DDoS攻撃

2025年12月22日2025年12月22日

DoS攻撃のリスクと対策：アクセス急増の原因と見分け方、サービス停止を防ぐ初動対応

Security NEWS TOPに戻る
バックナンバー TOPに戻る

Webサイトやオンラインサービスでアクセスが急増した場合、その原因が通常の利用増加なのか、DoS攻撃などによる異常な負荷なのかを早期に見極めることが重要です。判断を誤ると、サービス停止や業務影響につながるおそれがあります。

本記事では、アクセス急増時に確認すべきポイントを整理し、DoS攻撃による停止リスクが高まる状況の見分け方や、企業が優先して実施すべきDoS攻撃対策の考え方を解説します。用語解説にとどまらず、脆弱性管理や初動対応など実務で役立つ判断軸を中心にまとめています。

アクセス急増が起きたときに最初に考えるべきこと

アクセス数や通信量が増えること自体は、必ずしも問題ではありません。キャンペーンやメディア露出など、正当な理由でトラフィックが増加するケースも多くあります。

一方で、原因を確認しないまま放置すると、サーバやネットワークに過剰な負荷がかかり、応答遅延やエラーの多発、最悪の場合はサービス停止に発展します。重要なのは「増えている」という事実そのものではなく、なぜ増えているのかを切り分けることです。

最初の15分で確認すべき初動対応のポイント

アクセス急増を検知した直後は、次の観点を優先的に確認します。

いつから増え始め、どの程度の時間継続しているか
影響が出ているのはどこか（ネットワーク、ロードバランサ、アプリケーション、DBなど）
帯域・リクエスト数・エラー率のどれが増えているか
直近で行ったリリースや設定変更の有無

この初動判断が、DoS攻撃か通常のアクセス増加かを見極める第一歩になります。

サービス停止につながる代表的な原因

アクセス急増や負荷増大の原因には、いくつかのパターンがあります。

一時的な正規アクセス集中

特定の時間帯やイベントをきっかけに利用が集中するケースです。多くの場合、時間の経過とともに自然に収束します。

設定不備・設計上の問題

アクセス制限やリソース管理が適切でないと、通常利用でも過剰な負荷がかかり、サービス停止を招くことがあります。

悪意ある大量リクエスト（DoS攻撃・DDoS攻撃）

意図的に大量の通信や処理を発生させ、サービスを利用不能にするケースです。一般にDoS攻撃やDDoS攻撃と呼ばれるものは、この原因の一つとして位置づけられます。

重要なのは、最初から攻撃と決めつけず、原因を整理して順序立てて切り分けることです。

DoS攻撃とは何か・DDos攻撃との違い

「DoS（Denial of Service）攻撃」とは、サーバやネットワークに過剰な負荷をかけることで、サービスを正常に利用できなくする攻撃手法です。単一の攻撃元から行われる場合もあれば、複数の端末を利用して分散的に行われるケースもあります。複数の分散した（Distributed）拠点から同時に行われるものは、「DDoS（Distributed Denial of Service）攻撃」と呼ばれます。

DDos攻撃について、SQAT.jpでは以下の記事でも解説しています。こちらもあわせてぜひご覧ください。
「記録破りのDDoS攻撃！サイバー脅威の拡大と企業が取るべき対策とは？」
「【徹底解説】日本航空のDDoS攻撃被害の実態と復旧プロセス」

企業のWebサービスは外部公開されている性質上、DoS攻撃の影響を受けやすく、特に処理能力に余裕がない構成や設定不備がある環境では、比較的少ない負荷でもサービス停止に至ることがあります。DoS攻撃は「特別な脅威」ではなく、サービス停止リスクの一因として日常的に考慮すべきものです。

DoS攻撃 / DDoS攻撃の特徴

攻撃難易度の低さ

DoS攻撃/DDoS攻撃の特徴のひとつが攻撃の難易度の低さです。

多くの場合、コンピュータプログラムを書いてマルウェアを開発するような技術力は不要で、APTのような組織・資金・技術力もいりません。

インターネット上には、多数のDoS攻撃ツールが存在します。また、ストレステスト等の正規ツールを悪用してDoS攻撃を行う場合もあります。そればかりか、クレジットカードさえあればすぐに利用できる「DDoS攻撃を請け負う違法サービス」すら存在しています。

DoS攻撃/DDoS攻撃によるサービス停止は機会損失を生み、ブランド毀損は通常のサイバー攻撃より大きい場合もあります。また、直接攻撃対象とならなくても、攻撃の踏み台にされることで間接的な加害者となる危険性もあります。

社会・政治的動機

DoS攻撃、特にDDoS攻撃の特徴を示すキーワードが「社会・政治」です。

2010年、米大手決済サービスが、国際的な内部告発サイトが運営のために支援者から寄付を集める際に利用していた口座を、規約にしたがって凍結したことに対し、ハッカー集団がDDoS攻撃を実施、米大手決済サービスのサービスが一部停止する事態に陥りました。

このように、実施のハードルが低いDoS攻撃/DDoS攻撃は、人々が自身のさまざまな意思を表明するために、あたかもデモ行進のように実施されることがあります。かつては、DDoS攻撃をデモ活動同様の市民の権利として認めるべきであるという議論がまじめに行われていたこともありました。しかし、実際には「気に食わない」だけでもDDoS攻撃は行われ得るのです。社会課題の解決、ナショナリズム、倫理などを標榜していたとしても、端から見るとヘイトや嫌がらせと変わらないことがあります。

このような背景があるため、単に技術的な負荷として片付けられない場合もある点に留意が必要です。

ブランド毀損など、DoS攻撃/DDoS攻撃を受けた場合の被害が大きい

政治的、社会的、あるいは倫理的文脈から批判が集中した企業やサービスなどに対して、一度DoS攻撃/DDoS攻撃がはじまると、その趣旨に共感した人々が次々と参加し、ときに雪だるま式に拡大することがあるのもこの攻撃の特徴です。

また、DoS攻撃/DDoS攻撃は、攻撃が起こっていることが外部からもわかるという点で、外部に公表するまでは事故の発生がわからない情報漏えいのようなタイプのサイバー攻撃とは異なります。「広く一般に知られる」ことが容易に起こりうるため、ブランドへの負のインパクトが発生する可能性も大きいといえます。

DoS攻撃/DDoS攻撃の発生に気づくのが難しい

そもそもWebサービスは、その性質上外部に公開されるものです。そのためDoS攻撃やDDoS攻撃を完全に防ぐことは容易ではありません。特に多数の機器を踏み台として巻き込むDDoS攻撃の標的となった場合には、気づく間もなくあっという間にサービス拒否状態に陥る可能性が高いでしょう。

DoS攻撃による企業への影響とリスク

DoS攻撃による影響は、単なる一時的な停止にとどまりません。

Webサイトやサービスが利用できなくなることによる機会損失
業務システム停止による業務遅延
顧客満足度の低下や信用・ブランドへの影響

特にBtoBサービスの場合、短時間の停止であっても取引先への影響が大きく、事後対応に多くの工数を要するケースがあります。

関連記事：「DoS攻撃/DDoS攻撃の脅威と対策」

DoS攻撃かどうかを見分けるための確認ポイント

アクセス急増時には、いくつかの観点から状況を確認することで、異常かどうかを判断しやすくなります。

タイミングと継続時間

増加のタイミングと継続時間です。特定の時間帯だけ集中しているのか、長時間にわたって負荷が続いているのかによって、想定される原因は異なります。

アクセス元・リクエスト内容

同じ操作やURLへのリクエストが繰り返されていないか、特定のIP帯や地域に偏っていないかを見ることで、通常利用との違いが見えてきます。

ログ・監視データから見る攻撃兆候

エラー発生状況やレスポンス時間の変化を確認することで、単なるアクセス増加なのか、処理を圧迫する挙動なのかを把握できます。

これらを総合的に確認することで、「様子見でよいケース」か「早急な対応が必要なケース」かを判断できます。

企業が優先して実施すべきDoS攻撃対策

DoS攻撃対策は、すべてを一度に実施する必要はありません。優先順位を付けて、自社環境に合った対策を選択することが重要です。

DoS攻撃/DDoS攻撃にも有効な3つの基本的対策

DoS攻撃、特にDDoS攻撃の対策としては、CDN（Content Delivery Networks）の利用、DDoS攻撃対策専用アプライアンス、WAF（Webアプリケーションファイアウォール）などが威力を発揮します。

そして、これらの対策を適用する際には、同時に、セキュリティ対策の基本ともいえる以下の3点に対応できているかどうかも確認しましょう。

1．必要のないサービス・プロセス・ポートは停止する
2．DoS攻撃/DDoS攻撃の端緒になりうる各種の不備を見つけて直す
3．脆弱性対策が施されたパッチを適用する

いずれもセキュリティ対策の「基本中の基本」といえるものばかりですが、防御可能なタイプのDoS攻撃を回避し、システムがDDoS攻撃の踏み台にされることを防ぐためにきわめて有効です。

DoS攻撃対策でよくある誤解と見落とし

DoS攻撃対策というと、高価な専用製品を導入しなければ防げないと考えられがちですが、それだけで十分とは限りません。「対策しているつもり」になっている状態や、運用面の確認が不十分なケースも多く見られます。日常的な設定確認や運用の見直しが、結果としてリスク低減につながります。

自社だけでの対応が難しい場合の考え方

アクセス急増の原因が複雑で判断が難しい場合や、継続的な運用に不安がある場合は、第三者の視点を取り入れることも有効です。定期的なセキュリティ診断や評価を通じて、自社では気づきにくいリスクを把握することができます。

