サイバー攻撃への対策で重要な”多層防御”これ1つで実現可能!
おまかせサイバーみまもりセキュリティパッケージ パンフレット
NTT東日本のサービス担当者が企画・監修を行う編集チームです。
中小企業の皆さまにとって身近で役立つ情報をお届けすることを目的に、サービスの特長や活用方法をわかりやすくご紹介しています。
日々の業務にすぐに活かせるヒントや、経営課題の解決につながるサービスの魅力を丁寧に発信しています。
サイバー攻撃の手口とは?種類や事例、情報セキュリティ対策を紹介
- セキュリティ対策強化
- 情報セキュリティ
- 公開日
- 2026-03-04
編集 NTT東日本編集部
デジタル技術の進展に伴い、企業規模を問わずサイバー攻撃の脅威が深刻化しています。情報漏えいやシステム障害などが発生すれば、金銭的損失だけでなく、信頼低下や事業停止といった重大な被害が発生する可能性も考えられるでしょう。
本記事では、サイバー攻撃の潮流や被害事例、情報セキュリティ対策と導入のポイントについてわかりやすく解説します。「サイバー攻撃の種類や動向がわからない」「自社にとって必要な情報セキュリティ対策を知りたい」とお考えの企業担当者さまは、ぜひ最後までご覧ください。
Index
1.サイバー攻撃とは
サイバー攻撃とは、インターネットなどのネットワーク経由で企業のパソコンやスマートフォン、サーバーといった端末に侵入して機密情報の暗号化や窃取を行ったり、システムを停止させたりする攻撃のことです。
サイバー攻撃の対象は企業だけでなく、個人や国家機関まで多岐にわたります。攻撃者の目的もさまざまで、金銭的な利益を狙ったものや、政治的主張を背景とするケースも見られます。
2.サイバー攻撃の潮流
サイバー攻撃は、時代によって目的や攻撃手法、対象が変化してきました。
2000年前後では、悪意のある第三者による愉快犯が多く、マルウェア※1を仕込んだメールを無差別にばら撒いて感染させる手口が用いられていました。単なる嫌がらせや自己顕示が目的であったと考えられています。
2010年頃には、特定の組織を狙ってメールを送る標的型攻撃が行われ、ランサムウェア※2など悪質なマルウェアを感染させて金銭を要求する手口が見られるようになりました。この頃から、重要なインフラを狙って大規模攻撃を行うなど攻撃手法や対象が拡大していき、サイバー攻撃が組織化・巧妙化していった様子がうかがえます。
2020年頃には、重要インフラへの大規模攻撃により、国内でも大手企業の工場が停止に追い込まれるなど、金銭的被害が発生しました。これまでにはない規模で個人情報や機密情報を流出させるサイバー攻撃が頻繁に見られるようになったのです。この頃には、サイバー攻撃の目的は拡大し、単なる愉快犯から金銭目的へ、さらには国家関与が疑われるものまで現れるようになっていきました。
- マルウェア…コンピューターウイルスなど、悪意のあるプログラムのこと。
- ランサムウェア…攻撃した端末の挙動に制限をかけ、その解除の引き換えに身代金を要求する不正プログラムのこと
関連記事:マルウェアとは?企業が知っておきたい種類・感染経路・対策を解説
出典:「令和6年におけるサイバー空間をめぐる脅威の情勢等について|警察庁」
このデータから、企業規模や業種に関係なく、幅広い企業がサイバー攻撃の標的となっているといえます。とくに中小企業では、大企業ほど情報セキュリティ対策のための人材や予算を確保することが難しい点が、ランサムウェア対策における課題になっていると考えられます。
3.サイバー攻撃による企業の被害事例
サプライチェーン攻撃とは、情報セキュリティ対策が手薄な中小企業をまず狙い、そこを踏み台として大企業へ攻撃を仕掛けるサイバー攻撃の一種です。
