私たちの生活にインターネットが深く浸透した現代、サイバー攻撃はもはや他人事ではありません。企業だけでなく、私たち個人もその標的となる可能性があります。
この記事では、2025年最新の情報に基づき、代表的なサイバー攻撃41種類をピックアップし、分類別にわかりやすく解説します。
セキュリティ対策の第一歩は、どんなサイバー攻撃が存在するか知るところから!
サイバー攻撃の種類を学んで、基本的な知識を身につけていきましょう。
誰でも無料で参加できるハッキング体験会の参加者募集中!!
サイバー攻撃とは
サイバー攻撃とは、インターネットやコンピュータネットワークを介して、特定の組織や個人が持つ情報システムやデータに対して行われる、不正なアクセス、情報窃取、改ざん、システム破壊などの行為の総称です。
その目的は、金銭の要求、個人情報や機密情報の窃取、社会的な混乱の引き起こしなど多岐にわたります。個人であっても、不正アクセスの踏み台にされたり、個人情報を盗まれて悪用されたりする危険性があるため、基本的な知識と対策が不可欠です。
ネットに繋がった機器をみんなが持っている時代!だから、サイバー攻撃対策は必須なんだ!
マルウェアを使った攻撃
マルウェアとは、「Malicious Software(マリシャス ソフトウェア=悪意のあるソフトウェア)」を短くした言葉で、わざと悪いことをするために作られたプログラムやアプリのこと。
これに感染すると、スマホやパソコンの動きがおかしくなったり、中の情報が盗まれたり、勝手に他の人にメールを送ったりする可能性があります。
マルウェアは、コンピューターにとっての「病気の素」みたいなもの。風邪のウイルスみたいに、知らないうちに体(コンピューター)に入り込んできて、いろんな悪さをするんだ。
1.ウイルス
コンピュータウイルスは、 他のプログラムファイルにくっついて、自分自身をコピーして増やしていくマルウェアの一種。
人間が風邪のウイルスに感染した人のくしゃみを浴びて風邪がうつるみたいに、ウイルスに感染したファイルを開いたり実行したりすることで活動を始めて、大切なデータを壊したり、パソコンのシステムを不安定にしたりします。
かみくだいて説明すると…
学校で風邪が流行るとき、一人が風邪をひくと、その人の咳やくしゃみで周りの人にうつっていくよね?
コンピュータウイルスもそれと似ていて、あるファイルにくっつくと、そのファイルを開いたときに他のファイルにもどんどん「感染」して広がっていくんだ。
感染すると、日記が消えちゃったり、ゲームのセーブデータが壊れたりすることがあるよ。
2.ワーム
ワームは、ウイルスとは異なり単独で存在し、ネットワークを介して自己複製しながら他のコンピュータへ感染を広げるマルウェアです。感染力が非常に高いのが特徴です。
かみくだいて説明すると…
ワームは、一人で勝手に動き回る虫みたいなイメージ。
ウイルスは誰かがファイルを運ばないと広がらないけど、ワームはインターネットの道を通って、自分でどんどん他のパソコンに「お引越し」して、仲間を増やしていく。
だから、あっという間にたくさんのコンピューターに広がっちゃうことがあるよ。
3.トロイの木馬
トロイの木馬は、一見無害なソフトウェアを装ってコンピュータに侵入し、裏で悪意のある活動を行うマルウェアです。情報を盗み出したり、他のマルウェアを呼び込んだりします。
かみくだいて説明すると…
かっこいいおもちゃだと思っておうちに持って帰ったら、そのおもちゃが夜中にこっそり動き出して、君の部屋のものを盗んだり、窓を開けて泥棒を招き入れたりする…そんなイメージ。
最初は安全そうに見えるから、ついついダウンロードしちゃうけど、実は危険なワナなんだ。
4.ランサムウェア
ランサムウェアは、感染したコンピュータのファイルやシステムを暗号化し、元に戻すことと引き換えに身代金(ランサム)を要求するマルウェアです。近年、個人・法人問わず被害が深刻化しています。
かみくだいて説明すると…
想像してみて。君の大切な宝箱に、悪い人が勝手にカギをかけちゃって、「このカギを開けてほしかったら、お小遣いをよこせ!」って言ってくる感じ。
お金を払っても、本当に元に戻してくれる保証はないから、とっても厄介なんだ。
5.スパイウェア
スパイウェアは、ユーザーの気づかないうちにコンピュータにインストールされ、個人情報やインターネットの閲覧履歴などを収集して外部に送信するマルウェアです。
かみくだいて説明すると…