脆弱性や設定不備を狙ったDoS攻撃は防ぐことができる

DoS攻撃/DDoS攻撃は攻撃の発生に気づくのが難しいという話を前段で述べましたが、一方で、防ぐことができるタイプの攻撃も存在します。

一部のWebサイトでは、「長大な文字列を受け入れてしまう」「ファイルの容量を制限しない」など、DoS攻撃につけ込まれてしまう問題が存在することがあります。また、ネットワーク関連の設定の不備によってDoS攻撃を受ける可能性も存在します。しかし、こうした脆弱性は、修正による回避が可能です。

また、あなたの企業が直接DoS攻撃の攻撃対象とならなくても、上述のような脆弱性を放置しておくとDDoS攻撃の踏み台にされることもあります。その対策としては、各種機器・OS・ソフトウェアの脆弱性管理を適切に行うことや、脆弱性診断等のセキュリティ診断を定期的に実施して未知のリスクを把握し、対処することが重要です。

診断会社あるある「すわ、DoS攻撃？」

ここで余談ではありますが、診断実施に伴う「あるある」エピソードを。

セキュリティ診断を行う際には、必ず、実施の年月日や時間帯を関連する部署に周知しなくてはなりません。

実は、診断実施に伴って事業部門等が「DoS攻撃が発生した！」と勘違いすることが、しばしばあるのです。もちろん、一般にインターネット上に公開しているシステムの場合には業務に差し支えるような検査の仕方をしないというのが大前提ですが、それでも、大量の問合せ等が発生すると何も知らされていない担当部署はサイバー攻撃と勘違いすることがあります。ついでにこの際に抜き打ちで社内のサイバー訓練を・・・と目論みたい気持ちが出たとしても、それを実行に移すのは大変危険です。訓練は訓練させる側にきちんとした検証シナリオがあってこそ効果を発揮します。まずは関係各所との連携を徹底するところから始めましょう。

まとめ

DoS攻撃は、特別なケースではなく、サービス停止リスクの一因として日常的に考慮すべきものです。

アクセス急増時はまず原因を切り分ける
DoS攻撃の影響と兆候を理解する
見分け方を把握し、初動対応を誤らない
優先順位を付けて対策・運用を進める
必要のないサービス・プロセス・ポートの停止、などの基本的対策が有効
脆弱性を突いて行われるDoS攻撃は、脆弱性診断などで発見し対策できる

これまで述べたように、DoS攻撃/DDoS攻撃は、機会損失やブランド毀損など事業継続性を損なうダメージをもたらし得るサイバー攻撃です。DDoS攻撃の踏み台となれば社会的責任が問われることもあるでしょう。経営課題のひとつとして認識し、対処することが大切です。

お問い合わせ

お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2025年12月11日2025年12月11日

【2025年版】ランサムウェアギャング大図鑑：脅威マップと攻撃の特徴第3回：今後のトレンドと企業が取るべき対策

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ランサムウェアギャング大図鑑：第3回今後のトレンドと企業が取るべき対策アイキャッチ画像

急速に変化を続けるランサムウェアの脅威についてシリーズ第3回では、2025年以降に予測される攻撃トレンドと、防御の要となる企業の対策ポイントを解説します。AIを活用した攻撃の自動化、地域・業種特化型の攻撃、そして“多重恐喝”の常態化など、脅威はさらに高度化しています。被害を防ぐために企業がとるべき対策や実践的な技術的対策から組織的な備えまで、最新の防御戦略をわかりやすく紹介します。

はじめに：2025年のランサムウェア攻撃と企業への脅威

これまでの2回にわたり、ランサムウェアの進化と市場の変動、そして主要なランサムウェアギャングの勢力図の変化を見てきました。第1回では、ランサムウェア攻撃がどのように進化してきたかを、技術的な進歩や新たな攻撃手法を中心に解説しました。第2回では、ランサムウェアギャングの台頭とその戦略の変化に焦点を当て、特に「RaaS（Ransomware-as-a-Service）」の普及による攻撃の多様化を説明しました。

そして「ランサムウェアギャング大図鑑」シリーズ最終回の第3回では、これらの現状を踏まえて予測される2025年以降のランサムウェア攻撃のトレンドと、企業が今後取るべき対策をご紹介します。攻撃者の進化と企業の防御策がかみ合わないと、被害は拡大する一方です。したがって、最新の脅威動向をしっかりと把握し、適切な対策を講じることが不可欠です。

今後のランサムウェア攻撃のトレンド

ランサムウェア攻撃は年々進化を続けており、攻撃者の手法はますます高度化しています。以下のトレンドが、2025年以降のランサムウェア攻撃を特徴づけると予測されます。

AIおよび機械学習を悪用した攻撃の高度化

ランサムウェア攻撃者は、攻撃をより手軽に仕掛けるため、AIや機械学習を活用し始めています。今後、生成AIの技術は、以下のような形で攻撃に悪用されると予測されています。

攻撃のターゲティング精度の向上

AIを活用することで、攻撃者はターゲットをより詳細に分析し、最も脆弱な部分を狙った攻撃が可能になります。過去の攻撃パターンやデータを学習させることで、企業にとって最も致命的な脆弱性を見つけ出すことができます。

攻撃プロセスの自動化

攻撃の自動化により、従来よりも高頻度かつ広範囲にわたる攻撃が実施される可能性が高まります。AIを利用することで、攻撃者は迅速に脆弱性を見つけ出し、効率よく攻撃を仕掛けることができるようになります。

フィッシング攻撃の進化

AIを駆使して、よりリアルで説得力のあるフィッシングメールが生成され、従業員が引っかかりやすくなります。

サプライチェーン攻撃の増加

サプライチェーン攻撃は2025年以降、さらに拡大することが予測されています。攻撃者は、特に信頼性の高い企業の取引先やパートナーを標的にし、その脆弱性を悪用して間接的に大手企業のネットワークへアクセスする手法を取ります。サプライチェーンでは多くの企業がネットワークを共有しているため、一度攻撃者の侵入を許してしまうと、その後広範囲に影響が及びます。

ランサムウェア(RaaS)モデルの深刻化

今後、RaaSのサービスプロバイダがさらに多様化し、攻撃者が手軽にランサムウェアを利用できる環境が整っていくでしょう。これにより、より多くの犯罪者がランサムウェア攻撃に参入し、その結果として攻撃が広範囲に及ぶことが予測されます。

ゼロデイ攻撃の増加

ゼロデイ攻撃は、未公開の脆弱性を突いた攻撃です。攻撃者は、パッチが公開される前に脆弱性を悪用し、感染拡大を狙います。これからのランサムウェア攻撃において引き続き重要な手段として使用されるでしょう。

ゼロデイ攻撃についてSQAT.jpでは以下の関連記事を公開中です。こちらもあわせてぜひご覧ください。
「世界で多発するゼロデイ攻撃とは？Apple・Google・Ciscoを襲った脆弱性の実態と対策」
https://www.sqat.jp/tamatebako/39750/

企業がとるべきセキュリティ対策

今後、ランサムウェア攻撃はさらに巧妙化し、企業に対する脅威が増大すると予測されます。企業は以下のような対策を講じることにより、リスクを最小限に抑えることができるでしょう。

多層防御策の強化

ランサムウェア攻撃を防ぐためには、単一の防御策では不十分です。多層防御を導入し、複数のセキュリティ対策を重ねることで攻撃のリスクを大幅に低減できます。具体的には以下のセキュリティ対策例が挙げられます。

エンドポイントセキュリティ（EDR）の強化

EDR（Endpoint Detection and Response）を導入し、攻撃を早期に発見できる体制を整えます。これにより、サイバー攻撃の初期兆候をいち早く検出することが重要です。

ゼロトラストモデルの導入

ゼロトラスト（Zero Trust）アーキテクチャの導入により、企業はすべてのアクセスの信頼性を常に検証し、最小限のアクセス権を付与することが求められます。

サプライチェーンリスク管理

企業は自組織のサプライチェーンの脆弱性をしっかりと把握し、取引先やパートナー企業に対するセキュリティ評価を強化する必要があります。

バックアップと復旧体制の整備

ランサムウェア攻撃を受けた場合、迅速な復旧ができる体制を整えておくことが重要です。具体的には以下のような例が挙げられます。

オフラインバックアップの実施
ランサムウェアはオンラインバックアップも暗号化する可能性があるため、オフラインでバックアップを保持することが必要です
復旧計画のテスト
定期的にバックアップと復旧手順をテストし、実際の攻撃時に速やかに復旧できるよう準備します

インシデント対応計画の策定

ランサムウェア攻撃を受けた場合、迅速な対応が求められます。企業はインシデント対応計画を策定し、発生時の対応マニュアルや手順を明確にした上で、組織内での訓練を定期的に行うことが重要です。インシデント対応チームの迅速な対応が企業の存続に直結します。

まとめ：2025年のランサムウェア脅威への最適な防御策

ランサムウェア攻撃はますます巧妙化し、企業にとってその脅威は深刻化しています。しかし、適切な対策を講じることで、企業はリスクを最小化することができます。進化する攻撃トレンドに対応するために、企業は多層防御、ゼロトラスト、サプライチェーンリスク管理、バックアップ体制の強化、インシデント対応の準備を万全に整えることが求められます。今後もランサムウェア攻撃は進化し続けるため、自組織の環境に応じた適切なセキュリティ対策を実施し、組織内のセキュリティ意識を高めていくことが求められるでしょう。

