サイバー攻撃には、マルウェア、フィッシング、DDoS、SQLインジェクション……と手口が多く、試験勉強で「どれが何を狙う攻撃なのか混ざる」と感じがちです。
この記事では、主要な攻撃手口を「何を目的とするか」と「どこを狙うか」の2つの軸で整理します。
この2軸さえ押さえれば、試験の選択肢で迷うことはほぼなくなります。
各攻撃の詳しい解説は個別記事にまとめていますので、気になったものはリンク先で深掘りしてください。
対象試験と出題頻度
| 対象試験 | 出題頻度 |
|---|---|
| ITパスポート試験 | ★★★★★(ランクS) |
| 情報セキュリティマネジメント試験 | ★★★★★(ランクS) |
| 基本情報技術者試験 | ★★★★★(ランクS) |
| 応用情報技術者試験 | ★★★★★(ランクS) |
サイバー攻撃に関する出題は、どの試験区分でもほぼ毎回出ます。
個々の手口の名前を暗記するだけでなく、「何を狙い、どんな被害をもたらすのか」を説明できるレベルを目指しましょう。
サイバー攻撃を理解する前提:脅威・脆弱性・情報資産
個々の手口に入る前に、セキュリティの基本構図を押さえておきます。
サイバー攻撃は「攻撃者(脅威)が、システムの弱点(脆弱性)を突いて、守るべきデータや機器(情報資産)に損害を与える」という関係の中で起こります。
能動的な行為そのもの
バグ(つけ込む隙)
システム(守る対象)
リスク = 脅威 × 脆弱性 × 情報資産の価値
▲ サイバー攻撃は「脅威」にあたる。攻撃者が能動的に仕掛ける行為そのもの
この三者を取り違えないことが、選択肢問題で得点する第一歩です。
攻撃そのものと、攻撃される側の「弱点」「守るべき対象」を混同しないようにしてください。
サイバー攻撃を分類する2つの軸
手口を見分けるときに使うのが、次の2つの質問です。
軸①:攻撃の目的は何か?
金銭の獲得か、情報の窃取か、サービスの妨害か。
目的が分かれば手口は大きく絞れます。
軸②:どこを狙うか?
人をだますのか(人を標的)、サーバやWebアプリのプログラムやOSの弱点を突くのか(技術を標的)。
ここが手口を分けるもう一つの分かれ目です。
この2軸で整理すると、以下のようになります。
| 分類 | 主な目的 | 主な標的 | 該当する攻撃 |
|---|---|---|---|
| だまし型 | 情報窃取・金銭 | 人(利用者) | フィッシング、BEC、標的型攻撃 |
| 不正プログラム型 | 破壊・金銭・乗っ取り | 端末・システム | マルウェア、ランサムウェア |
| サービス妨害型 | 妨害・停止 | サーバ・回線 | DoS攻撃、DDoS攻撃 |
| 脆弱性悪用型 | 情報窃取・乗っ取り | Webアプリ・ソフト | SQLインジェクション、XSS、ゼロデイ攻撃 |
| 経路悪用型 | 侵入の足がかり | 取引先・委託先 | サプライチェーン攻撃 |
「だまし型」は人の心理を突き、「脆弱性悪用型」はプログラムの欠陥を突きます。
ここを区別できれば、攻撃手口を問う問題は確実に取れます。
試験問題での判別の考え方
実際の試験では、攻撃の名前ではなく「こういう被害・手口はどの攻撃か」という聞き方をされます。
そのときの考え方を順番に整理します。
ステップ1:「暗号化」「身代金を要求」という記述があるか?
→ あればランサムウェアで確定。これが一番わかりやすい。
ステップ2:「偽サイトへ誘導」「メールでだます」という記述があるか?
→ 不特定多数ならフィッシング、特定組織を狙うなら標的型攻撃、経理担当へ送金指示ならBEC。
ステップ3:「大量のアクセスでサーバを停止」という記述があるか?
→ 1か所からならDoS攻撃、多数の端末から一斉にならDDoS攻撃。
ステップ4:「入力フォームに不正な命令」という記述があるか?