まるで、君の部屋にこっそり隠しカメラや盗聴器が仕掛けられて、君の行動が全部、悪い人に筒抜けになっちゃうようなイメージ。
プライバシーが丸裸にされちゃう、とっても気味が悪いマルウェアだね
6.アドウェア
アドウェアは、ユーザーの同意なしに広告を表示するソフトウェアで、すべてがマルウェアとは限りません。ただし、悪質なものはスパイウェア機能やマルウェアを含むことがあります。
中には、スパイウェアのように情報を収集するものや、他のマルウェアをダウンロードさせる悪質なものも存在します。
かみくだいて説明すると…
街を歩いていたら、しつこいチラシ配りの人に、いらないチラシを何枚も無理やり渡される感じかな。それがパソコンの画面上で起こると思ってほしい。
ただ迷惑なだけじゃなくて、中には危ないワナが隠れていることもあるから注意が必要だよ。
7.ファイルレスマルウェア
ファイルレスマルウェアは、ちょっと変わったマルウェアで、普通のマルウェアみたいにパソコンの中に「実行ファイル」という形で残りません。その代わりに、Windowsなどに入っている正規のプログラム(OSの機能)や、パソコンが一時的に情報を覚えておく場所(メモリ)でこっそり活動します。
PowerShellっていう、パソコンを便利に操作するための言葉(スクリプト言語)が悪用されることが多いです。
実行ファイルを残さないから、ウイルス対策ソフトなどで発見されづらいんだ…。
かみくだいて説明すると…
普通のマルウェアが「姿のある泥棒」だとしたら、ファイルレスマルウェアは「姿の見えないお化け」みたいなもの。
悪いことをしているのに、その証拠(ファイル)を残さないから、捕まえにくいんだ。パソコンにもともとある道具を悪用するから、余計に気づかれにくいんだよ。
8.マクロウイルス
マクロウイルスは、Microsoft Office製品(WordやExcel、PowerPointなど、皆さんも学校の授業で使うことがあるかも)に入っている「マクロ機能」という便利な機能を悪用して感染を広げるウイルスです。
マクロというのは、よくやる作業を自動でやってくれるプログラムのことですが、これを悪用すると、ファイルを開いただけでウイルスが動き出してしまうことがあります。そのため、マクロ機能が有効になっているファイルを開くときは注意が必要です。
かみくだいて説明すると…
WordやExcelには、ボタン一つで複雑な作業を自動でやってくれる「マクロ」っていう便利な機能があるんだ。
でも、この便利な機能の中にウイルスを仕込むことができる。そして、そのファイルを開いてマクロを実行しちゃうと、ウイルスに感染しちゃうんだ。
「便利な機能に隠れたワナ」って感じだね。だから、よく知らない人からもらったOfficeファイルを開くときは、特に注意が必要だよ。
ネットワークを狙う攻撃
ネットワークの脆弱性や仕組みを悪用して行われる攻撃です。サービス停止や情報漏洩を引き起こす可能性があります。
9.DoS攻撃(Denial of Service attack)
DoS攻撃は、特定のウェブサイトのサーバー(ウェブサイトの情報がたくさん入っているコンピューターのこと)やネットワークの機械に対して、一度にものすごい量のデータや「見せてー!」というお願い(リクエスト)を送りつけ、サーバーや機械をパンクさせて、普通の人がウェブサイトを見たりサービスを使ったりできなくする攻撃です。「サービス拒否攻撃」と呼ばれることもあります。
DDoS攻撃とは何が違うんだろう?
かみくだいて説明すると…
人気のお店に、一人のお客さんがわざと何時間もレジを占領したり、商品を全部買い占めようとしたりして、他のお客さんがお店に入れなくなったり、買い物ができなくなったりするイメージだよ。
ウェブサイトも同じで、一つのコンピューターから大量のアクセスが集中すると、他の人が見られなくなっちゃうんだ。
10.DDoS攻撃(Distributed Denial of Service attack)
DDoS攻撃は、DoS攻撃のパワーアップ版で、一台のコンピューターからじゃなくて、乗っ取ったたくさんのコンピューター(ボットネットと呼ばれることもある)から、一斉にDoS攻撃を仕掛ける攻撃です。
「分散型サービス拒否攻撃」とも呼ばれて、DoS攻撃よりももっと規模が大きくて、守るのが難しいことで知られています。
他のサイバー攻撃で制御を奪った機器を使って行われることも…。
知らず知らずのうちに自分が攻撃に加担させられていることもあるんだ!
