代表的なサイバー攻撃手法一覧
| No. | 攻撃手法名 | 概要 | 主なターゲット | カテゴリ |
|---|---|---|---|---|
| 1 | フィッシング | 偽メールや偽サイトで情報を盗む | 一般ユーザー | ソーシャルエンジニアリング |
| 2 | スピアフィッシング | 特定の人物を狙ったフィッシング | 企業・組織の関係者 | ソーシャルエンジニアリング |
| 3 | ウォータリングホール攻撃 | ターゲットが訪れそうなWebサイトにマルウェアを仕込む | 特定業界や組織の利用者 | ソーシャル+マルウェア |
| 4 | ランサムウェア | ファイルを暗号化し、身代金を要求 | 一般ユーザー・企業 | マルウェア |
| 5 | キーロガー | キー入力を記録して情報を盗む | パソコン利用者 | マルウェア |
| 6 | トロイの木馬 | 正常なソフトに見せかけてマルウェアを仕込む | ユーザー全般 | マルウェア |
| 7 | ワーム | 自己複製しながら他のPCに感染 | ネットワーク全体 | マルウェア |
| 8 | ボットネット | 感染端末を遠隔操作し、ネットワーク化 | 感染端末・組織全体 | マルウェア+DDoS |
| 9 | ゼロデイ攻撃 | 未修正の脆弱性を突いた攻撃 | ソフトウェア開発者・利用者 | 脆弱性攻撃 |
| 10 | SQLインジェクション | データベースへの不正なSQL命令を送信 | Webアプリケーション | アプリ攻撃 |
| 11 | クロスサイトスクリプティング(XSS) | Webに悪意あるスクリプトを埋め込む | Webサイト利用者 | アプリ攻撃 |
| 12 | クロスサイトリクエストフォージェリ(CSRF) | ユーザーの意図しない操作をWebで実行させる | ログイン済みユーザー | アプリ攻撃 |
| 13 | DNSキャッシュポイズニング | 偽のDNS情報を注入 | DNSキャッシュサーバー | ネットワーク攻撃 |
| 14 | ARPスプーフィング | 通信相手を偽装して情報を盗む | LAN環境 | ネットワーク攻撃 |
| 15 | 中間者攻撃(MITM) | 通信の途中に割り込んで情報を盗む | 通信中の全ユーザー | ネットワーク攻撃 |
| 16 | パスワードリスト攻撃 | 流出したIDとパスワードを使いまわす | 各種ログインシステム | 認証突破攻撃 |
| 17 | ブルートフォース攻撃 | 全パターンを総当たりで試す | 認証システム | 認証突破攻撃 |
| 18 | レインボーテーブル攻撃 | ハッシュ値から逆算する方式でパスワード解読 | ハッシュ化された認証情報 | 認証突破攻撃 |
| 19 | DoS攻撃 | サーバに過負荷を与えてサービス停止 | Webサーバ等 | サービス妨害 |
| 20 | DDoS攻撃 | 複数端末から同時にDoS攻撃 | インフラ全般 | サービス妨害 |
| 21 | ドライブバイダウンロード | Web閲覧だけでマルウェアを自動ダウンロード | 不特定多数のユーザー | マルウェア |
| 22 | サプライチェーン攻撃 | 関連企業の脆弱性を突く | 関連ベンダ・取引先 | 組織攻撃 |
| 23 | バッファオーバーフロー | メモリ上書きで任意コードを実行 | ネイティブアプリ | 脆弱性攻撃 |
| 24 | ログイン画面の偽装 | 偽のログインページでID・パスワードを収集 | Webサービス利用者 | ソーシャル攻撃 |
| 25 | USB感染 | USBメモリ経由で感染 | オフラインPC | マルウェア |
| 26 | マクロウイルス | Officeファイルのマクロにマルウェアを仕込む | メール受信者 | マルウェア |
| 27 | ロジックボム | 特定の条件で発動する悪意コード | ソフトウェア内 | 内部攻撃 |
| 28 | バックドア | 裏口アクセスを可能にするコード | システム管理者 | 内部攻撃・マルウェア |
| 29 | ルートキット | 管理者権限を乗っ取り隠蔽 | OS全体 | マルウェア |
| 30 | セッションハイジャック | セッションIDを盗みログイン状態を乗っ取る | 認証済みユーザー | 認証突破攻撃 |
| 31 | クレデンシャルスタッフィング | 他サイトから流出した認証情報を自動で試す | ログインシステム全般 | 認証突破攻撃 |
| 32 | サイドチャネル攻撃 | 電磁波・消費電力などから情報を抽出 | 組み込みデバイス等 | 物理・理論攻撃 |
| 33 | ハードウェアトロイ | ICチップレベルに仕込まれた裏口 | 組込機器・国家レベル | ハードウェア攻撃 |
| 34 | ソーシャルエンジニアリング | 人間の心理的隙を突いて情報を盗む | すべてのユーザー | ソーシャル攻撃 |
| 35 | Eメール偽装(なりすまし) | 送信元アドレスを偽装し信頼させる | メール受信者 | ソーシャル攻撃 |
| 36 | Wi-Fiスニッフィング | 公衆Wi-Fiで通信傍受 | モバイルユーザーなど | ネットワーク攻撃 |
| 37 | ディレクトリトラバーサル | パスを操作して意図しないファイルにアクセス | Webアプリ | アプリ攻撃 |
| 38 | タイポスクワッティング | 有名サイトのURLを似せて偽サイト作成 | タイプミスしたユーザー | ソーシャル+フィッシング |
| 39 | API Abuse(API悪用) | 正規APIの仕様を悪用 | Webサービス提供者 | アプリ攻撃 |
| 40 | BEC(ビジネスメール詐欺) | 経営者などを装い送金を指示 | 経理・財務部門 | ソーシャル攻撃 |
| 41 | SIMスワップ詐欺 | 携帯番号を乗っ取り認証突破 | SMS認証を使うユーザー | 認証突破攻撃 |
| 42 | IoTデバイス乗っ取り | IoT機器の脆弱性を悪用 | 家庭用・業務用IoT機器 | デバイス攻撃 |
| 43 | メールボム攻撃 | 大量メールでシステムを停止 | 組織メールシステム | サービス妨害 |
| 44 | スマッシング | SMSを使ったフィッシング | 携帯ユーザー | ソーシャル攻撃 |
| 45 | ボイスフィッシング(ヴィッシング) | 音声通話を使った詐欺 | 高齢者・経理担当など | ソーシャル攻撃 |
| 46 | QRコード攻撃 | 悪意あるURLを埋め込んだQRコードを配布 | 不特定多数のユーザー | ソーシャル攻撃 |
| 47 | スケアウェア | ウイルス感染を装い金銭を要求 | 一般ユーザー | マルウェア |
| 48 | ステガノグラフィ | 画像等に隠されたマルウェアを展開 | 画像受信者 | 情報隠蔽+マルウェア |
| 49 | クローンサイト | 有名サイトを完全コピーして誘導 | フィッシング対象者 | ソーシャル攻撃 |
| 50 | 仮想通貨マイニングマルウェア | 被害者の端末でマイニングを行う | 一般PC・サーバー | マルウェア |
| 51 | ログポイズニング | ログに偽情報を記録して分析を妨害 | ログ監視システム | 内部攻撃 |
コメント