―連載一覧―

第1回：ランサムウェアの進化と2025年の市場構造
第2回：2025年注目のランサムウェアギャング徹底分析

限定キャンペーン実施中！

今なら新規お申込みで 初回診断料金 10％OFF！
短期間での診断が可能な「SQAT® with Swift Delivery」で、あなたの企業をサイバー脅威から守りませんか？

ウェビナー開催のお知らせ

2025年12月17日（水）13:00～14:00
【好評アンコール配信】
「インシデント対応入門：サイバー攻撃・情報漏洩への緊急対応手順解説」
2026年1月14日（水）13:00～14:00
【好評アンコール配信】
「今さら聞けない！ソースコード診断あれこれ」

最新情報はこちら

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年12月17日（水）13:00～14:00
【好評アンコール配信】「インシデント対応入門：サイバー攻撃・情報漏洩への緊急対応手順解説」

2026年1月14日（水）13:00～14:00
【好評アンコール配信】「今さら聞けない！ソースコード診断あれこれ」

最新情報はこちら

2025年12月5日2025年12月11日

【2025年版】ランサムウェアギャング大図鑑：脅威マップと攻撃の特徴第2回：2025年注目のランサムウェアギャング徹底分析

Security NEWS TOPに戻る
バックナンバー TOPに戻る

世界では100を超えるランサムウェアギャングが活動しており、勢力図は日々変化しています。シリーズ第2回では、LockBitやQilin、Cl0p、Akiraなど、2025年現在も活発に活動している主要なランサムウェアギャングを中心に、その手口・特徴・攻撃傾向を徹底分析します。また、BlackCatやRansomHubなど衰退したグループの動向にも触れ、再編を繰り返すランサムウェア市場の「現在地」を整理し、企業が注視すべき最新の脅威を明らかにします。

2025年の勢力図 ― ランサムウェア市場の再編

2025年現在、ランサムウェアの勢力図は大きく塗り替えられています。かつて世界中で猛威を振るったContiやREvil、そしてRansomHubが姿を消した一方で、LockBit、BlackCat（ALPHV）、Play、Cactus、8Base、Medusa、Akiraなどが急速に台頭し、攻撃の主導権を握っています。特にLockBitは依然として最も活発なグループの一つであり、世界各国の企業・自治体・医療機関を標的に、短期間で多層的な攻撃を展開しています。

また、2024年以降は「RaaS（Ransomware-as-a-Service）」モデルの成熟が進み、開発者と実行者（アフィリエイト）が分業化されることで、攻撃のスピードと規模がかつてないほど拡大しました。いまや、技術力の低い犯罪者でも高度なランサムウェア攻撃を実行できる環境が整いつつあります。一方で、法執行機関による摘発や暗号資産取引の監視強化により、いくつかの有力組織は活動停止になりました。代表例がRansomHubであり、2024年に急速に勢力を拡大したものの、2025年4月にはオンラインインフラがダークウェブ上で停止し、現在は「再編中」または「後継グループへ移行中」とみられています。

現在も活発な主要なランサムウェアギャング（2025年時点）

2025年時点で活動が顕著な代表的グループを一覧で紹介します。

グループ名	主な特徴	最近の動向
Qilin（キリン）	製造業への攻撃を中心に活動、日本でも被害多数	2025年700件超の攻撃を確認。被害最多
LockBit（ロックビット）	三重恐喝モデルの先駆者、RaaS最大手	摘発から数か月後、再登場。その際、「LockBit 5.0」を提供
BlackSuit（ブラックスーツ）	BlackCatの後継とされる。カスタム暗号化ツール、情報漏洩の脅迫	2024年に本格的な活動を開始。以前のBlackCatの戦術を引き継ぎつつ、新たな攻撃手法を採用
Play（プレイ）	シンプルな脅迫文と独自の暗号化方式を使用。正規ツール悪用が特徴	教育・行政・製造業を標的に拡大。再現性の高い攻撃手法で模倣も多い
Cactus（カクタス）	VPN機器の脆弱性を悪用。暗号化前に自身をパスワードで保護	欧州企業を中心に感染が拡大中。RaaS化も進行
Medusa（メデューサ）	攻撃的な恐喝と高額な身代金要求	医療・教育機関を中心に攻撃継続。複数の新アフィリエイトを獲得
Akira（アキラ）	VPN経由での侵入とActive Directory攻撃に長ける	北米・アジア企業への侵入増加。身代金の要求額は比較的低め*1https://www.ic3.gov/CSA/2024/240418.pdf

LockBit・BlackSuitが象徴する「持続型」攻撃モデル

LockBitは2021年以降、継続的なバージョンアップを重ね、現在の「LockBit 5.0」では暗号化速度の向上や複数OS対応を実現しています。また、被害者データを公開する「リークサイト」の運用を巧妙化し、支払い圧力を高める戦略を維持しています。一方で、米司法省などの国際捜査により一時的に活動が停止する局面も見られましたが、数週間で再建されるなど、組織の分散性と復元力が注目されています。同様に、BlackSuitは、2023年に登場したBlackCat（ALPHV）の後継とされ、依然としてRust言語を使用したカスタマイズ暗号化を得意とするグループです。BlackSuitの特徴的な点は、以前のBlackCatが行っていた情報漏洩の脅迫に加えて、さらに新たな攻撃手法を採用している点です。特に、金融機関や医療機関をターゲットにした攻撃が増加しており、その手法の精緻化が進んでいます。2024年には本格的に活動を開始し、これまでのBlackCatの後を継いで攻撃を継続中です。業界を超えて、感染経路や攻撃対象を広げると同時に、その特異な手法で注目を集めています

両者に共通するのは、「迅速な再編」と「収益性の最大化」を重視する点であり、捜査・報復措置を受けても体制を再構築し、ブランドを維持する巧妙な経営的戦略をとっています。

新興勢力：Qilin、Play、Cactus、8Base、Medusaの特徴

Qilinは2025年に最も多くの攻撃を仕掛けたランサムウェアグループの一つで、製造業をターゲットにしたカスタマイズ攻撃が特徴です。2025年に入ってから、短期間で700件以上の攻撃を記録し、特に日本企業を多く標的にしています。特徴的なのは、被害者の業界や規模に合わせた細かな調整を行い、効率的に侵入する手法です。2025年9月には、アサヒグループホールディングスに対する攻撃が大きな注目を浴びました。Qilinは、LockBitやDragonForceと連携して攻撃を行うことがあり、今後のランサムウェア市場において、さらなる影響力を持つと予測されています。

その他に急速に台頭した新興勢力の一つがPlayです。Playは2022年に登場した比較的新しいグループながら、独自の暗号化方式とシンプルな脅迫メッセージで知られています。標的選定の傾向は特定の業界に偏らず、政府機関・教育機関・中堅企業まで幅広い範囲に及びます。また、侵入後の横展開において、既知の脆弱性よりも「正規ツールの悪用」を多用する点が特徴的です

さらに、Cactusと8Baseも注目すべき新興勢力です。CactusはVPNやCitrixなどの正規アクセス経路を悪用して侵入し、通信を暗号化する独自の戦術を採用することで検知を困難にしています。被害は欧州を中心に広がり、暗号化ツールをRaaSとして提供する動きも見られます。8Baseは中小企業を中心に攻撃を展開し、データ窃取を重視する「二重脅迫型」戦略を強化しています。LockBit系列の派生とされ、独自の強い脅迫文や被害者情報の大量公開で知られます。2024年中頃をピークに報告数は減少していますが、依然として活動を続けています。また、Medusaは、支払い期限をカウントダウン表示する公開サイトを運用するなど、恐怖心を煽る戦略を取るグループとしても知られています。教育・医療機関を標的とする傾向が強く、倫理的・社会的インパクトの大きさからも注目されています

勢力構造の変化が示す今後の方向性

これらの動向から、2025年以降のランサムウェア市場には次のような変化が予測されます。

短命化するグループと再編の加速

RansomHubのように短期間で急成長し、消滅するケースが増えています。これは法執行機関の摘発強化や、内部リークによる情報流出が影響しているとみられます。

RaaSの分散化と匿名化の進行

大規模組織の崩壊後、開発者が小規模な派生RaaSを乱立させる傾向が見られます。結果として、検知・追跡がより困難になると予測されます。

生成AIや自動化の活用

脅迫文や交渉メッセージの自動生成、被害者選定の最適化など、AI技術の導入が進みつつあります。今後は攻撃プロセス全体の自動化が一層進む可能性があります。

まとめ：常に変動する「勢力の地図」

ランサムウェアの世界では、勢力の興亡が常態化しています。LockBitのような巨大グループでさえ摘発の影響を免れず、次々と新たな派生組織が生まれています。企業としては、「どのグループが脅威か」を追うだけでなく、「どのような攻撃パターンが再利用されているか」を分析することが重要です。攻撃者の名前が変わっても、手口は進化しながら再利用されるため、継続的な脅威インテリジェンスの収集と脆弱性管理が不可欠です。

―第3回へ続く―

【参考情報】

サイバーインシデント緊急対応

セキュリティインシデントの再発防止や体制強化を確実に行うには、専門家の支援を受けることも有効です。BBSecでは緊急対応支援サービスをご提供しています。突然の大規模攻撃や情報漏洩の懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年12月10日（水）14:00～15:00
「【最短7営業日で報告書納品】短納期で実現するWeb脆弱性診断の新提案-SQAT^® with Swift Delivery紹介セミナー」