かみくだいて説明すると…
DoS攻撃が一人のお客さんによる嫌がらせだとしたら、DDoS攻撃は、その嫌がらせをする人が、たくさんの仲間を連れてきて、みんなで一斉にお店に押しかけて大混乱させるイメージ。
たくさんの場所から攻撃が来るから、どこからの攻撃を止めればいいのか分からなくなって、対策がすごく大変なんだ。
11.MITM攻撃(Man-in-the-Middle attack:中間者攻撃)
MITM攻撃は、通信を行う二者間に割り込み、送受信されるデータを盗聴したり改ざんしたりする攻撃です。公衆Wi-Fiなど、安全性の低いネットワークで注意が必要です。
かみくだいて説明すると…
友達と手紙のやり取りをしていると想像してみて。その手紙を届けてくれる郵便屋さんが、実は悪い人で、途中で君の手紙をこっそり開けて読んだり、内容を少し書き換えたりしてから友達に届ける…そんなイメージだよ。
インターネットの通信も、途中で悪い人にのぞき見されたり、書き換えられたりする危険があるんだ。
12.パケットスニッフィング
パケットスニッフィングは、ネットワーク上を流れるデータ(パケット)を盗聴し、IDやパスワードなどの重要な情報を不正に取得する攻撃です。
かみくだいて説明すると…
インターネットで送られる情報は、小さな「小包(パケット)」に分けられて運ばれるんだ。
パケットスニッフィングは、この小包が運ばれている途中で、悪い人が横取りして、中に入っている手紙(情報)をこっそり読んじゃうイメージ。
特に、暗号化されていない情報(カギがかかっていない小包)は、中身が丸見えになっちゃうから危険だよ。
13.リプレイ攻撃
リプレイ攻撃は、一度傍受した正規の通信データを再利用して、不正なアクセスや操作を試みる攻撃です。認証情報などが悪用されることがあります。
かみくだいて説明すると…
例えば、君が自動ドアを開けるために「開けゴマ!」って合言葉を言ったとするよね。
悪い人がその声を録音しておいて、後で君がいないときにその録音した声を再生して、勝手にドアを開けちゃう…そんな感じ。一度使われた正しい情報を再利用して、悪いことをするんだ。
14.DNSキャッシュポイズニング
DNSキャッシュポイズニングは、DNSサーバーという、インターネットの住所案内係のコンピューターが持っている「住所録(キャッシュ情報)」を、悪い人がこっそり書き換えてしまう攻撃です。
そうすると、君が正しいウェブサイトのアドレス(URL)を入力しても、ニセモノのウェブサイトに案内される。フィッシング詐欺(情報をだまし取る詐欺)とかによく使われる手口。
かみくだいて説明すると…
君が友達の家に行こうとして、地図アプリで住所を調べるとするよね。DNSキャッシュポイズニングは、その地図アプリの情報を悪い人がこっそり書き換えて、友達の家じゃなくて、全然違う怪しい場所に案内されちゃうイメージ。
正しいウェブサイトに行こうとしているのに、気づかないうちにニセモノのサイトに誘導されて、IDやパスワードを盗まれちゃうことがあるんだ。
Webアプリケーションを狙う攻撃
ウェブサイトやウェブサービスの脆弱性を悪用する攻撃です。個人情報の漏洩やサイトの改ざんなどが発生します。
15.SQLインジェクション
SQLインジェクションは、ウェブアプリケーションの入力フォームなどに不正なSQL文を注入(インジェクト)することで、データベースを不正に操作する攻撃です。顧客情報などが盗まれる可能性があります。
SQLインジェクションは、ウェブに対する代表的なサイバー攻撃として知られている攻撃です。
かみくだいて説明すると…
お店の注文票に、普通は「ラーメン一杯ください」って書くよね。
でも、SQLインジェクションは、その注文票に「ラーメン一杯ください。あと、お店の金庫の番号も教えてね」みたいな、普通じゃありえないお願い事をこっそり書き足すイメージ。
ウェブサイトの入力欄に、悪い命令を紛れ込ませて、データベースから情報を引き出しちゃうんだ。
『セキュ塾』の『ハッキング体験会』では、
このSQLインジェクションの手法を実践して試すことができます!
誰でも無料で参加できるハッキング体験会の参加者募集中!!