日本のある工場で、ファイルサーバーが不正アクセスを受け、ランサムウェアによってデータが暗号化されて取引先の大手企業の工場が停止するという「サプライチェーン攻撃」が発生しました。
工場ではさらなる影響の拡大を防ぐために外部とのネットワークを遮断し、被害範囲の特定や復旧、再発防止に向けて取り組みました。
サプライチェーン攻撃で被害が拡大すると、取引先企業の操業停止や信用低下にもつながることから、中小企業も情報セキュリティ対策を強化することが重要だといえます。
被害事例1:製造業におけるサプライチェーン攻撃
サプライチェーン攻撃とは、情報セキュリティ対策が手薄な中小企業をまず狙い、そこを踏み台として大企業へ攻撃を仕掛けるサイバー攻撃の一種です。
日本のある工場で、ファイルサーバーが不正アクセスを受け、ランサムウェアによってデータが暗号化されて取引先の大手企業の工場が停止するという「サプライチェーン攻撃」が発生しました。
工場ではさらなる影響の拡大を防ぐために外部とのネットワークを遮断し、被害範囲の特定や復旧、再発防止に向けて取り組みました。
サプライチェーン攻撃で被害が拡大すると、取引先企業の操業停止や信用低下にもつながることから、中小企業も情報セキュリティ対策を強化することが重要だといえます。
被害事例2:小売業で770万件以上の会員情報が流出
日本国内でスーパーマーケットを運営する企業のサーバーが、外部からの不正アクセスを受けた事例です。その結果、770万件以上の会員情報が攻撃者に閲覧された可能性を否定できない事態が起こりました。
被害拡大を防止するためにネットワークを分離したことにより業務用システムが停止し、データ登録やメールの送受信ができなくなるなど、業務処理に遅れが生じたといいます。
被害事例3:国立大学で4,000件以上の個人情報が漏えい
企業だけでなく、機密情報を取り扱う大学機関もサイバー攻撃の標的となっています。日本のある国立大学では、標的型攻撃メールにより、教職員が在宅勤務時に使用していたパソコンがマルウェアに感染。パソコン内に保存していた学生に関する情報など、4,000件以上の個人情報が不正に窃取される事態が発生しました。
標的型攻撃は、特定の組織が狙われるサイバー攻撃の一種です。同大学では、マルウェア感染による個人情報漏えいを重大な事態として受け止め、再発防止策に取り組む意向を表明しています。
4.企業にとって情報セキュリティ対策が重要な理由
-
- 脆弱性対応が不十分なネットワーク機器からの侵入
- USBメモリからの持ち込み
- 港湾システムと外部の港湾運送事業者間が連携しているネットワークからの侵入
情報セキュリティ対策は、企業にとって必要な投資として位置付けることが重要です。その理由は、サイバー攻撃の被害に遭うと影響が広範囲に及ぶ可能性があるためです。具体的には、以下の不利益を被るリスクが想定されるでしょう。
- 予想外の金銭的負担
- 取引先からの信頼低下
- 業務停止
- 経営者に問われる法的責任
情報漏えいやシステム障害などが発生すれば、損害賠償や復旧費用といった金銭的負担が大きくなる可能性があります。また、サイバー攻撃を受けデータが暗号化されてシステムが停止すると業務が継続できず、取引先や顧客からの信頼低下にもつながるでしょう。
さらに、経営者が十分な情報セキュリティ対策に最善の努力を尽くさず、サイバー攻撃によって被害が拡大したと判断された場合、経営者など個人に対し民法・会社法などに基づき刑罰が科されるケースもあります。
このような事態を避けるために、サイバー攻撃の特徴を把握し、適切な情報セキュリティ対策を強化しておくことが重要です。導入や運用に費用はかかりますが、企業活動の継続のために必要な投資ととらえて対策を講じることは、経営者の責務であると考えられます。
サイバー攻撃への対策で重要な”多層防御”これ1つで実現可能!
