サイバー犯罪とは何ですか? 18 の一般的なタイプと安全を保つ方法

サイバー犯罪の種類は多岐にわたり、あらゆる規模や業界の企業にとって深刻な問題となっています。インターネットとテクノロジーが生活のほぼあらゆる面で使用されているため、犯罪者がこれを利用するようになったのも不思議ではありません。

企業は、さまざまな種類のサイバー犯罪と、それが組織、従業員、顧客に引き起こす可能性のある潜在的な損害を認識し、身を守るために適切な措置を講じる必要があります。

サイバー犯罪とは何ですか?

サイバー犯罪とは、インターネットを含むコンピュータ ネットワークを主な犯罪手段として使用するあらゆる攻撃です。サイバー犯罪者は、ハッキング ソフトウェアやその他の技術的手段を使用して、データや金銭を盗み、個人や企業を詐欺し、サービスを妨害します。サイバー犯罪は、コンピューターまたはコンピューター ネットワークが法律を破るツールとして使用される場合に発生する可能性があります。サイバー犯罪はリモートで行われることが多く、検出や追跡が困難です。

サイバー犯罪の被害と被害額

Cyber​​crime Magazine は、サイバー犯罪の推定コストは 2015 年の 3 兆ドルから 2025 年までに年間 10 兆 5000 億ドルに達し、世界で最も高額な犯罪の 1 つになると 予測しています 。

FBI の 2021 年 インターネット詐欺報告書 によると、恐喝、なりすまし、データ侵害、未払いおよび配達不能、フィッシング (ビッシング、スマッシング、ファーミングを含む) がこれらの被害の半分以上を占めています。

ビジネス電子メール侵害 (BEC) (電子メール アカウント侵害 (EAC) とも呼ばれる) 詐欺が 69 億ドルのうち 23 億ドルを占めました。これらは、攻撃者が会社の役員や従業員になりすまして、誰かをだまして資金や機密情報（企業秘密、財務諸表、その他の機密情報など）を事業外に転送させる詐欺です。

サイバー攻撃に見舞われた場合、企業は経済的損失のほかに、人々が企業やその製品やサービスを信頼しなくなる可能性が高いため、風評リスクにも直面します。従業員や顧客の機密の個人情報も侵害される可能性があり、会社に過失が見つかった場合には会社の責任が明らかになります。

一般的なサイバー犯罪の種類

進化を続けるデジタル環境に伴い、適切に対処しなければ、さまざまなサイバー脅威がビジネスに重大な影響を及ぼす可能性があります。マルウェアやランサムウェア攻撃からフィッシングや個人情報盗難に至るまで、さまざまな種類のサイバー犯罪を理解することが、企業とそのデータをサイバー犯罪者から守る第一歩となります。

フィッシング

フィッシングは、ハッカーやサイバー犯罪者が情報を盗む最も一般的な方法の 1 つです。フィッシング詐欺では通常、被害者が正規の企業または組織になりすまして、パスワードやクレジット カード番号などの被害者の機密データを入手します。

フィッシングメールは多くの場合、金融機関、内国歳入庁 (IRS)、政府機関などの正規の送信元からのもののように見せかけて、個人をだまして個人情報を提供させるように設計されています。

これらの詐欺では通常、受信者にアカウント情報をすぐに更新する必要があり、更新しないとロックアウトされる危険性があると通知する電子メールまたは電話が含まれます。この種の詐欺は簡単に実行でき、犯人を追跡するのが難しいため、ここ数年で劇的に増加しています。 IT セキュリティ会社である Wandera は、20 秒ごとに新しいフィッシング サイトが作成されていると 報告しました 。

つまり、1 分あたり 3 つの新しいフィッシング Web サイトが作成され、企業が潜在的な脅威にさらされています。被害に遭わないようにする最善の方法は、フィッシングメールの危険信号について従業員を教育し、電子メールが偽物である可能性があると従業員がとるべき行動に関するポリシーを作成することです。

ハッキング

ハッキングとは、コンピュータ システムに不正にアクセスして、被害者のコンピュータに感染したり、セキュリティ対策を回避したりする行為です。ハッカー（知識を利用してコンピュータ システムの脆弱性を悪用する人）は、コンピュータ システムへの侵入から機密データへのアクセスまで、企業にさまざまな問題を引き起こす可能性があります。