16.クロスサイトスクリプティング(XSS)
クロスサイトスクリプティングは、攻撃者が、脆弱性のあるウェブサイトのコメント欄や掲示板、入力フォームなどに、悪意のある小さなプログラム(スクリプト)を埋め込み、第三者がページにアクセスすると、ブラウザ上で悪いプログラムが勝手に実行される攻撃です。
そのウェブサイトで使っているクッキー情報(ログイン状態を保つための情報とか)が盗まれたり、ニセのログイン画面が表示されてIDやパスワードを盗まれたりする可能性が…。
かみくだいて説明すると…
学校の掲示板に、誰かがイタズラで「このボタンを押すと面白いことが起きるよ!」って書いた貼り紙をして、実はそのボタンを押すと、自分の秘密がばれちゃうようなワナが仕掛けられている…そんなイメージ。
ウェブサイトに仕掛けられたワナ(スクリプト)を、知らずに踏んじゃうと、君のブラウザが悪いことをさせられちゃうんだ。
XSSは、SQLインジェクションと並んでWebを狙う代表的なサイバー攻撃として知られています
17.クロスサイトリクエストフォージェリ(CSRF)
クロスサイトリクエストフォージェリは、ウェブサービス(ネット銀行、SNSなど)にログインしている状態で、攻撃者が用意した偽ページやメール上のリンクをクリックすると、ログイン中のサービスに対して、勝手に何かを投稿させられたり、買い物をさせられたり、設定を変えられたりするリクエスト(お願い)を勝手に送られてしまう攻撃です。
かみくだいて説明すると…
君がSNSにログインしている状態で、別の怪しいサイトの「面白い動画はこちら!」みたいなリンクをクリックしたとするよね。そうしたら、君が知らないうちに、君のSNSアカウントから「変な広告」が勝手に投稿されちゃった!みたいなことが起こるのがCSRFだよ。
まるで、君が書いた覚えのない手紙が、君の名前で勝手に送られちゃうようなイメージだね。
18.水飲み場攻撃
水飲み場攻撃は、標的とする組織やグループのメンバーがよく訪れるウェブサイトを改ざんし、マルウェアに感染させようとする攻撃です。
標的をあらかじめ定めて仕掛ける攻撃なんですね!いつも利用しているサイトを改ざんされるなんて恐ろしい攻撃です…。
かみくだいて説明すると…
ライオンの群れを狙いたいハンターが、ライオンたちがいつも水を飲みに来るオアシス(水飲み場)に、こっそり毒を仕込んでおく…そんなイメージ。
君がいつも見ているお気に入りの趣味のサイトや、ゲームの攻略サイトが、実は悪い人に改ざんされていて、それを見ただけでウイルスに感染しちゃうかもしれない、という怖い攻撃だ。
19.ディレクトリトラバーサル
ディレクトリトラバーサルは、ウェブサーバー上のファイルやディレクトリのパスを不正に操作し、本来アクセスが許可されていないファイルやディレクトリにアクセスする攻撃です。
かみくだいて説明すると…
お店屋さんで、お客さんは普通、売り場にしか入れないよね。でも、ディレクトリトラバーサルは、悪いお客さんがこっそり「関係者以外立ち入り禁止」って書いてある扉を開けて、お店のバックヤード(裏の倉庫とか事務所)に入り込んで、大事な書類とかを盗み見ようとするイメージ。
ウェブサイトの裏側の、普通は見られないはずの場所に不正に入り込もうとする攻撃なんだ
20.ドライブバイダウンロード
ドライブバイダウンロードは、ウェブサイトを閲覧しただけで、ユーザーの気づかないうちにマルウェアを自動的にダウンロード・実行させる攻撃です。OSやブラウザの脆弱性が悪用されます。
閲覧するだけで…ユーザ側から防ぐのは難しそうですね。
かみくだいて説明すると…
道を歩いていたら、知らないうちに悪い人に何かをこっそりポケットに入れられて、それが爆弾だった!みたいな、すごく怖いイメージだね。
ウェブサイトを見ただけで、何もクリックしたりダウンロードしたりするつもりがなくても、勝手にウイルスに感染しちゃうことがあるんだ。だから、ソフトをいつも最新の状態にしておくことが大切だよ。
21.サブドメインテイクオーバー
サブドメインテイクオーバーは、企業などが利用していたが現在は使われていないサブドメインを第三者が乗っ取り、悪用する攻撃です。フィッシングサイトなどに利用されることがあります。
かみくだいて説明すると…
例えば、人気のお店が引っ越しして、前のお店が空き店舗になったとするよね。その空き店舗の看板とかを、悪い人が勝手に使って、ニセモノのお店を開いて悪いことをする…そんなイメージ。
昔使っていたウェブサイトのアドレスも、ちゃんと管理していないと、悪い人に乗っ取られて悪用されちゃうことがあるんだ。
ユーザーをだますソーシャルエンジニアリング攻撃
技術的な手法だけでなく、人の心理的な隙や行動のミスを利用して情報を盗み出したり、不正な操作を行わせたりする攻撃です。
22.フィッシング詐欺
フィッシング詐欺は、実在する企業やサービスになりすました偽のメールやSMS、ウェブサイトを用いて、ID、パスワード、クレジットカード情報などを盗み出す詐欺行為です。
メールボックスに入っている不審なメールについているリンクには要注意!