→ データベースを狙うならSQLインジェクション、利用者のブラウザでスクリプトを実行させるならXSS。
ステップ5:「修正前の未知の脆弱性を突く」という記述があるか?
→ ゼロデイ攻撃。「対策が間に合う前」という時間軸が目印です。
ステップ6:「取引先・委託先を経由して侵入」という記述があるか?
→ サプライチェーン攻撃。本命の組織を直接ではなく、弱い関連先から狙うのが特徴です。
ステップ1から順に確認すれば、ほとんどの問題で正解にたどり着けます。
主要なサイバー攻撃の特徴と個別記事リンク
ここからは代表的な攻撃のポイントを簡潔にまとめます。
詳しい解説・確認テストは各リンク先の個別記事で確認してください。
① マルウェア感染
| 目的 | 破壊・情報窃取・乗っ取り |
|---|---|
| 標的 | 端末・システム |
| 主な対策 | 対策ソフト導入、OS・ソフトの最新化、不審な添付ファイルを開かない |
悪意あるソフトウェアを送り込み、端末やシステムに害を与える攻撃の総称です。
ウイルス・ワーム・トロイの木馬など多数の種類があり、それぞれ動き方が異なります。分類の全体像は専用記事で詳しく扱っています。
→ 詳しくは:マルウェアとは / マルウェアの種類と違い
② ランサムウェア
| 目的 | 金銭(身代金) |
|---|---|
| 標的 | 端末・サーバのデータ |
| 主な対策 | 定期バックアップ、ネットワーク分離、復旧手順の整備 |
データを暗号化し、復元と引き換えに金銭を要求する攻撃です。
IPAの「情報セキュリティ10大脅威」組織編で長年1位を維持する最大級の脅威。近年は暗号化前にデータを盗み「公開するぞ」と脅す二重脅迫型も増えています。
→ 詳しくは:ランサムウェアとは
③ フィッシング
| 目的 | 認証情報・個人情報の窃取 |
|---|---|
| 標的 | 人(利用者) |
| 主な対策 | 送信元・URLの確認、多要素認証、利用者教育 |
正規のサービスを装ったメールや偽サイトに誘導し、IDやパスワードを入力させて盗む攻撃です。
技術ではなく「人の油断」を突くのが特徴。特定の組織や人物に的を絞った巧妙な手口は「スピアフィッシング」と呼ばれます。
→ 詳しくは:フィッシングとは
④ ビジネスメール詐欺(BEC)
| 目的 | 金銭(不正送金) |
|---|---|
| 標的 | 人(経理・財務担当者) |
| 主な対策 | 送金時の複数人承認、電話など別経路での確認 |
取引先や経営者になりすまし、偽の請求や送金指示で金銭をだまし取る攻撃です。
マルウェアを使わず、業務メールの体裁を巧みに真似るため気づきにくいのが特徴。10大脅威の常連で、被害額が大きいことで知られます。
→ 詳しくは:ビジネスメール詐欺(BEC)とは
⑤ DoS攻撃・DDoS攻撃
| 目的 | サービスの妨害・停止 |
|---|---|
| 標的 | サーバ・ネットワーク回線 |
| 主な対策 | CDNの活用、専用の緩和サービス導入 |
大量のアクセスを集中させ、サーバやサービスをパンクさせて使えなくする攻撃です。
1か所から仕掛けるのがDoS、多数の乗っ取り端末(ボットネット)から一斉に行うのがDDoS。情報を盗むのではなく「止める」ことが目的です。
→ 詳しくは:DDoS攻撃とは
⑥ SQLインジェクション
| 目的 | データベースの情報窃取・改ざん |
|---|---|
| 標的 | Webアプリの脆弱性 |
| 主な対策 | 入力値の検証、プリペアドステートメントの使用 |
入力フォームに不正なSQL文を送り込み、データベースを不正に操作する攻撃です。
個人情報の大量流出につながる典型例で、Webアプリの脆弱性を突きます。XSSと並ぶWebセキュリティの最重要テーマです。
→ 詳しくは:SQLインジェクションとは
⑦ クロスサイトスクリプティング(XSS)
| 目的 | セッション情報の窃取・改ざん |