おまかせサイバーみまもりセキュリティパッケージ パンフレット
5.サイバー攻撃の種類
近年、よく見られるサイバー攻撃の手口や企業への影響について、種類ごとに解説します。
ランサムウェア
ランサムウェアは、パソコンやサーバーなどを不正なプログラムに感染させてデータを暗号化し、暗号化解除と引き換えに身代金を要求する手口です。
ネットワークや端末の、サイバー攻撃に対する脆弱性を突いて不正なプログラムを仕掛けます。
業務に関連するデータや顧客の個人情報、取引先情報などを「人質」に取られた場合には業務が停止する事態に追い込まれ、顧客や取引先からの信頼も失ってしまうリスクが想定されます。
| ランサムウェア | |
|---|---|
| 概要 |
|
| 攻撃手口 |
|
| 企業への影響 |
|
フィッシング詐欺
フィッシング詐欺は、たとえば銀行や証券会社などを騙った「なりすましメール」を送りつける手口で、クレジットカード情報やWebサイトのログインID・パスワードなど個人情報を窃取しようとするものです。
受信したメールが「なりすまし」だと気づかず、メールから誘導されたWebサイト上でクレジットカード情報やWebサイトのID・パスワードなどを入力してしまうと、個人情報を攻撃者に渡すことになってしまいます。
たとえば、社内で使用しているシステムのログインID・パスワードなどを攻撃者に渡してしまった場合、システムが不正に利用されるおそれも想定されます。また、クレジットカードの不正利用など金銭的被害も考えられるでしょう。
| フィッシング詐欺 | |
|---|---|
| 概要 |
|
| 攻撃手口 |
|
| 企業への影響 |
|
標的型攻撃
標的型攻撃は、特定の組織(企業、団体、官公庁など)がターゲットとして狙われるサイバー攻撃の一種で、目的は機密情報・個人情報の窃取や業務妨害です。
攻撃を通して不正なプログラムをパソコンなどの端末に仕掛けられた場合には、回復するまでの間は業務が停止すると想定されます。また、個人情報や機密情報が窃取されて第三者に悪用された場合、金銭的損失や企業としての信頼低下のおそれもあるでしょう。
| 標的型攻撃 | |
|---|---|
| 概要 |
|
| 攻撃手口 |
|
| 企業への影響 |
|
サプライチェーン攻撃
サプライチェーン攻撃とは、たとえば「子会社」と「親会社」など企業間のつながり(サプライチェーン)を狙ったサイバー攻撃の一種です。
情報セキュリティ対策が手薄な中小企業を狙ってまず攻撃を仕掛け、そこを踏み台として攻撃者にとって本命である大企業のネットワークなどに侵入し、情報窃取などを狙うものです。
サプライチェーン全体で業務が停止してしまったり、情報が流出したりする懸念があります。また、情報セキュリティ対策の不備を理由に関連会社から損害賠償請求を起こされた場合には、多大な金銭的損失も想定されるでしょう。| サプライチェーン攻撃 | |
|---|---|
| 概要 |
|
| 攻撃手口 |
|
| 企業への影響 |
|
関連記事:中小企業を脅かすサプライチェーン攻撃 事例から学ぶ対策の重要性
DDoS攻撃
DDos攻撃(ディードス攻撃)とは、複数のコンピューターから膨大なデータを送信して特定のWebサイトやサーバーに過剰な負荷をかけ、利用を妨害するものです。
たとえばECサイトなどを運営する企業がDDos攻撃に遭った場合には、顧客がWebサイトにアクセスしにくい時間が続くなど、スムーズな利用が妨げられます。事業主にとってはその間、注文を受け付けられなくなるため経済的損失が想定されます。
| DDoS攻撃 | |
|---|---|
| 概要 |
|
| 攻撃手口 |
|
| 企業への影響 |
|
ファイルレスマルウェア(Emotet)
Emotet(エモテット)は、パソコンの正規ツールや機能を悪用して攻撃するファイルレスマルウェアの一種です。
主にメールに添付されたMicrosoft Wordといったファイル経由で不正なプログラムが起動して端末に感染し、情報を窃取します。その他、メール本文に記載されたURLをクリックさせ、不正なプログラムをインストールさせて感染する場合もあります。