彼らは、自分に関する個人情報を公開し、さらなる脅威で会社の評判を傷つける可能性さえあります。彼らはしばしばハクティビストと呼ばれます。ハッキングには、ホワイトハットハッキング（倫理的ハッキング）、ブラックハットハッキング、グレーハットハッキングの3種類があります。

• ホワイトハッカーは、悪意のあるユーザーが発見する前に、そのスキルを駆使してソフトウェアのバグを発見します。彼らはバグを修正できるようにバグを報告します。
• ブラックハットハッカーは、他人のコンピュータに侵入して情報を盗み、それをダークウェブで販売することを目的としたプログラムを作成します。
• グレイハットハッカーは、これら 2 つの両極端の中間に位置する手法を使用します。彼らはシステムの脆弱性を特定しようとしますが、その方法は法律や倫理基準に違反する可能性があります。

クリプトジャッキング

クリプトジャッキングは、ハッカーが人々のコンピュータやネットワークを不法に悪用して暗号通貨をマイニングするサイバー犯罪です。 SonicWall のデータ によると、世界のクリプトジャッキング件数は 2022 年上半期に 6,670 万件に増加し、2021 年上半期と比べて 30% 増加しました。269% の増加により最も大きな影響を受けたのは金融業界です。

クリプトジャッキングの大きな問題の 1 つは、CPU 使用率に過剰な負荷がかかり、システムの速度が大幅に低下したり、完全にクラッシュしたりすることです。場合によっては、企業が攻撃を受けていることに気付く前にこれが発生することがあります。組織は、IT セキュリティ専門家に定期的にシステムを監視して CPU 使用率の異常な急増を監視させることで、この種の犯罪から身を守ることができます。

スプーフィング

このサイバー犯罪は、誰かがオンラインで自分の身元を偽って、他人を騙したり詐欺したりすることです。これらの犯罪には、電子メールのなりすまし、電話のなりすまし、偽のソーシャル メディア プロフィール、偽の広告などが含まれる場合があります。一例として、ある個人が、会社の CEO に代わって、職場の同僚から送信されたように見える電子メールを送信して、機密情報を要求する場合があります。

スプーファーは、あなたのビジネスに関連しているように見えても、個人情報を収集するように設計された Web ページを作成することもあります。このような詐欺を回避する最善の方法は、リンクをクリックしたりデータを送信したりする前に、リンクを確認することです。また、パスワード、金融口座番号、その他の機密情報を要求する迷惑メールにも注意する必要があります。

ランサムウェア

ランサムウェアは、コンピュータ システムを攻撃し、データをロックし、データのロックを解除するために支払いを要求するマルウェアの一種です。コンピュータがランサムウェアに感染すると、通常、ユーザーはコンピュータを開いてデータの制御を取り戻すために必要な復号キーを受け取るために身代金を支払うように求められます。

ランサムウェア攻撃の平均コストは 400 万ドル以上ですが、破壊的な攻撃の場合は平均 500 万ドル以上です。ランサムウェアの感染は、オペレーティング システムを常に最新の状態に保つ、不明な送信者からの疑わしいリンクや添付ファイルをクリックしないなど、基本的なセキュリティ慣行に従うことで防ぐことができます。

クロスサイトスクリプティング

クロスサイト スクリプティング (XSS) は、攻撃者が信頼できる Web サイトまたは Web アプリケーションに悪意のあるスクリプトを挿入したときに発生する Web セキュリティの脆弱性です。 XSS を使用すると、攻撃者がユーザーのセッションを制御し、ログイン資格情報を盗み、貴重なデータを収集できる可能性があります。

たとえば、攻撃者は、被害者のマシンから情報を漏らす可能性のあるコマンドを実行する前に、何も知らないユーザーがログインするのを待つ悪意のあるコードを侵害されたサイトに配置する可能性があります。これらの脆弱性により、攻撃者がセッションをハイジャックし、被害者の身元を完全に偽装することが可能になる場合があります。

XSS には、保存型 XSS、反映型 XSS、DOM ベース XSS (ドキュメント オブジェクト モデル) の 3 種類があります。

• 保存型 XSS (永続的) 攻撃は、入力検証の欠如と貧弱な認証メカニズムを利用します。攻撃者はこのタイプのエクスプロイトを使用して、マルウェアをアップロードしたり、パスワードやクレジット カード番号などの機密個人情報を含む Cookie を盗んだりします。
• 反射型 XSS (非永続的) 攻撃は、被害者が攻撃サイト内のリンクをクリックすることによって引き起こされ、被害者のブラウザ上で悪意のあるコードを含むスクリプトが実行されます。被害者のブラウザはスクリプトを攻撃側のサーバーに送り返します。
• DOM ベースの XSS 攻撃は、DOM 内の脆弱性、またはブラウザーが HTML ドキュメントを解析する方法を悪用します。この攻撃は、XMLHttpRequest や WebSocket インスタンスなどの JavaScript オブジェクトを操作することで、ブラウザーに脆弱性を生み出す変更を強制することを目的としています。