かみくだいて説明すると…
「おめでとうございます!あなたは当選しました!景品を受け取るには、こちらをクリックしてログインしてください!」みたいなメールやメッセージが来たとしよう。でも、それは実はワナで、クリックした先のページは本物そっくりのニセモノ。
そこでIDとパスワードを入力しちゃうと、それが全部悪い人にバレちゃうんだ。魚釣りのように、おいしそうなエサ(魅力的なメッセージ)で君をだまして、大切な情報を釣り上げようとするのがフィッシング詐欺だよ。
23.スピアフィッシング
スピアフィッシングは、特定の個人や組織を標的にした、巧妙にカスタマイズされたフィッシングメールを送る攻撃です。より騙されやすいため注意が必要です。
かみくだいて説明すると…
普通のフィッシング詐欺が「誰でもいいから引っかかれ!」っていう感じのばらまきメールだとしたら、スピアフィッシングは、まるで君の友達や先生、家族からのメールみたいに、君のことや君の周りのことをよく知っているかのような内容で送られてくるんだ。
「〇〇君、この前の宿題の件だけど、このファイル見てくれる?」みたいにね。だから、うっかり信じて添付ファイルを開いたり、リンクをクリックしたりしやすいんだ。
特定個人に対する攻撃は少し手が込んでいますね…。
24.スミッシング(SMSフィッシング)
スミッシングは、SMS(ショートメッセージサービス)を利用したフィッシング詐欺です。宅配便の不在通知やアカウントの異常などを装ったメッセージが送られてきます。
かみくだいて説明すると…
君のスマホに、いきなり「佐川急便です。荷物を届けたけど留守でした。ここから再配達を頼んでね→[怪しいURL]」みたいな短いメッセージが来たら、それがスミッシングかもしれない。
URLをクリックすると、個人情報を入力させられたり、変なアプリをインストールさせられたりすることがあるよ。
Amazonからとか頻繁に利用しているサービスを騙ったショートメッセージについてるリンクなんて、何気なく開いちゃいそうです…。
25.ビッシング(電話フィッシング)
ビッシングは、電話を利用したフィッシング詐欺です。金融機関や公的機関の職員になりすまし、言葉巧みに個人情報を聞き出そうとします。
かみくだいて説明すると…
いきなり電話がかかってきて、「もしもし、〇〇警察ですが、あなたの口座が犯罪に使われた疑いがあります。確認のため、暗証番号を教えてください」なんて言われたら、すごくびっくりするよね?
でも、本物の警察や銀行の人が、電話で暗証番号を聞くことは絶対にないんだ。これは、電話でだましてお金や情報を盗もうとするビッシングの可能性が高いよ。
「オレオレ詐欺」も、ある意味ビッシングの一種と言えるかもしれないね。
26.ベイト攻撃(Baiting)
ベイト攻撃は、USBメモリなどの物理的な媒体にマルウェアを仕込み、「拾ってください」と言わんばかりに標的の目につく場所に置いたり、魅力的なファイル名で興味を引いたりして、マルウェアに感染させようとする手口です。
かみくだいて説明すると…
道端に、何だか面白そうなUSBメモリが落ちていたとしよう。「中に何が入ってるんだろう?」って気になって、自分のパソコンに挿してみたら…実はそれがウイルス入りのUSBメモリで、パソコンが感染しちゃった!というのがベイト攻撃。
無料のゲームや音楽だと思ってダウンロードしたファイルが、実はマルウェアだった、というのもこの一種だね。「うまい話には裏がある」ってことだ。
見たことないUSBが落ちてたから、実際に端末に挿して内容確認しました!とかありそうですね…。
27.クワッキング(QRコード詐欺)
クワッキングは、不正なQRコードを設置・表示し、読み取ったユーザーを悪意のあるウェブサイトに誘導したり、マルウェアをダウンロードさせたりする攻撃です。
かみくだいて説明すると…
街のポスターに貼ってあるQRコードを読み込んだら、お店のサイトじゃなくて、全然関係ない怪しいサイトにつながっちゃった!とか、友達から送られてきたQRコードを読み込んだら、変なメッセージが勝手に送られるようになっちゃった!というのがクワッキングの例。
便利なQRコードも、中身が安全かどうかは見た目だけじゃ分からないから、どこに表示されているQRコードなのか、信頼できるものか、ちょっと気をつける必要があるよ。
28.ビジネスメール詐欺(BEC)
ビジネスメール詐欺は、企業の経営者や取引先になりすまして偽のメールを送り、金銭をだまし取ろうとする詐欺です。主に企業が標的ですが、手口を知っておくことは重要です。
かみくだいて説明すると…
君のお父さんやお母さんが会社で働いているとして、ある日、社長そっくりのメールアドレスから「急ぎでこの口座にお金を振り込んでほしい」というメールが来たとしよう。でも、実はそれはニセモノの社長で、お金をだまし取ろうとするワナなんだ。
会社のお金を狙った、手の込んだ詐欺メールだね。
システムやデバイスの脆弱性を突く攻撃
OSやソフトウェア、ハードウェアに存在するセキュリティ上の欠陥(脆弱性)を悪用する攻撃です。
29.ゼロデイ攻撃
ゼロデイ攻撃は、ソフトウェアの脆弱性が発見されてから、修正プログラムが提供されるまでの間(ゼロデイ期間)に行われる攻撃です。対策が間に合わないため、被害が大きくなる傾向があります。
かみくだいて説明すると…
新しい病気が見つかったけど、まだその病気を治す薬(ワクチンとか治療薬)ができていない状態を想像してみて。その間に、その病気がどんどん広がっちゃうと大変だよね?