その手口は巧妙で、取引先を装ったなりすましメールや、実際にやり取りのある相手からの返信を装ったメールも見られます。業務メールと思い込んでクリックし、Emotetに感染してしまうケースもあるため注意が必要です。
Emotetの感染により、個人情報の流出や、パソコンの正常な動作を妨げられて業務が一時停止してしまう事態が考えられます。
| ファイルレスマルウェア(Emotet) | |
|---|---|
| 概要 |
|
| 攻撃手口 |
|
| 企業への影響 |
|
- 「Microsoft Word」は、米国Microsoft Corporation の米国およびその他の国における商標または登録商標です
6.サイバー攻撃から企業の機密情報を守る情報セキュリティ対策
サイバー攻撃から企業の機密情報を守るためには、情報セキュリティ対策を強化することが重要です。ここでは、4つの基本的な対策を紹介します。
パスワード管理と多要素認証の導入
社内システムやクラウドサービス、アプリケーションのログインに必要なパスワードを使い回さず、パスフレーズなど推測されにくい長めの文字列を使いましょう。
また、使用中のパスワードを付箋などに書いてデスク周りに貼らず、専用ツールを使って適切に管理するのも一つの方法です。
加えて、多要素認証の導入も検討する必要があると考えられます。多要素認証とは、2つ以上の要素を組み合わせて認証する手段のことで、パスワードとハードウェアトークン・指紋などを組み合わせてログインできる仕組みです。万が一、パスワードが流出してしまっても、多要素認証を使用していれば、不正ログインを防止できるでしょう。
OSやアプリケーションを最新版に更新
パソコンのOSや業務用アプリケーションを最新版に更新することも大切です。更新プログラムによって不具合が修正されるだけでなく、情報セキュリティ上の脆弱性も修正され、サイバー攻撃のリスクが軽減すると期待できます。
プログラムの不具合や設計ミスといった脆弱性を残していると、悪意のある犯罪者に狙われて攻撃されるリスクが高まるため、最新版に更新することが重要です。
端末・ネットワーク保護のための情報セキュリティ対策製品の導入
業務用端末や社内ネットワークを保護するための情報セキュリティ対策製品の導入を検討してみるのも一つの方法です。具体的には、UTMやウイルス対策ソフト、EDRなどが挙げられます。
UTMは「Unified Threat Management」の略で、日本語で「統合脅威管理」とも呼ばれるシステムです。これは、複合的なセキュリティ機能を集約したシステムで、ネットワークのゲートウェイ(出入口)に設置することで、社内外の通信を監視して不審な通信を遮断する役割を果たします。具体的には、外部からの不正通信やメールによる攻撃、不審なWebページへの通信を遮断します。
また、EDRは「Endpoint Detection and Response」の略で、サイバー攻撃の検知や対応、調査をリアルタイムで行い、異常があれば管理者へ通知する情報セキュリティ技術です。加えて、ウイルス対策ソフトは、ウイルスの侵入を検知して感染を予防するソフトウェアで、両者ともに端末を保護するために必要です。
外部攻撃から機密情報を保護するには、このような複数の情報セキュリティ対策技術を導入して多層防御を行い、運用していく必要があると考えられます。
サイバー攻撃を未然に予防!万が一の事態に備えた体制構築でお困りの方は「おまかせサイバーみまもりセキュリティパッケージ」をご検討ください。
情報セキュリティ教育の定期的な実施
従業員に対して、情報セキュリティ教育を定期的に実施し、リテラシーの向上に取り組むことも重要です。
具体的には、以下のポイントを押さえた上で業務を遂行するよう伝えましょう。
- メールに添付されている不審なファイルやリンクはクリックしない
- 推測されやすいパスワードを使い回さない
- ログイン情報をWebブラウザに保存しない