3 種類のクロスサイト スクリプティングすべてから保護するには、企業は lint や入力値の適切な検証などの安全なコーディング手法を採用する必要があります。

個人情報の盗難

個人情報の盗難は、名前、社会保障番号、銀行口座番号、クレジット カード情報などの他人の個人情報を使用して詐欺やその他の犯罪を行うときに発生します。悪意のある者は被害者の評判を傷つけ、信用履歴に傷を付ける可能性があり、被害者は個人情報の盗難から何年も回復する必要がある可能性があります。

個人情報窃盗犯は、コンピュータへのハッキング、メールの窃取、カメラを使用してコンピュータ画面からデータをキャプチャすること、疑いを持たない被害者の ID の偽コピーの作成など、さまざまな方法で個人情報を収集します。その後、彼らはこの情報を利用して被害者になりすまし、オンライン バンキング口座にアクセスしたり、新しい信用枠を開設したり、被害者の名前でローンを申請したりするなどして、被害者の財務を管理します。

個人情報の盗難を防ぐには、機密情報を含むすべての文書を適切に管理することが最善です。機密情報が含まれる文書は捨てる前に細断し、古い請求書は機密データが含まれていないことを完全に確認するまで絶対に捨てないでください。 。

買掛金詐欺

買掛金詐欺では、詐欺師が会社のベンダーになりすまして、提供されていない商品やサービスの支払いを要求します。通常、これらの詐欺は、ベンダーを個人的に知らない会計部門に不正な請求書が送信されるため、成功します。

多くの場合、企業は事業を拡大し、中小企業から中規模または大企業に移行するときに買掛金詐欺に対して最も脆弱になります。詐欺師は、会社に代わって資金を要求する従業員を装ったり、正当に見える不正な請求書を作成したりすることさえあります。

サイバー犯罪に関しては、特定の金額を超えるすべての支払いに複数の署名を要求するなど、企業は組織内の複数の担当者に依存することで抑制と均衡を保つ必要があります。

マルウェア

マルウェアは、コンピュータの動作を妨害したり、コンピュータ システムから機密情報を収集したり、コンピュータをリモートで制御したりするために設計されたプログラムまたはソフトウェアです。マルウェアは検出されないことが多く、削除が難しく、ファイルの感染、データの改ざん、システム ユーティリティの破壊によってコンピュータ システムに重大な損害を引き起こす可能性があります。

また、マルウェアは、ユーザーがコンピュータに簡単にインストールできるように、正規のソフトウェアに偽装する可能性があることに注意することも重要です。例としては、ウイルス、ワーム、トロイの木馬、スパイウェア、アドウェアなどがあります。

ソーシャルエンジニアリング

これは、人々を操作して機密情報を放棄したり、資格情報にアクセスしたりする技術です。ソーシャル エンジニアリングは、被害者の信頼を得るために、同僚を装って電話をかけたり、電子メールを送信したり、インスタント メッセージング サービスを使用したりすることで行われます。

次に、加害者はパスワードや暗証番号 (PIN) などの情報を要求します。データによると、すべてのサイバー犯罪の 98% には何らかの形のソーシャル エンジニアリングが関与しています。

被害者は騙されて自分の情報を漏らすだけでなく、ソーシャル エンジニアリング手法を通じて知らず知らずのうちに会社の企業秘密や知的財産を漏らす可能性もあります。乗員全員が事故対応計画を策定しておくことは、この種の犯罪の防止に大いに役立ちます。

テクニカルサポート詐欺

これらの詐欺では、詐欺師は有名企業の代表者を装い、コンピュータにいくつかの問題を発見したと主張して潜在的な被害者に電話をかけます。これらの問題は、マルウェアから有料で修正しなければならないウイルスまで多岐にわたります。被害者には、正当なエラーやプログラムに似たウィザードが表示されます。