ゼロデイ攻撃もそれと似ていて、ソフトの「弱点」が見つかっても、それを直す「お薬(修正プログラム)」ができる前に、その弱点を狙って攻撃してくるんだ。だから、防ぐのがすごく難しいんだよ。
30.バッファオーバーフロー攻撃
バッファオーバーフロー攻撃は、プログラムが確保したメモリ領域(バッファ)を超えるデータを送り込むことで、誤動作を引き起こしたり、不正なコードを実行させたりする攻撃です。
かみくだいて説明すると…
コップに水を注ぐとき、コップの大きさ以上に水を注ぎ続けると、水があふれちゃうよね?
バッファオーバーフロー攻撃は、プログラムの中にある「データのコップ(バッファ)」に、わざとあふれるほどのデータを送りつけて、プログラムをパニックにさせたり、乗っ取ったりしようとする攻撃なんだ。
31.サイドチャネル攻撃
サイドチャネル攻撃は、暗号処理などを行うデバイスから発生する物理的な情報(消費電力、処理時間、電磁波など)を分析し、秘密情報を推測する攻撃です。
かみくだいて説明すると…
金庫の暗証番号を直接聞いたり見たりするんじゃなくて、金庫のダイヤルを回しているときの「カチカチ」っていう音のわずかな違いとか、金庫を開けようとしている人の緊張した息遣いとか、そういう「横道(サイドチャネル)から漏れてくる情報」を手がかりにして、暗証番号を当てようとするスパイ映画みたいな攻撃なんだ。
直接データを盗むんじゃなくて、機械の動きのクセから秘密を読み取ろうとする、高度なテクニックだよ。
認証情報を狙う攻撃
IDやパスワードなどの認証情報を不正に取得しようとする攻撃です。
32.辞書攻撃
辞書攻撃は、辞書に載っている単語やよく使われる文字列を組み合わせてパスワードを推測し、不正ログインを試みる攻撃です。
かみくだいて説明すると…
泥棒が、家のカギを開けようとして、カバンの中からたくさんのカギ束を取り出して、片っ端からカギ穴に試していくイメージ。ただし、この場合の「カギ束」は、辞書に載っている言葉や、みんなが使いがちな簡単なパスワードのリストなんだ。
「123456」とか「password」みたいな簡単なパスワードは、この攻撃ですぐに見破られちゃうよ。
33.ブルートフォース攻撃(総当たり攻撃)
ブルートフォース攻撃は、考えられる全ての文字の組み合わせを試すことで、パスワードを割り出そうとする攻撃です。単純なパスワードは短時間で破られる可能性があります。
二段階認証やログイン試行に制限を設けるのも、対策方法としては有効です!
かみくだいて説明すると…
体育倉庫のダイヤル式のカギで、番号を忘れちゃったときに、0000から順番に9999まで全部試してみる…あれがブルートフォース攻撃のイメージ。
コンピューターは人間よりずっと速くこれを試せるから、4桁くらいの数字だけのパスワードなら、あっという間に見つけられちゃうんだ。だから、長くて複雑なパスワードが大事なんだよ。
34.クレデンシャルスタッフィング
クレデンシャルスタッフィングは、どこかのウェブサービスから、何かの原因でIDとパスワードのリストが大量に流出しちゃったときに、悪い人がその流出したリストを手に入れて、そのリストを使って、別の全然違うウェブサービス(例えば、SNSとかネットバンクとかオンラインゲームとか)に対しても、片っ端からログインを試みる攻撃です。
いろんなサイトで同じIDとパスワードを使い回していたら、この攻撃で一網打尽にやられちゃう可能性アリ!