2025年12月17日（水）13:00～14:00
【好評アンコール配信】「インシデント対応入門：サイバー攻撃・情報漏洩への緊急対応手順解説」

2026年1月14日（水）13:00～14:00
【好評アンコール配信】「今さら聞けない！ソースコード診断あれこれ」

最新情報はこちら

2025年11月27日2025年11月27日

【2025年版】ランサムウェアギャング大図鑑：脅威マップと攻撃の特徴
第1回：ランサムウェアの進化と2025年の市場構造

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2025年、ランサムウェアは依然として世界中で深刻な脅威となっています。二重恐喝型から、データ漏洩やDDoSを組み合わせた多重恐喝型へと進化し、被害は企業規模を問わず拡大中です。本シリーズでは、最新のランサムウェア勢力図を全3回で徹底分析します。第1回では、RaaS（Ransomware as a Service）の登場によって急成長したランサムウェア市場の構造と、勢力図がどのように変化してきたのかを詳しく解説します。

ランサムウェア攻撃の現状と被害拡大

2025年、ランサムウェアは依然として世界で最も深刻なサイバー脅威の一つとして位置づけられています。近年は暗号化による業務停止だけでなく、窃取したデータを公開・販売する「二重恐喝」や、DDoS攻撃を加えた「多重恐喝」など、攻撃の多様化が進んでいます。BlackFogの分析によると、2025年初頭のランサムウェア攻撃件数は前年同月比で20〜35％増加しており、増加傾向が続いています*2。特に製造、医療、自治体など、社会インフラに関わる業種への攻撃が目立ちます。日本国内でも被害は増加傾向にあり、企業規模を問わず中堅・中小企業への侵入事例が相次いでいます。攻撃者は直接的な金銭目的だけでなく、他国のサプライチェーンを狙った地政学的背景を持つケースもあり、もはや”無関係な企業は存在しない”状況です。

RaaSモデルがもたらした犯罪の分業化

ランサムウェアがここまで拡大した最大の要因が、「RaaS」と呼ばれるサービス型犯罪モデルの普及です。RaaSは、開発者が作成したランサムウェアを他の攻撃者（アフィリエイト）に貸し出し、得た身代金を分配する仕組みです。技術力を持たない犯罪者でも容易に攻撃を実行できるようになったことで、ランサムウェア攻撃の“裾野”が急拡大しました。

「LockBit」、「Cl0p」、「BlackCat」といった代表的なランサムウェアギャングは、このRaaSモデルを最も普及させたグループです。各アフィリエイトは攻撃対象の選定や侵入手口を独自に開発し、成功報酬を得るビジネス形態を採用しています。まるで企業のような組織構造を持ち、専用のリークサイト運営、広報担当、カスタマーサポートまで存在します。攻撃が商業化・効率化されることで、ランサムウェアはもはや“闇市場の産業”といえる規模に達しています。

勢力図の変化：旧勢力の衰退と新興ギャングの台頭

2024年後半から2025年にかけて、ランサムウェアの勢力図は大きく変化しました。かつて世界を席巻した「Conti」や「Hive」、「Revil」、「BlackCat（ALPHV）」といった主要なランサムウェアギャングは、国際捜査機関の摘発や内部対立により次々と崩壊しました。しかし、その空白を埋めるように新たな勢力が台頭しています。特に注目されるのが、「Qilin（旧Agenda）」や「Lynx」、「Fog」などの新興グループです。これらは高度な暗号化技術と迅速な展開能力を持ち、企業や自治体を標的にデータ漏洩を伴う攻撃を展開しています。Qilinは日本国内の製造業や医療機関を狙う傾向が強く、すでに複数の被害が確認されています。また、LockBitも摘発を受けながらも「LockBit 5.0」として再始動するなど、ブランドの使い捨て・再構築が常態化しています。2025年のランサムウェア市場は、以前から存在するギャングの復活と新興勢力の台頭が交錯する“過渡期”にあると言えます。

ランサムウェア市場を支える犯罪エコシステム

現在のランサムウェア攻撃は、単独の攻撃者だけでは成り立ちません。その背景には「地下経済圏」とも呼ばれる広大な犯罪エコシステムが存在します。ここでは、侵入経路を提供するアクセスブローカー、情報窃取ツールの開発者、暗号通貨を用いたマネーロンダリング業者など、多様な役割が分業的に連携しています。たとえばアクセスブローカーは、企業ネットワークへの侵入権をオークション形式で販売し、ランサムウェアギャングがそれを購入して攻撃を開始します。また、盗み出したデータを販売する「データリークサイト」は、恐喝手段としても活用され、被害企業名を公開して支払いを促します。

さらに近年は、SNSやダークウェブ掲示板上での広報・採用活動も活発化しており、RaaS提供者が「報酬50％保証」「高成功率ツール」といった広告を出すなど、まるでスタートアップ市場のような競争が繰り広げられています。こうした分業と再利用の仕組みにより、ランサムウェア市場は摘発を受けてもすぐに再生する自己修復的な構造を持ち、世界的な脅威として根強く残り続けています。

まとめ：進化する脅威にどう向き合うか

ランサムウェアはもはや“単なるマルウェア”ではなく、「経済的インセンティブを軸に発展する犯罪ビジネスモデル」へと進化しました。RaaSによる分業体制と匿名性の高い暗号資産の普及が、攻撃の拡大を後押ししています。2025年の時点で確認されている主要なランサムウェアギャングの多くは、過去に摘発・崩壊を経験しながらも、ブランドを変えて再登場しており、摘発による根絶は困難です。今後はAIを利用した自動化攻撃、ゼロデイ脆弱性の悪用、地域特化型の標的選定など、さらに巧妙な戦術が主流になると予想されます。企業に求められるのは、「攻撃を防ぐ」だけでなく、「被害を最小化し、迅速に復旧できる体制」を整えることです。第2回では、2025年時点で活動が確認されている主要なランサムウェアギャングの特徴と手口を詳しく分析し、勢力ごとの違いと警戒すべき動向を解説します。

―第2回へ続く―

【参考情報】

サイバーインシデント緊急対応

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年12月3日（水）14:00～15:00
「【最新事例解説】Qilin攻撃に学ぶ！組織を守る“サイバーレジリエンス強化のポイント”喫緊のランサムウェア被害事例からひも解く ― 被害を最小化するための“備えと対応力”とは？」

2025年12月10日（水）14:00～15:00
「【最短7営業日で報告書納品】短納期で実現するWeb脆弱性診断の新提案-SQAT^® with Swift Delivery紹介セミナー」

最新情報はこちら

2024年10月15日2025年8月12日

APIとは何か（2）～APIの脅威とリスク～

Security NEWS TOPに戻る
バックナンバー TOPに戻る

APIセキュリティは、現代のビジネスにおいて不可欠な課題です。シリーズ第2回の今回は、APIを悪用した攻撃手法や、OWASP（Open Web Application Security Project）よりリリースされている「OWASP API Security Top 10」で取り上げられるリスクの詳細を解説します。インジェクション攻撃やDDoS攻撃、APIキーの悪用、アクセス制御に関する脆弱性など、主要な脅威を紹介しながら、APIが悪用された場合の影響について解説します。

前回記事（シリーズ第1回）「APIとは何か～基本概念とセキュリティの重要性～」はこちら。

APIとは～前回からの振り返り

日頃からインターネットなどのネットワークを使用することが多い今日、現代における多くの企業はAPIに大きく依存しており、今やAPIは不可欠なものとなっています。Akamai社のレポート「The API Security Disconnect」によると、調査対象となった企業の約8割以上が2023年に行った調査において、「過去12か月以内にAPIセキュリティをより重視した」と回答しています。しかし、2022年～2024年で調査した回答者のうち、半数以上が、APIのセキュリティインシデントの影響により顧客の信頼を失い、さらにそこからほぼ半数は生産性の低下や従業員の信頼の低下にもつながったといいます。

また、SNS事業者が提供するAndroid版アプリに存在した脆弱性が悪用された結果、膨大な量のアカウント情報が漏洩した事例*2も報告されています。これは攻撃者が大量の偽アカウントを使用し、様々な場所から大量のリクエストを送信し、個人情報（ユーザ名・電話番号）を照合するというものでした。

APIが悪用されるとどうなるか

APIが悪用された場合、多岐にわたる深刻な影響が生じます。特に、認証や認可の不備は深刻なセキュリティホールとなり得ます。攻撃者はこれらの脆弱性を悪用して不正アクセスを行い、機密データや個人情報を盗み出す恐れがあります。また、認可が適切に設定されていないと、本来は外部からアクセスできないはずのデータにまで侵入され、第三者からデータの改ざんや不正操作が可能となってしまいます。さらに、APIを標的にしたDDoS攻撃によりサービスがダウンし、正規ユーザが利用できなくなることで、企業の信用失墜や業務の中断といったダメージを引き起こします。これらの影響は、経済的損失だけでなく、法的問題やブランドイメージの毀損など、長期的な悪影響をもたらすため、APIのセキュリティ強化が不可欠です。

APIを悪用した攻撃の事例はいくつか報告されていますが、いずれの攻撃も、「OWASP API Security Top 10」で挙げられている問題と関連性があります。

