が完全停止することも。身代金を払ってもデータが戻る保証はなく、払うと「カモ」と認識され再攻撃されるリスクもあります。日頃のバックアップが唯一の確実な対策です。
なぜ中小企業・個人も狙われる?
「うちは小さいから関係ない」は危険:
対策が手薄
- セキュリティ予算が少ない
- 大企業への「踏み台」にされる
- 取引先経由で侵入される
- 「自分は大丈夫」という油断
数で勝負
- ネット銀行・クレカ情報
- パスワード使い回し
- 無差別ばらまき攻撃
- SNSアカウント乗っ取り
攻撃は 「弱いところ」を自動で探して襲うので、規模に関係なく標的になります。
個人ができる基本対策
今日からできること:
- OS・ソフトを最新に保つ(脆弱性を塞ぐ)
- セキュリティソフトを入れる
- [二要素認証](/article/two-factor-auth)を設定(最重要)
- パスワードを使い回さない(管理ツール活用)
- 怪しいメール・リンクを開かない
- 重要データはバックアップ
- 公共Wi-Fiでは[VPN](/article/vpn-toha)
特別な知識は不要。**「更新・二要素認証・バックアップ・使い回さない」**の4つで大半の攻撃は防げます。
企業に求められる対策
組織レベルでは:
| 対策 | 内容 |
|---|---|
| 従業員教育 | 標的型メール訓練 |
| EDR・ファイアウォール | 侵入検知・防御 |
| バックアップ | オフライン保管が重要 |
| アクセス権限管理 | 最小権限の原則 |
| インシデント対応計画 | 攻撃された時の手順 |
| 脆弱性診断 | 定期的なチェック |
「攻撃されない」ではなく「攻撃される前提で備える」が現代のセキュリティの考え方です。
攻撃された時の対応
被害を最小化する手順:
- ネットワークから切り離す(被害拡大を防ぐ)
- 証拠を保全(ログ・画面)
- 専門家・IPAに相談
- 関係者・顧客に通知(情報漏洩時)
- 警察(サイバー犯罪相談)に届出
- 個人情報保護委員会に報告([個人情報](/article/kojin-jouhou)漏洩時は義務)
慌てて身代金を払ったり、隠蔽したりするのは最悪の対応です。
相談・情報窓口
困った時・学びたい時:
| 窓口 | 内容 |
|---|---|
| IPA(情報処理推進機構) | セキュリティ情報・相談 |
| 警察 サイバー犯罪相談窓口(#9110) | 被害届 |
| JPCERT/CC | インシデント対応支援 |
| 個人情報保護委員会 | 情報漏洩の報告 |
まとめ
- サイバー攻撃 = デジタル技術を悪用して情報を盗む・破壊する・身代金を要求する行為
- 主な手口は ランサムウェア・標的型メール・フィッシング・DDoS
- 今は 金銭目的の組織犯罪が主流、中小企業・個人も標的
- ランサムウェアは 身代金を払っても戻る保証なし、バックアップが唯一の確実策
- 個人対策は 更新・二要素認証・バックアップ・パスワード使い回さない
- 「攻撃される前提で備える」のが現代のセキュリティ
フィッシング詐欺・二要素認証・VPN・個人情報保護法と並んで、デジタル防衛の必須知識です。
詳しくは IPA 情報セキュリティ や 警察庁 サイバー警察局 が一次情報源です。