- 機密情報が補完されたUSBメモリを勝手に持ち出さない など
さらに、最新のマルウェアの特徴や攻撃手口を共有し、適切な対応策を理解してもらうことで、サイバー攻撃による被害リスクが低減すると考えられます。
関連記事:【中小企業向け】セキュリティリテラシーを高め、サイバー攻撃から自社を守るための具体策
7.企業が情報セキュリティ対策を行うポイント
企業が情報セキュリティ対策に取り組む上で、押さえておきたいポイントを2つ紹介しますマルウェア侵入を前提とした対策を行う
近年、サイバー攻撃が巧妙化していることを踏まえ、ウイルス対策ソフトのみで侵入を防ぐことは難しいと考えられます。そこで、UTMやEDRなどによって、インターネットの出入口に多層防御を行う事前対策と、マルウェア侵入後の事後対策まで含めて企業の情報セキュリティ対策を検討することが重要です。
そのためには、適切な情報セキュリティ対策製品の選定や導入、運用に加え、サイバー攻撃の検知や対応、復旧までの各段階で一貫した対策を講じることが重要です。
人員やノウハウ不足の場合、外部委託を検討する
中小企業では、情報セキュリティの専任担当者を配置できない、または運用や復旧などのノウハウが社内に蓄積されていないケースも見られます。その場合、情報セキュリティ対策が不十分となり、サイバー攻撃の標的となる可能性があります。
「自社に必要な情報セキュリティ対策がわからない」「ウイルス対策ソフトのアラート検知後、対応できる人材がいない」などの課題がある場合、外部委託を検討してみるのも一つの方法です。
プロに委託することで、限られたリソースでも効果的な情報セキュリティ対策を実施しやすくなると考えられます。
サイバー攻撃を未然に予防!万が一の事態に備えた体制構築でお困りの方は「おまかせサイバーみまもりセキュリティパッケージ」をご検討ください。
8.サイバー攻撃対策にはNTT東日本の「おまかせサイバーみまもりセキュリティパッケージ」がおすすめ
サイバー攻撃対策にお困りの場合、NTT東日本にご相談ください。ネットワークの出入口と端末防御に加え、運用から復旧まですべてのフェーズをサポートする「おまかせサイバーみまもりセキュリティパッケージ」をご利用いただけます。
これは、UTMやウイルス対策ソフト、EDRなどの導入から運用、サイバー攻撃の検知と対応、復旧までを一元的にサポートするサービスで、情報システム担当者が不在または兼務の企業さまに適しているサービスです。
24時間365日体制で監視を行い、情報セキュリティリスクの発生時にはサポート担当者からご連絡※1。状況によっては、オフィスを訪問してパソコンのリカバリや初期設定も実施可能※2で、サイバー攻撃による被害の補償も保険により行っています※3。
「おまかせサイバーみまもりセキュリティパッケージ」の詳細について、以下のサイトをぜひご一読ください。また、不安な点やプランの選び方など、お問い合わせフォームからのご連絡をお待ちしています。
- 9:00~21:00(年中無休)外に検知した場合は、メールでのご連絡を実施し、翌日適宜お電話にてご連絡いたします。
- プランにより無料で対応できる端末台数は異なります。超過する場合は別途費用がかかります。
- おまかせサイバーみまもりに付帯するサイバー保険の役務提供は、東京海上日動火災保険株式会社となります。補償の条件等については、東京海上日動火災保険株式会社が別に定める契約約款(以下、おまかせサイバーみまもり付帯サイバー保険の解説)に定める通りとします。サイバー保険に係る補償の内容・問い合わせ・保険金の支払い請求等に関しては、東京海上日動火災保険株式会社の専用窓口にて対応いたします。
サイバー攻撃を未然に予防!万が一の事態に備えた体制構築でお困りの方は「おまかせサイバーみまもりセキュリティパッケージ」をご検討ください。
「おまかせサイバーみまもりセキュリティパッケージ」のお問い合わせフォームはこちら
9.サイバー攻撃対策に関するよくある質問
サイバー攻撃対策に関するよくある質問を紹介します。
近年、サイバー攻撃が増えている理由は?