|---|---|
| 標的 | Webサイト訪問者のブラウザ |
| 主な対策 | 出力時のエスケープ処理、入力値の検証 |
脆弱なWebサイトに悪意あるスクリプトを仕込み、訪問者のブラウザ上で実行させる攻撃です。
SQLインジェクションがサーバ側のデータベースを狙うのに対し、XSSは「利用者のブラウザ」を狙う点が決定的な違いです。
→ 詳しくは:クロスサイトスクリプティング(XSS)とは
⑧ 標的型攻撃(APT)
| 目的 | 特定組織の機密情報の窃取 |
|---|---|
| 標的 | 特定の企業・官公庁 |
| 主な対策 | 多層防御、ゼロトラスト、従業員教育の徹底 |
特定の組織を狙い、時間をかけて執拗に侵入・潜伏する攻撃です。
不特定多数を狙うフィッシングと異なり、相手を入念に調べて巧妙なメールで侵入口を作ります。長期間気づかれず潜む点から「APT(Advanced Persistent Threat)」とも呼ばれます。
→ 詳しくは:標的型攻撃(APT)とは
⑨ ゼロデイ攻撃
| 目的 | 侵入・乗っ取り(手段は多様) |
|---|---|
| 標的 | 修正前の未知の脆弱性 |
| 主な対策 | 振る舞い検知、多層防御、迅速なパッチ適用体制 |
修正プログラムが提供される前の未知の脆弱性を突く攻撃です。
対策が存在しない「ゼロ日目」に行われるため防御が極めて難しい。これは特定の手口というより「タイミング」に着目した分類で、他の攻撃と組み合わさることもあります。
→ 詳しくは:ゼロデイ攻撃とは
⑩ サプライチェーン攻撃
| 目的 | 本命組織への侵入の足がかり |
|---|---|
| 標的 | 取引先・委託先・利用ソフト |
| 主な対策 | 委託先のセキュリティ確認、ソフト供給元の検証 |
セキュリティの弱い取引先や委託先を踏み台にして、本命の組織へ侵入する攻撃です。
直接狙うと堅牢な大企業も、関連する中小企業や利用ソフトの供給元経由なら突破されてしまう。10大脅威で長年2位を維持する深刻な脅威です。
→ 詳しくは:サプライチェーン攻撃とは
間違えやすい3つの組み合わせ
試験では「AとBの違い」を問う形式がよく出ます。
特に混同しやすい3パターンを整理しておきます。
DoS攻撃 vs DDoS攻撃
| DoS攻撃 | DDoS攻撃 | |
|---|---|---|
| 攻撃元 | 単一の端末 | 多数の端末(ボットネット) |
| 遮断のしやすさ | 比較的容易 | 困難(送信元が分散) |
| 目的 | どちらもサービスを停止させること(情報窃取ではない) | |
どちらもサービスを止める点は同じ。違いは攻撃元が1か所か、多数に分散しているかです。
「多数の踏み台から一斉に」と書かれていたらDDoSです。
SQLインジェクション vs XSS
| SQLインジェクション | XSS | |
|---|---|---|
| 狙う場所 | サーバ側のデータベース | 利用者側のブラウザ |
| 送り込むもの | 不正なSQL文 | 不正なスクリプト |
| 主な被害 | DB内の情報流出・改ざん | セッション乗っ取り・偽情報表示 |
どちらも入力欄を悪用しますが、最終的に狙う場所が真逆です。
「データベースを操作」ならSQLインジェクション、「訪問者のブラウザで実行」ならXSSと判断します。
フィッシング vs 標的型攻撃
| フィッシング | 標的型攻撃 | |
|---|---|---|
| 狙う相手 | 不特定多数 | 特定の組織・人物 |
| 手口の作り込み | 使い回しの汎用的な内容 | 相手を調べた巧妙な内容 |
| 主な目的 | 認証情報・金銭 | 機密情報の窃取・長期潜伏 |
どちらもメールで人をだます点は重なりますが、「狙いが広いか・狭く深いか」が分かれ目です。
「特定の組織を狙い、入念に調べた内容」とあれば標的型攻撃です。
確認テスト
ここまでの内容が頭に入っているか、3問で確認します。