認証情報(IDとパスワードの組み合わせ)のこと。
かみくだいて説明すると…
もし、君があるお店の会員カード(IDとパスワードが書いてあるとする)を落として、それを悪い人に拾われたとしよう。クレデンシャルスタッフィングは、その悪い人が、君が落とした会員カードの情報を使って、君の家のカギも開けようとしたり、学校のロッカーも開けようとしたり、他のいろんな場所でも試してみるイメージ。
一つの場所で情報が漏れると、パスワードを使い回していると、他のサービスも全部危険にさらされちゃうんだ。
35.セッションハイジャック
セッションハイジャックは、ウェブサービス(ネットショッピングのサイトとか、SNSとか)に正しくログインして、サービスを使っている状態(セッション)を、攻撃者が横から乗っ取ってしまう攻撃です。
乗っ取られると、君になりすまして、勝手に商品を買われたり、変なメッセージを送られたり、設定を変えられたりする可能性が…。
かみくだいて説明すると…
君が遊園地に入場券(ログイン情報)を見せて入って、アトラクションを楽しんでいる(サービスを利用中)とするよね。
セッションハイジャックは、悪い人がこっそり君の持っている有効な入場券を盗んだり、偽造したりして、君になりすまして遊園地の中で勝手に遊んだり、お土産を買い込んだりするイメージ。ログインしている状態を乗っ取られちゃうんだ。
物理的・人的手法による攻撃
コンピュータシステムだけでなく、物理的な侵入や人間の行動の隙を突く攻撃も存在します。
36.ピギーバッキング(後ろから一緒に入る)
ピギーバッキングは、正規の利用者が認証を通過してドアなどを開けた際に、その背後から一緒に入り込む不正侵入の手口です。「共連れ」とも呼ばれます。
かみくだいて説明すると…
学校の門が閉まっていて、先生がカギで門を開けたとしよう。その先生の後ろに、生徒のフリをした不審者がぴったりくっついて、一緒にするっと門の中に入っちゃう…そんなイメージ。
前の人が開けてくれたから、自分も通れるだろう、という感じで、正規の人にくっついて入るんだ。
37.テールゲーティング(扉の後をついて入る)
テールゲーティングは、ピギーバッキングと同様に、正規の利用者の直後について入館・入室する手口ですが、こちらは正規の利用者に気づかれないように行われることを指す場合が多いです。
かみくだいて説明すると…
これも「共連れ」の一種だけど、前の人に「あ、どうぞ」って感じで入れてもらうんじゃなくて、前の人がドアを開けて入った瞬間に、そのドアが閉まる前に、さっと後ろから気づかれないように滑り込むイメージかな。どちらにしても、許可なく建物に入っちゃう悪いことだよ。
38.ショルダーハッキング(のぞき見)
ショルダーハッキングは、パスワードや機密情報を入力しているところを、肩越しに盗み見る行為です。ATMやPC操作中などが狙われます。
目的が「デジタル情報の不正入手」なので、サイバー攻撃の一種に含まれるんだね!
39.ATMジャックポッティング
ATMジャックポッティングは、ATMにマルウェアを感染させたり、不正な装置を取り付けたりして、現金を不正に引き出させる攻撃です。
かみくだいて説明すると…
銀行のATMが、実は悪い人に改造されていて、そのATMを使うと、キャッシュカードの情報が盗まれちゃったり、あるいは悪い人が操作すると、ATMから勝手にお金がどんどん出てきちゃったりする…そんな映画みたいな話が、実際に起こることがあるんだ。
だから、ATMのカード挿入口やテンキーに変なものが付いていないか、ちょっと気をつけて見てみるのもいいかもしれないね。
AI・メディアを悪用した新型攻撃
AI技術の発展やメディアの特性を悪用した、比較的新しいタイプの攻撃です。
40.ディープフェイク攻撃(音声・映像なりすまし)
ディープフェイク攻撃は、AI技術を使って特定の人物の顔や声を合成し、あたかも本人が話しているかのような偽の動画や音声を作成して悪用する攻撃です。詐欺や情報操作に利用される恐れがあります。
今のAI生成は発達していて、見分けがつかないようなものも作れたりしますからね!
41.AI生成フィッシング
AI生成フィッシングは、AIを活用して、より巧妙で自然な文章のフィッシングメールやメッセージを大量に生成する攻撃です。見破ることが難しくなりつつあります。
サイバー攻撃に対する基本的な3つの対策
多種多様なサイバー攻撃が存在しますが、個人として基本的な対策を講じることで、多くのリスクを軽減できます。
1. ソフトウェアのアップデートとセキュリティソフトの導入
OS、ブラウザ、各種アプリケーション、そしてセキュリティ対策ソフトを常に最新の状態に保ちましょう。
ソフトウェアの脆弱性はサイバー攻撃の格好の標的となるため、修正プログラムが提供されたら速やかに適用することが重要です。信頼できるセキュリティソフトを導入し、定義ファイルを常に最新にしておくことも基本的な対策です。
よく言われる対策方法ですが、脆弱性を放置しないという意味で重要なことです!