OWASP API Security Top 10

APIセキュリティについて、Webアプリケーションセキュリティに関する国際的コミュニティであるOWASPが、2023年6月に「OWASP API Security Top 10 2023」をリリースしています。APIセキュリティにおける10大リスクをピックアップして解説したものです。

https://owasp.org/API-Security/editions/2023/en/0x11-t10/ より当社作成

「OWASP API Security Top 10」上位のリスク

特に上位5つの項目については、以下のような重大なリスクにつながるため、リリース前に十分な対策が施されていることを確認すべきです。

不正アクセス
なりすまし
情報漏洩
サービス運用妨害（DoS）

主なセキュリティ脅威

インジェクション攻撃

インジェクション攻撃は、悪意のあるコードをAPIに挿入し、不正な操作を行う攻撃です。APIの入力データを検証せずに処理している場合、攻撃者にデータベースへのアクセスを許すリスクが生じます。特にSQLインジェクションやコマンドインジェクション攻撃が多く、攻撃を受けてしまった場合、データベースの情報漏洩やシステムの制御不備などの被害があります。

認証およびセッション管理の不備の脆弱性を悪用

APIの認証とセッション管理の不備を悪用することで、攻撃者は不正アクセスやなりすましを行います。パスワード強度が不十分な場合やトークンの管理が適切に行われていない場合、セッションハイジャックや不正に重要な情報を閲覧されることによってデータの漏洩が発生するリスクがあります。適切な認証管理およびセッション管理を行うことが重要です。

DDoS攻撃は、複数のPCからアクセスされることによる膨大な量のリクエストをAPIに一斉に送り込むことで、システムのリソースを枯渇させ、サービスの提供を妨害する攻撃です。APIの特性上、処理を高速に行うために外部からのリクエストを許容する必要がありますが、その柔軟性が悪用されます。攻撃者はボットネットを利用し、大量のトラフィックを発生させてサーバのリソースを消費させます。これにより、顧客はサービスが利用できず、自組織においても業務に多大な影響を及ぼします。APIを保護するためには、トラフィックの監視やレート制限、WAF（Webアプリケーションファイアウォール）などのセキュリティ対策が重要です。

APIキーの悪用

APIキーは、APIへのアクセスを制御するために利用されますが、攻撃者に奪われると不正利用のリスクが生じます。盗まれたAPIキーは無制限のアクセスやサービスの悪用に使われる恐れがあります。安全な管理や無制限にアクセスができないように適切なアクセス制御を実施すること等が重要です。

アクセス制御の不備による影響

APIのアクセス制御の不備の脆弱性を悪用することで、攻撃者は許可されていないデータや機能にアクセスできます。適切な権限設定がされていない場合、データの漏洩や不正な操作の実行のリスクがあります。権限の設定など適切なアクセス制御が求められます。

思わぬデータの公開や改ざん

APIの設計や実装の不備により、データが意図せず公開・改ざんされるリスクがあります。適切な認証・認可がないと、攻撃者が内部の機密情報にアクセスすることが可能になります。例えば、本来ならシステム管理者のみがアクセスできる設定画面または顧客情報やシステムに関する情報などの重要情報が格納されている場所に攻撃者がアクセスできてしまった場合、システムの設定を変更されたり重要情報が奪取されたりする恐れがあります。また、過剰に情報を提供するAPIレスポンスや暗号化されていないデータ転送も、情報漏洩や改ざんの危険性を高めます。データ保護には、適切なアクセス制御と暗号化の実装が不可欠です。

アカウント乗っ取り

不正アクセスによってユーザアカウントが乗っ取られ、APIを悪用される可能性があります。一度アカウントが乗っ取られると、攻撃者は個人情報の閲覧や不正操作、さらには他のシステムへの攻撃拡大を図る可能性があります。多要素認証（MFA）の導入やAPIキーの適切な管理、ログイン試行の監視など、セキュリティ対策の強化が必要です。

まとめ

現代の企業にとってAPIによるアプリケーション連携は不可欠ですが、その悪用によるセキュリティリスクも増加しています。APIを悪用した攻撃の事例は、「OWASP API Security Top 10」に関連しています。主なセキュリティ脅威には、インジェクション攻撃、認証やセッション管理の不備、DDoS攻撃、APIキーの悪用、アクセス制御の脆弱性、不適切なデータ公開や改ざん、アカウント乗っ取りなどがあります。これらは重大なリスクを孕んでいるため不正アクセス、なりすまし、機密データの盗難を含む情報漏洩、データ改ざん、サービスのダウンによるサービス低下や業務への影響、ひいては企業の信用失墜といった深刻な結果を招きます。こうした被害を防ぐため、APIの設計段階から適切なセキュリティ対策を行い、監視やアクセス制御の強化が不可欠です。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2024年8月5日2025年5月12日

長期休暇中のセキュリティ対策
―休暇を狙って猛威をふるうランサムウェアやフィッシング攻撃：増加傾向と対策―

Security NEWS TOPに戻る
バックナンバー TOPに戻る

長期休暇（前・中・後）に企業や個人がサイバー攻撃の標的になりやすくなる理由は、多岐にわたります。本記事では、長期休暇に増加する主なサイバー攻撃のタイプを紹介し、地域別および産業別の影響について触れ、企業や個人がサイバー攻撃に備えるための対策方法について解説します。これにより、読者がより安心して長期休暇を過ごせるために役立つ情報提供となれば幸いです。

長期休暇中にサイバー攻撃が増えやすい理由

長期休暇、特に年末年始やゴールデンウィーク、お盆休み、シルバーウイークなど、大型連休中にはサイバー攻撃が増加する傾向にあります*2。これは以下の理由によるものです。

企業のセキュリティ体制が手薄になる
個人ユーザによるオンラインショッピング利用やSNS投稿が増える
攻撃者が休暇中のユーザの油断を狙う

主なサイバー攻撃タイプ

長期休暇中に増加する主なサイバー攻撃には以下のようなものがあります。

フィッシング攻撃
個人を狙って特別セールやイベントを装った偽のメールやウェブサイトが増えます。
ランサムウェア攻撃
企業のセキュリティ体制が弱まる時期を狙って、データを人質に取る攻撃が行われます。
DDoS攻撃
オンラインサービスの需要が高まる時期に、サービスを妨害する攻撃が増加します。

参考：解説動画　アナリストが語る「今月のセキュリティトピック」2024年7月版
攻撃・インシデント関連（再生時間：13:23）
「国内大手出版グループに大規模サイバー攻撃」

Youtubeチャンネルのご案内

SQATチャンネル（@sqatchannel9896）では毎月、アナリストが語る「セキュリティトピック」解説動画やウェビナー動画を更新しています。ぜひチャンネル登録をして、チェックしてみてください。

地域別の傾向

サイバー攻撃は世界中で発生しますが、特定の地域では休暇期間中に攻撃が顕著に増加することがあります。

北米やヨーロッパ：クリスマスシーズンに攻撃が増加
アジア：旧正月期間中に攻撃が増加
日本：ゴールデンウィーク、お盆休み、シルバーウィーク、年末年始

産業別の影響

長期休暇中のサイバー攻撃は、特定の産業により大きな影響を与えることがあります。

小売業：オンラインショッピングの増加に伴い、顧客データを狙った攻撃が増加
金融サービス：年末の取引増加期に狙われやすい
旅行・観光業：休暇予約情報を狙った攻撃が増加

長期休暇（前・中・後）の対策

長期休暇前

緊急連絡体制の確認をする
委託先企業を含めた緊急連絡体制や対応手順を確認します。
機器接続ルールを確認する
社内ネットワークへの機器接続ルールを確認し、遵守します。
使用しない機器の電源OFFにする
長期休暇中に使用しないサーバ等の機器は電源をオフにします。
データのバックアップをとる
重要データのバックアップを行い、ランサムウェア攻撃に備えます。
セキュリティソフトを更新する
セキュリティソフトの定義ファイルを最新の状態に更新します。

長期休暇中

持ち出した機器やデータの管理
自宅等に持ち出したパソコン等の機器やデータを厳重に管理します。
SNS投稿の定期的に確認する
行楽等の外出前や外出先でのSNS投稿に注意し、不在を知られないようにします。
偽のセキュリティ警告の表示の確認
ウェブサイトの閲覧中に表示される偽の警告に注意し、操作しないようにします。
不審なメールやURLが届いていないかどうか確認する
メールやショートメッセージ（SMS）、SNSでの不審なファイルやURLに注意します。

長期休暇明け

修正プログラムを適用する
長期休暇中に公開された修正プログラムを適用します。
定義ファイルを最新の状態に更新する
セキュリティソフトの定義ファイルを最新の状態に更新します。
ウイルスチェックを実施する
持ち出していた機器等のウイルスチェックを行います。
不審なメールが届いていないかどうか確認する
長期休暇明けはメールがたまっています。不審なメールには特に注意が必要です。

企業のリスク管理

企業が長期休暇中にリスク管理を徹底するためには以下のような対策が必要です。

緊急連絡体制の確認
委託先企業を含めた緊急連絡体制や対応手順を確認します。
サーバやネットワーク機器の脆弱性対策
自組織のシステムに内在する脆弱性を可視化し、リスク状況を把握したうえで、セキュリティ対策を講じます。
アカウント管理
アカウントのアクセス権限を確認し、不要なアカウントを削除します。
従業員への周知
パスワードの強化、管理の徹底を従業員に周知徹底します。

個人の注意点

個人が長期休暇中に注意すべき点は以下の通りです。

SNS投稿
行楽等の外出前や外出先でのSNS投稿に注意し、不在を知られないようにします。
偽のセキュリティ警告
ウェブサイトの閲覧中に表示される偽の警告に注意し、操作しないようにします。
パソコンの初期化
ウイルスに感染した疑いがある場合はパソコンの初期化を検討します。
フィッシングサイト対策
フィッシングサイトで情報を入力してしまった場合は、パスワードの変更、カード会社への連絡等を行います。