サイバー攻撃が増加し被害が拡大している理由として、デジタル技術の進展に伴い、不特定多数がアクセスできるインターネットに接続できる端末の増加が挙げられます。急速なデジタル技術の革新により脆弱性が生まれ、そこをサイバー攻撃の標的とする傾向が見られます。
サイバー攻撃に狙われないようにするために、企業は脆弱性を修正し、万が一の事態に備えて対策を強化しておくことが喫緊の課題といえるでしょう。
頻繁に起こるサイバー攻撃とは何?
近年、頻繁に起こり社会に重大な影響を与えやすいサイバー攻撃は以下の通りです。
- ランサムウェア
- サプライチェーン攻撃
- 脆弱性を狙った攻撃
- 標的型攻撃
- DDoS攻撃 など
10.まとめ
本記事では、サイバー攻撃に対して企業が取るべき対策について解説しました。
サイバー攻撃の手口は年々巧妙化しており、中小企業も数多くの被害に遭っています。
「よくわからないから」「人手も予算も限られているから」と情報セキュリティ対策を後回しにしていると、万が一被害に遭ってしまった場合には多大な金銭的損失にもつながりかねません。自社の事業成長を止めないためにも、早めに情報セキュリティ対策強化を検討することが重要です。
NTT東日本の「おまかせサイバーみまもりセキュリティパッケージ」は、UTM・ウイルス対策ソフト・EDRなどの導入から運用、サイバー攻撃の検知と対応、復旧まですべての工程をサポートします。情報セキュリティ対策の人員が不足している企業でも、安全な運用体制を整えられるでしょう。
詳しいサービス内容については、以下の公式サイトからご確認いただけます。「まずは相談したい」「プランについて詳しく知りたい」という場合には、お気軽にお問い合わせフォームをご利用ください。
サイバー攻撃を未然に予防!万が一の事態に備えた体制構築でお困りの方は「おまかせサイバーみまもりセキュリティパッケージ」をご検討ください。
「おまかせサイバーみまもりセキュリティパッケージ」のお問い合わせフォームはこちら
編集 NTT東日本編集部
関連サービス
おまかせサイバーみまもりセキュリティパッケージ
パソコン・スマートフォン100台以下のオフィスにおすすめの、法人・事業者さま向けネットワークセキュリティ対策です。不正アクセス、迷惑メール、有害メールなどの脅威から社内ネットワークを守るUTM機能に加え、有事の際に復旧支援します。
おまかせセキュリティ事故駆け込み窓口
中小企業のお客さまに対し、情報セキュリティ事故に遭遇した際、これまで培ってきたNTT東日本の情報セキュリティ事故対応ノウハウによって「被害を最小限に抑える」、「事故発生の原因を解析する」、「事故発生前の状態に復旧する」などのサポートを行う窓口です。
おまかせクラウドアップセキュリティ
クラウドメール、クラウドストレージ上でセキュリティ脅威を検知・遮断する機能に加え、導入支援をセットでご提供。
セキュリティサポートオプションの追加でセキュリティレポートのご提供やウイルス感染時の駆除支援などもご利用いただけます。
資料ダウンロード
【関連サービス】おまかせアンチウイルスEDRプラス/おまかせアンチウイルスパンフレット
おまかせアンチウイルスEDRプラス/おまかせアンチウイルスを導入することで、面倒な手間をかけずにウイルス対策ができるようになるポイントを紹介します!
関連するコラム
個人情報漏洩に当てはまるケースや原因、企業が取るべき対策を解説
個人情報保護法に違反すると企業に罰則はある?事例を用いて解説
個人情報保護法改正のポイントを途中経過からわかりやすく解説【2025年】
マルウェアとは?企業が知っておきたい種類・感染経路・対策を解説
セキュリティガイドラインとは?中小企業が知っておくべき基本と対応策を解説
【中小企業向け】セキュリティリテラシーを高め、サイバー攻撃から自社を守るための具体策
関連サービスに関するお問い合わせ・資料のダウンロード
お電話でのお問い合わせ
0120-116-032
平日:9:00-17:00
年末年始(12/29~1/3)を除く
お気軽にお問い合わせください
表示価格は、特に記載がある場合を除きすべて税込です。