かみくだいて説明すると…
おうちのドアや窓に、もしカギが壊れていたり、隙間が空いていたりしたら、泥棒に入られやすくなっちゃうよね。ソフトウェアのアップデートは、この「壊れたカギ」や「隙間」を修理して、最新の丈夫なものに取り替えるイメージ。
そして、信頼できるセキュリティソフトを導入して、そのソフトの中に入っている「悪いやつのリスト(定義ファイルとかパターンファイルって言うよ)」も常に最新にしておくことは、おうちに警備員さんを雇って、最新の指名手配犯の顔写真を渡しておくようなもの。
これで、新しいウイルスやマルウェアも見つけやすくなるよ。面倒くさがらずに、アップデートのお知らせが来たら、すぐにやろうね!
2. 複雑なパスワードの設定と多要素認証の活用
パスワードはできるだけ長くして、英語の大文字、小文字、数字、そしてビックリマーク(!)やハテナマーク(?)みたいな記号を組み合わせた、攻撃者に推測されにくい複雑なものにしましょう。
そして、一番やっちゃいけないのが、同じパスワードをいろんなサービスで使い回すこと。もし一つのサービスでパスワードが漏れたら、他のサービスも全部乗っ取られることになりかねません。パスワードを管理するのが難しいなら、パスワード管理ツールという、パスワードを安全に記録・管理してくれるアプリを使うのも一つの手です。
さらに、可能であれば、パスワードだけに頼らずに、もう一つ別の確認方法を組み合わせる「多要素認証(MFA:Multi-Factor Authentication)」を設定しましょう。例えば、パスワードを入力後に、スマホに送られてくる確認コード(数字の暗証番号みたいなもの)を入力する形式、指紋認証や顔認証、認証専用のアプリなどが挙げられます。
多要素認証を導入していれば、もしパスワードがバレても、もう一つの要素がないとログインできないので、かなり強いセキュリティ対策になります!
3. 不審なメールやウェブサイトへの注意
全く身に覚えのないメールやSMSに添付されているファイルや、書かれているリンク(URL)は、むやみに開いたりクリックしたりしないことです。まずは、送ってきた人のメールアドレスが本物か、文章に変なところはないか、よく確認しましょう。
例えば、有名な会社からのメールなのに、メールアドレスがフリーメール(@gmail.com とか @yahoo.co.jp だけど、会社名と関係ない文字列)だったり、日本語の文章がちょっとおかしかったりしたら、それはニセモノの可能性が高い。
少しでも「あれ?怪しいな…」と感じたら、無視するのが一番。もし心配なら、そのメールに返信したりリンクをクリックしたりするのではなくて、自分で検索して公式サイトに行って、お知らせが出ていないか確認したり、公式の問い合わせ窓口に聞いたりすることが大切です。
また、ウェブサイトでIDやパスワード、クレジットカード番号みたいな個人情報を入力するときは、そのウェブサイトのアドレス(URL)が本当に正しいものか(例えば、amazon.co.jp なのに amazom.co.jp みたいに微妙に違っていないか)、そして、ブラウザのアドレスバーのところにカギのマークが付いていて、URLが https:// で始まっているか(通信が暗号化されている印)などを確認する習慣をつけましょう。
かみくだいて説明すると…
知らない人からいきなり「この手紙の封筒を開けてみて!」とか「このお店に入ってみて!」って言われても、ちょっと警戒するよね?これはインターネットの世界も同じ。怪しいメールの添付ファイルやリンクは、「開けちゃダメな手紙」や「入っちゃダメなお店」かもしれない。
個人情報を入力するページが、本当にその会社のものか、安全なページかを確認するのは、お店に入るときに、ちゃんとしたお店の看板が出ているか、お店の中が安全そうかを確認するのと同じようなこと。ちょっとした注意で、危険を避けられることが多いんだ。
まとめ
この記事では、2025年最新情報として、個人ユーザーが知っておくべき主要なサイバー攻撃41種類を紹介しました。
サイバー攻撃の手口は日々巧妙化・多様化していますが、基本的な仕組みや対策を理解しておくことで、被害に遭うリスクを大幅に減らすことができます。「自分は大丈夫」と過信せず、常に最新の情報に関心を持ち、セキュリティ意識を高めていくことが重要です。
この記事が、皆さんの安全なインターネットライフの一助となれば幸いです。
『未経験からホワイトハッカーを育成する』をコンセプトに運営する『セキュ塾』では、だれでも無料で参加できるハッキング体験会を開催しております!
誰でも無料で参加できるハッキング体験会の参加者募集中!!