長期休暇中のサイバー攻撃に備えるために

長期休暇中は、サイバー攻撃のリスクが高まるため、事前の対策が重要です。緊急連絡体制の確認や使用しない機器の電源オフ、データのバックアップなどを徹底することで、リスクを最小限に抑えることができます。休暇中も持ち出した機器やデータを厳重に管理し、SNS投稿に注意するなどの対策を講じることで、サイバー攻撃から自分を守ることができます。休暇明けには、修正プログラムの適用やウイルスチェックを行い、最新のセキュリティ状態を維持することが大切です。この企業も個人も、適切な対策を講じて安全な長期休暇を過ごしましょう。

ウェビナー開催のお知らせ

2024年9月25日（水）13:00～14:00
【好評アンコール配信】
「ランサムウェア対策の要～ペネトレーションテストの効果、脆弱性診断との違いを解説～」

2024年10月2日（水）13:00～14:00
【好評アンコール配信】
「サイバー攻撃に備えるために定期的な脆弱性診断の実施を！
　- ツール診断と手動診断の比較 –」

2024年10月9日（水）13:00～14:00
【好評アンコール配信】
「システム開発のセキュリティ強化の鍵とは?
　-ソースコード診断で手戻りリスクとサイバー攻撃を未然に防ぐ-」

最新情報はこちら

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2023年3月2日2025年5月12日

IPA 情報セキュリティ10大脅威からみる
― 注目が高まる犯罪のビジネス化 ―

Security NEWS TOPに戻る
バックナンバー TOPに戻る

近年、サイバー犯罪はビジネス化が危惧されています。これまで高度な技術をもつ人だけが実行できていたサイバー攻撃も、攻撃のための情報がサービスとして公開されていたり、ツールを活用したりすることで、誰でも容易に実行することが可能となっています。犯罪のビジネス化が進む世の中で我々が対抗できる手段はあるのでしょうか。本記事では、注目される犯罪のビジネス化としてRaaSやDDoS攻撃などのビジネスモデルをご紹介しつつ、サイバー攻撃に備えるにはどのような手段をとればいいのか、という点について解説いたします。

「犯罪のビジネス化」が「情報セキュリティ10 大脅威」に5年ぶりのランクイン

2023年1月25日、独立行政法人情報処理推進機構（IPA）は「情報セキュリティ10大脅威 2023」（組織・個人）を発表しました。組織編の脅威に2018年を最後に圏外となっていた「犯罪のビジネス化（アンダーグラウンドサービス）」が再びランクインしました。

アンダーグラウンドサービスとは、サイバー攻撃を目的としたツールやサービスを売買しているアンダーグラウンド市場で取引が成立し、経済が成り立つサービスのことです。これらのツールやサービスを悪用することで、攻撃者が高度な知識を有していなくとも、容易にサイバー攻撃を行うことが可能となります。そのため、ランサムウェアやフィッシング攻撃といったサイバー攻撃がますます誘発され、脅威となるのです。

出典：独立行政法人情報処理推進機構（IPA）「情報セキュリティ10大脅威 2023 」（2023年3月29日）組織向け脅威

ランサムウェアをサービスとして提供するRaaS（Ransomware-as-a-Service）

勢いを増しているサイバー犯罪のビジネスモデルとしてRaaS（Ransomware-as-a-Service）があります。RaaSとはランサムウェアが主にダークウェブ上でサービスとして提供されている形態のことで、RaaSを利用した攻撃者は、得た身代金の何割かを開発者に取り分として渡す仕組みになっていて、そうやって利益を得ていることなどがあります。

ランサムウェアが増加している理由についてはSQAT.jpでは以下の記事でご紹介しています。こちらもあわせてご覧ください。
「ランサムウェア攻撃に効果的な対策‐セキュリティ対策の点検はできていますか？‐」

図1：Raasビジネスを利用した攻撃の一例

昨今のランサムウェア攻撃の特徴として、ランサムウェア攻撃により行われる脅迫は暗号化したデータを復旧するための身代金の要求に加えて、支払わなければ奪取したデータを外部に公開するといった二重の脅迫から、さらに支払うまでDDoS攻撃（※）を行うといった三重の脅迫から、さらにはそれでも支払いを拒否された場合には、盗んだ情報をオークションで売られてしまうといった事態に発展するなど、より被害が拡大しています。
※DDoS攻撃・・・多数の発信元から大量のデータを送り付けることでサーバを停止させる攻撃のこと。

図2：データの暗号化＋データの公開＋DDos攻撃による三重脅迫

また、従来のランサムウェアの攻撃の手口は不特定多数に対して無差別に行うばらまき型と呼ばれる手法でしたが、近年では攻撃手法が多様化しています。以下の表は攻撃手法と事例です。


年月	攻撃手法	事例
2020/6	標的型ランサムウェア攻撃	国内自動車メーカーの社内システムが、EKANSの攻撃を受け、日本を含む各国拠点で一時生産停止に陥るなど大きな被害を受ける。
2022/1	USBデバイスを使用したランサムウェア攻撃	米国で攻撃者が官公庁や有名販売サイトを装い、パソコンに接続することでランサムウェアを感染させる細工を施したUSBデバイスを送付。2021年8月には運輸および保険業界の企業、11月には防衛産業企業に送られており、FBIが注意喚起を行う*2。
2022/10	サプライチェーン攻撃によるランサムウェア感染	2022年10月の大阪府の病院を狙った事例では、同病院へ給食を提供している委託事業者のサービスを通じて、ネットワークに侵入された可能性が高いと報道があった。

取り上げた事例の詳細について、SQAT.jpでは以下の記事でご紹介しています。こちらもあわせてご覧ください。
2022年6月の事例：「ランサムウェア最新動向2021 ―2020年振り返りとともに―」
2022年10月の事例「拡大するランサムウェア攻撃！―ビジネスの停止を防ぐために備えを―」

このように、被害者が身代金の要求により応じやすくなるような脅迫に変化し、また攻撃手法も多様化することにより、攻撃の巧妙化によって高い収益をあげられることから、今後もランサムウェア攻撃は続くことでしょう。その背景には攻撃の実行ハードルを下げるRaaSの存在があることが考えられます。

フィッシング攻撃やDDoS攻撃もサービス化へ

フィッシング攻撃とは、有名企業等になりすますなどして偽装したメールやSMSにより、本物そっくりの偽サイトに誘導したり、悪意ある添付ファイルを実行させようとしたりするサイバー攻撃です。このフィッシング攻撃により、マルウェアを使った重要情報の奪取や、ランサムウェアの感染拡大などを行う事例*2も確認されています。

2022年11月から感染が再拡大しているマルウェア「Emotet」も、この手口を利用することで拡大しました。Emotetに感染し、メール送信に悪用される可能性がある.jpメールアドレスの数は、Emotetの感染が大幅に拡大した2020年に迫る勢いとなっています。

図3：Emotetの攻撃例イメージ図

フィッシング攻撃もサービス化が進んでいます。2022年9月、米国のResecurity社はダークウェブにおいて二要素認証を回避する新たなPhaaS(Phishing-as-a-Service)が登場したと発表しました。このPhaaSは「EvilProxy」と命名され、二要素認証による保護を回避する手段として、「リバースプロキシ」と「クッキーインジェクション」を使用し、被害者のセッションをプロキシング（代理接続）するというものです。このような複雑な仕組みの攻撃がサービス化されたことにより、今後フィッシング攻撃がますます活発化することが考えられます。

「EvilProxy Phishing-As-A-Service With MFA Bypass Emerged In Dark Web」図 — 出典：Resecurity「EvilProxy Phishing-As-A-Service With MFA Bypass Emerged In Dark Web 」より弊社和訳

そのほかにも、直近では米国で定額料金を支払うことで代行してDDoS攻撃を行うサービス「DDoS攻撃代行サブスクリプションサービス」を提供するサイトの運営者が逮捕される事件*3がありました。DDoS攻撃を行う目的は「金銭目的」「嫌がらせ」「抗議の手段」「営利目的」など攻撃者の背景によって異なります。逮捕に至ったこのサービスでは2000人以上の顧客を抱えており、これまでに20万件以上のDDoS攻撃を実行したと報道がありました。ここからみえてくるのは、様々な事情を抱えた攻撃者にとって、「求められているサービス」であったということです。

犯罪ビジネスサービス利用者の標的にならないために

ここまでランサムウェアやフィッシング等のサイバー攻撃がビジネス化されている例をみてきました。このように犯罪に使用するためのサービスは、アンダーグラウンド市場で取引され、これらを悪用したサイバー攻撃が行われるというビジネスモデルが存在しているのです。サービスを利用するだけで、高度な知識をもたない攻撃者であっても、容易にサイバー攻撃を行えることから、犯罪のビジネス化は今後さらに進み、特にランサムウェア攻撃やフィッシング攻撃は活発化することが考えられます。

これらの犯罪ビジネスサービス化の拡大により増えることが想定されるランサムウェア攻撃とフィッシング攻撃に対して、攻撃を行う機会を与えないために以下のような基本的な対策が有効でしょう。

ランサムウェア対策

■定期的なバックアップの実施と安全な保管
　（物理的・ネットワーク的に離れた場所での保管を推奨）
　⇒バックアップに使用する装置・媒体は、バックアップ時のみパソコンと接続
　⇒バックアップに使用する装置・媒体は複数用意する
　⇒バックアップから復旧（リストア）可能であることの定期的な確認
■OSおよびソフトウェアを最新の状態に保つ
■セキュリティソフトを導入し、定義ファイルを常に最新の状態に保つ
■認証情報の適切な管理（多要素認証の設定を有効にするなど）　など