Q1. サイバー攻撃の説明として、最も適切なものはどれか。
- A. システムやソフトウェアに存在するセキュリティ上の弱点や欠陥のこと
- B. ネットワークを通じてコンピュータやシステムに不正な行為を仕掛け、情報窃取や破壊などを行うこと
- C. 組織が保有する価値のある情報やデータ、それを扱う機器やシステムのこと
- D. セキュリティ事故の発生に備えて策定する対応手順のこと
正解と解説を見る
正解:B
サイバー攻撃は、ネットワークを通じてシステムに行われる不正行為の総称で、「脅威」に位置づけられます。Aは「脆弱性」、Cは「情報資産」、Dはインシデント対応手順の説明です。攻撃そのものと、狙われる側の弱点・対象を取り違えないことがポイントです。
Q2. 多数の乗っ取った端末から一斉に大量のアクセスを送り、標的のサーバを使用不能にする攻撃はどれか。
- A. フィッシング
- B. SQLインジェクション
- C. DDoS攻撃
- D. ゼロデイ攻撃
正解と解説を見る
正解:C
「多数の端末から一斉に」「サーバを使用不能に」はDDoS攻撃の特徴です。フィッシングは人をだまして情報を盗む攻撃、SQLインジェクションはデータベースを狙う攻撃、ゼロデイ攻撃は未知の脆弱性を突く攻撃で、いずれもサービス停止が主目的ではありません。
Q3. セキュリティ対策が手薄な取引先や委託先を踏み台にして、本命の組織へ侵入する攻撃はどれか。
- A. サプライチェーン攻撃
- B. クロスサイトスクリプティング(XSS)
- C. ランサムウェア
- D. DoS攻撃
正解と解説を見る
正解:A
「取引先・委託先を踏み台に本命へ侵入」はサプライチェーン攻撃の定義そのものです。XSSは利用者のブラウザを狙う攻撃、ランサムウェアはデータを暗号化して身代金を要求する攻撃、DoS攻撃はサービスを停止させる攻撃で、いずれも経由侵入を本質とはしません。
あわせて読みたい関連用語
サイバー攻撃と関連が深いセキュリティ用語をまとめています。
試験では攻撃と防御をセットで問われることが多いので、あわせて確認しておくと得点力が上がります。
よくある質問
Q. 「サイバー攻撃」と「不正アクセス」は同じ意味ですか?
違います。不正アクセスは「権限のない者がシステムへ侵入・利用する行為」を指す、サイバー攻撃の中の一手段です。サイバー攻撃はDDoSのように侵入を伴わない妨害行為も含む、より広い総称です。なお日本では不正アクセス行為そのものが不正アクセス禁止法で規制されています。
Q. 手口が多すぎて覚えきれません。最低限どれを押さえるべきですか?
まずはマルウェア・ランサムウェア・フィッシング・DDoS・SQLインジェクションの5つを確実に。この5つで出題の大半をカバーできます。余裕が出たら標的型攻撃、ゼロデイ攻撃、サプライチェーン攻撃を追加してください。
Q. 「情報セキュリティ10大脅威」は試験対策としてどこまで見るべきですか?
上位の脅威名と大まかな傾向を押さえれば十分です。2026年版の組織編では、ランサム攻撃が1位、サプライチェーン攻撃が2位を維持し、AIの利用をめぐるサイバーリスクが新たに3位へ初登場しました。順位そのものより「どんな脅威が社会問題になっているか」を言葉で説明できる状態が理想です。
Q. この記事と個別記事、どちらから読めばいいですか?
まずこの記事で全体像をつかんで、苦手なものや気になったものだけ個別記事で深掘りする、という順番がおすすめです。
まとめ
サイバー攻撃は「攻撃の目的」と「狙う対象」の2軸で整理すれば、手口が多くても迷わなくなります。
試験本番では、問題文のキーワード(身代金→ランサムウェア、偽サイト→フィッシング、大量アクセスで停止→DDoS、入力欄に不正命令→SQLインジェクション……)を手がかりに判別してください。
このページの判別ステップを何度か繰り返し読んでおけば、本番でも自然に思い出せるはずです。