フィッシング対策

■ソフトウェアを最新にするなどパソコンやモバイル端末を安全に保つ
■従業員教育を行う
　⇒不審なメールやSMSに注意する
　⇒メールやSMS内に記載されたURLを安易にクリックしない
　⇒メールやSMSに添付されたファイルを安全である確信がない限り開かない
■標的型攻撃メール訓練の実施　など

なお、セキュリティ対策は一度実施したらそれで終わりというものではありません。サイバー攻撃の手口は常に巧妙化し、攻撃手法も進化し続けているためです。脆弱性診断を定期的に行うなど、継続してサイバー攻撃に備えていくことが必要です。また、セキュリティ対策を実施した後も、侵入される可能性はないのか、万が一感染した場合はその影響範囲はどの程度かといった現状把握を行い、実装したセキュリティ対策の有効性を確認することが大切です。

BBSecでは以下のようなご支援が可能です。お客様のご状況に合わせて最適なご提案をいたします。

＜侵入前・侵入後の対策の有効性確認＞

BBSecでは、第一段階に侵入を防ぐ対策を行い、第二段階にもし侵入されてしまった場合に被害を最小化する対策を行うことで、多層防御を実現する、「ランサムウェア対策総点検＋ペネトレーションテスト」の組み合わせを推奨しています。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2022年8月2日2025年5月13日

DoS攻撃/DDoS攻撃の脅威と対策

Security NEWS TOPに戻る
バックナンバー TOPに戻る

DoS（サービス運用妨害：Denial of Service）攻撃とは、ネットワークを構成するサービスや機器に対して大量のパケットを送りつけ、サービス機能を停止させるサイバー攻撃です。サービス提供者が被害にあってしまうと、機会損失を産み、信用失墜につながる大きな影響を受ける可能性があります。本記事では、DoS攻撃／DDoS攻撃の脅威として攻撃の実例に触れつつ、攻撃者が実行する動機と被害を受けてしまった場合の影響、攻撃シナリオに基づく対策方法をご紹介します。

DoS攻撃／DDoS攻撃とは

DoS攻撃とは、ネットワークを構成するサービスや機器に対して大量のパケットを送りつけ、アクセスしにくい状況にしたり、使用停止状態に追い込んだりするなど、機能を停止させるサイバー攻撃です。

そして、複数の分散した（Distributed）拠点から一斉にこのDoS攻撃を仕掛けることを、「DDoS（Distributed Denial of Service）攻撃」といいます。

Dos攻撃／DDos攻撃とはのサムネ — 【図1】DoS攻撃の概要図、【図2】DDoS攻撃の概要図

サービス提供者がDoS攻撃／DDoS攻撃を受けた場合、サービス停止によって機会損失を生み、信用失墜は通常のサイバー攻撃より大きい場合も考えられ、攻撃の踏み台にされることで間接的な加害者となる可能性もあります。

近年では、分散化や大規模化も進んでおり、単純なサービス妨害から複雑なサイバー犯罪に変化してきているといっても過言ではありません。詳しくは「すぐにできるDoS攻撃/DDoS攻撃を防ぐ3つの対策」にも記載がありますので、あわせてお読みください。

DoS攻撃／DDoS攻撃の実例や最近の傾向について

次に、攻撃の実例や最近の傾向にふれます。具体的にどういったことが脅威なのか想像しながらみていきましょう。

DDoS攻撃の事例

（実例１）ボットネットMērisによるDDoS攻撃

時　期	2021年9月
概　要	セキュリティ企業Qrator Labsが「Mēris」による史上最大規模DDoS攻撃の調査結果を公表*4。5年前にIoT機器を狙ったマルウェア「Mirai」の3倍を超える威力（リクエスト数）だった。
攻撃の規模等（検知・阻止された）	最大毎秒2,180万リクエスト、推計25万台のルータによる攻撃用ネットワーク、ボット化された攻撃ホストの総数20万台超

（実例２）GitLabサーバの脆弱性を悪用した1Tbps超のDDoS攻撃

時　期	2021年11月
概　要	Googleのエンジニアが「脆弱性CVE-2021-222052の悪用によって侵害された数千個のGitLabインスタンスで構成されたボットネットが、1Tbpsを超えるDDoS攻撃を実行している」とTwitter上で発信し、GitLabもこの脆弱性に関する注意喚起を公開した。2021年11月1日公開のRapid7の分析によると、インターネットに接続されているGitLabサーバ6万台超のうち、約半数にあたる3万台がCVE-2021-22205を修正するパッチを適用していなかったという3。 ※パッチは2021年4月に公開され、同年10月には悪用事例もHN Security社から発表されていた。
攻撃の規模等	毎秒1Tbpsリクエスト、脆弱性CVE-2021-22205の悪用によって侵害された数千個のGitLabインスタンスで構成されたボットネット

DDoS攻撃の最近の傾向

2022年4月、米CDN（コンテンツデリバリネットワーク）企業Cloudflareより、2022年第1四半期の1～3月における観測結果のDDoS攻撃レポートが公表されました4。

調査によると、DDoS攻撃のうち、正当なユーザリクエストを処理できないようにしてWebサーバを停止させることを目的とした「アプリケーション層DDoS攻撃」については前年比で164％、前四半期比で135％増加しました。

また、アプリケーション層DDoS攻撃と異なり、ルータやサーバ等のネットワークインフラとインターネットアクセス自体の阻害を目的とした「ネットワーク層DDoS攻撃」については、前年比で71％増加、前四半期比で58％減少しましたが、ボリューム型攻撃は増加しているとのことです。

DDoS攻撃の5つの動機と攻撃による影響

ここまでの記述からDoS攻撃／DDoS攻撃の危険性がなんとなく想像できたと思います。DDoS攻撃には注意すべき事項があります。ここからは攻撃者がDDos攻撃を実行する5つの動機から、実際に被害にあってしまった場合に、どのような影響を受けてしまうのかについて述べていきます。

DDoS攻撃の5つの動機

DDoS攻撃の3つの影響

動機と影響の関連性

【図３】と【図４】には下記のような関連性があります。

業務妨害→サービス停止、経済的な被害
陽動作戦→DDoS以外の攻撃による被害
脅迫→経済的な被害(もともとが金銭目的のため)
嫌がらせ・愉快犯→サービスの停止(実利を得ることを目的としていないため)
ハクティビズム→サービスの停止、DDoS以外の攻撃による被害(話題性アップが目的の影響力の大きい攻撃などが考えられる)

Webアプリケーションへの攻撃シナリオ

前項のうち、「DDoS攻撃の５つの動機」の「陽動作戦」を例に挙げて、Webアプリケーションへの攻撃シナリオの概要と対策方法ついて考えてみましょう。

※「スキャン」≠「攻撃」
スキャンとは攻撃できる脆弱性があるかを調査するアクセスで、攻撃はデータを抜き出したりコンテンツを改竄したりするためのアクセスのことです。つまり、攻撃前の調査活動にあたるもののことをいいます。

日本国内で、2021年夏に開催した東京五輪前後に国内スポーツニュースサイトへのトラフィックが急増したとのデータ*5があります。全体のグラフを見て、開会式後が低く安定していることからも単なる閲覧増によるトラフィックの増加ではなくDDoS攻撃による可能性もあります。

この日本国内を狙ったスポーツニュースサイトへのトラフィックは、Webスキャンで事前調査をしてから攻撃をする、という手法が近年増えていることの根拠となりえます。ハッカーが手動で調査をせず、ツールによる自動調査をすることで脆弱性を見つけてからピンポイントに攻撃をしかけるので、攻撃までにかけるコストが減り、結果的に攻撃件数が増加していると考えられます。

DoS／DDoS攻撃の対策方法

サービス停止が起きてしまったために、得られるはずだった利益の機会損失、信用失墜、あるいは、攻撃の踏み台にされることで間接的な加害者となる可能性すらありえるDoS攻撃／DDoS攻撃。経済的な被害を受ける可能性もあります。そんなDoS攻撃／DDoS攻撃への対策を最後に紹介します。

「すぐにできるDoS攻撃/DDoS攻撃を防ぐ3つの対策」にも記載がありますが、下記の３点が基本的な対策です。

必要のないサービス・プロセス・ポートは停止する
DoS攻撃/DDoS攻撃の端緒になりうる各種の不備を見つけて直す
脆弱性対策が施されたパッチを適用する

自組織のセキュリティ状況を見直し、リスク状況を把握することにより、攻撃に備えることが大切です。どの対策のほうがより効果があるということではなく、それぞれ防御するレイヤーが異なるので複数組み合わせていく、「多層防御」がより効果的です。

DoS／DDoS攻撃の対策方法のサムネ — 【図6】セキュリティ対策は多層防御で

WAF（ウェブアプリケーションファイアウォール）

図5の攻撃シナリオ部の「DDoS攻撃」と「攻撃パケットの送信」に対して有効です。WAFでは大量に不正に送信される大量のパケットのブロックや、一時的にアクセスが集中した際にはサーバが停止する前にアクセスの制限をかけるなどができます。また、適切なシグネチャ（Webアプリケーションへのアクセスパターンの定義ファイル）を設定しておくことで、攻撃コードの送信を検知して攻撃コードがアプリケーションに届く前に不正なコードの送信としてWAFで止めることが可能になります。

Webアプリケーション脆弱性診断

Webアプリケーションへの攻撃シナリオの「脆弱性の検出」及び「脆弱性を悪用した攻撃」に有効です。脆弱性診断を行うことで予め管理しているWebアプリケーションの脆弱性状況を把握し、脆弱性の修正を行うことによってスキャンされた際に脆弱性情報としてハッカーの目に留まることを防げます。脆弱性を悪用した攻撃についても同様でそもそも悪用できそうな脆弱性がない、という状態を維持することができます。

ランサムウェア対策総点検

社内ネットワーク内のクライアントorサーバでマルウェアが感染した際にどこまで侵入できてどういった情報をみられるかといったシミュレーションをする診断になります。こちらは直接関係しませんが、マルウェアに感染した場合にどういった影響を及ぼすかといったリスクを可視化し、適切な対策の提示が可能になります。ここまでご紹介してきたDDoS攻撃などによって「踏み台」にされるリスクへの対策になります。

弊社では、お客様のニーズに合わせて、様々な脆弱性診断サービスを提供しております。システムの特徴やご事情に応じてどのような診断を行うのが適切かお悩みの場合も、ぜひお気軽にご相談ください。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2020年12月15日2025年8月12日

Botの脅威！
IoT機器を踏み台にする新たなボットネットも登場

Security NEWS TOPに戻る
バックナンバー TOPに戻る

いろいろな場面で「ボット（Bot）」という言葉を耳にします。今回の記事では、仕事や暮らしを便利にする「良いボット」ではなく、感染端末によるネットワークを形成し、サイバー攻撃のインフラとして悪用される「悪いボット」について、その感染経路や、攻撃活動の種類、感染予防の対策などを解説します。また、近年問題になっているIoT機器に感染するボットの被害事例を紹介し、IoT機器のメーカーやユーザが実施すべき対策について考えます。

ボット（Bot）とは

「ボット」とは「ロボット」に由来する言葉で、特定の作業を自動で行うプログラムやアプリケーション、機器のことです。iPhoneに搭載されたSiriなどのチャットボットが身近な例として挙げられます。いずれのボットも、プログラムに従ってアルゴリズムやAIで判断を行い、定められたタスクを実行します。

人間の手間を減らし生活を便利にするのが本来のボットの役割ですが、サイバーセキュリティの世界には、コンピュータやネットワークに脅威を与える「悪いボット」がたくさん存在します。ひょっとしたら、この記事を読んでいるあなたのPCの中にも「悪いボット」が隠れているかもしれません。

マルウェア、ウイルスとボットの違い

ボットはマルウェア、ウイルスの一種です。「『マルウェア』とは何か？」の記事で説明したトロイの木馬と同様に、感染したPCにバックドアを作り、PCを外部から遠隔操作可能な状態にします。PCのユーザは感染に気づかないことが多く、ボットオーナーの意のままにPCが操られます。

感染端末への外部からの遠隔操作は、C&C（シー・アンド・シー）またはC2（シー・ツー）などと呼ばれるサーバを通じて行います（C&C、C2とは「Command and Control：指示と制御」の略です）。

ボットウイルスに感染した端末を「ゾンビPC」と呼ぶこともあります。たとえばDDoS攻撃などに悪用されるボット化した大量のPCのイメージが、ホラー映画に登場するゾンビの群れに似ていることから名付けられたと言われています。

ボットの予防対策と感染経路、検知、駆除

ボットの感染対象は、近年PCだけでなく、スマホやIoT機器にまで及んでいます。感染経路は通常のマルウェアと変わりません。PCやスマホの場合はメールの添付ファイル、URLのクリック、Webサイトの閲覧で感染することもあります。

ボット感染の予防対策は、PCやスマホについてはOSやソフトを最新の状態にアップデートしたり、アンチウイルスソフトを最新の状態にすることが求められます。これも通常のマルウェア対策と変わりません。アンチウイルスにパターンファイルが存在するボットであるなら、検知して駆除することができます。また、「ランサムウェア」の記事で説明したEDRを使うことで、ボットによって実行される攻撃活動を検知できる場合もあります。

しかし、どんなに対策をとっていたとしても、亜種が次々と開発され、攻撃手法も変化し、常にすべてを防げるとは限らない点も通常のマルウェアと一緒です。

スパム送信やDDoS攻撃、ボットの活動の種類

ボットは、宿主であるPCなどの機器のインターネット接続とCPU資源を用いて、スパムメール送信やDDoS攻撃など、コンピュータとインターネットにおけるさまざまな反社会的活動を行います。近年は、スマホアプリの中で動作し、不正や詐欺などを行うボットも存在します。

ボット化した端末が大量に集められ、制御下におかれた状態を「ボットネット」「ボットネットワーク」と呼びます。ボットネットは、スパムメール送信やDDoS攻撃など、規模がものを言うサイバー攻撃のインフラとして悪用されます。単なるトロイの木馬とボットとの違いは、このボットネットを形成するかどうかという点にあります。

近年、IoT機器に感染を広げ形成される、大規模なボットネットが問題となっています。

なぜボットはPCだけではなくIoT機器を狙うようになったのか

2016年、当時セキュリティの歴史上最大と言われたDDoS攻撃を行ったのが、「Mirai」と呼ばれるマルウェアによって形成されたボットネットでした。Miraiの特徴は、ネットワークカメラやルータなど、家庭内のIoT機器を主要ターゲットとしていたことです。なぜ家庭内のIoT機器が狙われたのでしょう。

それは、IoT機器がPCなどと比較して、1）工場出荷時のままで使用されることが多い、2）PCより圧倒的に台数が多い、3）外部からの接続を許容することが多い、という3条件がそろっていることが背景にあります。これらの条件がそろうと、犯罪者は単一の手法で一気に大量の機器を感染させることが可能となり、大規模なDDoS攻撃などを成立させることができるのです。

IoTボットの感染経路：Miraiの場合

悪名高いMiraiマルウェアの場合、Telnetに割り当てられるTCPの23番ポートが開いていないか探索したり、管理画面に辞書攻撃（「ブルートフォース攻撃」の記事を参照）などを行って不正にログインするなどして、ボットがインストールされました。

しかし、これらの感染経路や攻撃の特徴も、日々アップデートされ変化していきます。さすがに、本稿執筆時の2020年時点で、TCP23番ポートの開放は少なくなっており、かわりにUniversal Plug and Play（UPnP）が利用するポートを狙う攻撃などが観測されています。

メーカー/ユーザ別、IoT機器のボット感染対策

IoTボット感染対策としてIoT機器メーカーは、「パスワードをデフォルトで使えないようにする」「telnetが利用する23番ポートやUPnPが利用するポートなど、悪用される可能性があるポートに外部からアクセスできないようにしておく」などの対策を行うことが求められます。また、販売後のサポート体制の一環としてセキュリティパッチを継続して一定期間提供し続けることや、セキュリティパッチの自動適用の機能を搭載するといったことも必要でしょう。

一方、ユーザ側は、まずは「パスワードをデフォルトで使わない」「パスワードを長くする」「メーカーのセキュリティパッチが出たらすぐに当てる」など基本対策が大事です。しかし、セキュリティパッチの適用は一般のご家庭ではなかなか実行が難しいところではないでしょうか。また、TCP23番ポートのインターネットへの開放など、攻撃に悪用される可能性のある設定の修正も推奨されますが、これもまた一般のご家庭での対応は難しいところではないかと思います。

自分でセキュリティパッチが当てられない、設定の変更は難しいといった状況でIoT機器を購入される際は、セキュリティパッチの自動適用機能の有無や、セキュリティ上の懸案事項が出た場合のメーカーの対応などもチェックするとよいでしょう。また、古いネットワークカメラやルータなどのIoT機器については、サポート期限が切れている場合や、セキュリティパッチ自体の提供ができない・終わっているといったものがあります。こういった機器については（特にテレワークで在宅勤務をされている場合には）早急に買い替える必要があります。

IoTボットに狙われる脆弱性の検知事例

SQAT.jpを運営する株式会社ブロードバンドセキュリティは、脆弱性診断やペネトレーションテストをはじめとして、APIやIoT機器まで、さまざまなセキュリティ診断サービスを提供しています。

診断対象のTCP23番ポートが外部に向けて開いていたというのは、脆弱性診断で数年前であればたびたび指摘される項目でした。最近ではTCP23番ポートの開放が指摘されるケースはまれですが、代わりにIoT機器がDoS攻撃等の脆弱性がある古いバージョンのファームウェアを使っていたことを指摘するといったケースが出ています。社内で利用するPCやIoT機器に、ボットの侵入や悪用を許す弱点がないかを判断するためには、日頃の基本対策だけでなく、第三者による脆弱性診断やペネトレーションテストが役に立ちます。

まとめ

ボットとは、特定の作業を自動で行うプログラムやアプリのことです。チャットボットに代表される「良いボット」とサイバーセキュリティ上の脅威となる「悪いボット」があります。
「悪いボット」はウイルスやマルウェアの一種で、ボットネットと呼ばれる感染端末によるネットワークを形成し、サイバー攻撃のインフラとして悪用されます。
ボットネットは、スパムメール送信やDDoS攻撃など、大規模なサイバー攻撃に悪用されます。
攻撃の容易さや台数が多いことから、PCだけでなくIoT機器を狙うボットが増えています。
ボットの感染予防として、他のマルウェア同様、OSのアップデートやソフトウェアを最新に保ち、不要なポートを閉じるなど基本対策が有効です。

Security NEWS TOPに戻る
バックナンバー TOPに戻る