その後、彼らはだまされてシステムへのリモート アクセスを許可され、詐欺師はさらにお金を請求したり、個人情報を盗んだりすることができます。 FBI の報告によると、メイン州に住む夫婦が、コンピュータが侵害され、銀行情報が侵害される試みがあったことを知らせるポップアップ警告を受信し、110 万ドルを失ったという。

詐欺師は、ストレスの多い状況にあり、自分を守るためには何でも喜んで支払う脆弱な人々をターゲットにします。被害者は、詐欺師から自分が守られていると思わせるソフトウェアアップデートを与えられたため、手遅れになるまで詐欺に遭ったことに気づかない可能性があります。詐欺師らは夫妻を説得し、退職金口座からコインベースに資金を移動させて保管し、その後連絡を遮断した。

IoTハッキング

IoT ハッキングはサイバー犯罪の最も蔓延した形態の 1 つであり、物理的危害を引き起こす可能性があります。このハッキングは、ハッカーがスマート サーモスタットや冷蔵庫など、インターネットに接続されたデバイスを使用するときに発生します。彼らはデバイスをハッキングしてマルウェアに感染させ、ネットワーク全体に広がります。

次に、ハッカーはこの感染したシステムを使用して、ネットワーク上の他のシステムに対して攻撃を開始します。これらの攻撃により、多くの場合、これらのデバイスからデータが盗まれ、ハッカーが機密情報にアクセスできるようになります。これらのデバイスはセキュリティが制限されて構築されており、多くの場合、処理能力、メモリ、ストレージ容量が限られているため、IoT ハッキングのリスクが生じます。これは、他のシステムに比べて脆弱性が存在する可能性が高いことを意味します。

ソフトウェアの著作権侵害

ソフトウェア著作権侵害とは、所有権や法的許可なしにソフトウェアを違法にコピー、配布、または使用する行為です。これは、違法なソフトウェア Web サイトからプログラムをダウンロードしたり、あるコンピュータから別のコンピュータにプログラムをコピーしたり、ソフトウェアのコピーを販売したりすることによって発生する可能性があります。

海賊版ソフトウェアは、製品からの収益を妨げるため、企業の利益に影響を与えます。 Software Alliance の調査によると、 パーソナル コンピュータにインストールされているソフトウェアの 37% はライセンスが付与されていない、または海賊版であることがわかりました。これは非常に広範囲にわたる世界的な問題であるため、企業は自社がどのような影響を受ける可能性があるのか​​、また自社を守るためにどのような解決策が存在するのかを包括的に理解することが不可欠です。

トロイの木馬

トロイの木馬は、正規のプログラムを装い、ユーザーの許可なしにコンピューターにインストールされるウイルスです。実行されると、ファイルの削除、他のマルウェアのインストール、クレジット カード番号などの情報の窃取などが行われる可能性があります。

トロイの木馬を回避する鍵は、企業サイトや認定パートナーなどの信頼できるサイトからのみプログラムをダウンロードすることです。

盗聴

盗聴とは、当事者全員の知識や同意なしに、密かに会話を聞いたり、録音したりすることです。これは、電話、隠しカメラ、またはリモート アクセスを通じて発生する可能性があります。

盗聴は違法であり、詐欺や個人情報の盗難の危険にさらされる可能性があります。従業員が電子メールや直接会って共有する内容を制限することで、会社を保護できます。会話の暗号化は、権限のないユーザーがネットワーク リソースにリモートからアクセスすることを防ぐソフトウェアの使用と同様に役立ちます。

DDoS

分散型サービス拒否 (DDoS) はサービスまたはシステムを攻撃し、処理できる量を超えるリクエストをターゲットに大量に送り込みます。この攻撃は組織の Web サイトをターゲットにし、多数のリクエストを同時に送信することで Web サイトを圧倒しようとします。リクエストが殺到するとサーバーが強制的にシャットダウンされ、アクセスしようとするユーザーが情報を利用できなくなります。

ハッカーは Web サイトとその管理者に対する抗議の手段として DDoS を使用しますが、これらの攻撃は場合によっては恐喝にも使用されます。 DDoS 攻撃は、組織のデータを破壊するのではなく盗むことを目的としたサイバースパイ活動によって発生する場合もあります。

APT

Advanced Persistent Threats (APT) は、高度に標的を絞った、持続的で洗練された、十分なリソースを必要とするサイバー攻撃の一種です。 APT は通常、金銭的利益を得るために組織から情報を盗むために使用されます。

APT によるサイバー攻撃は、数か月または数年にわたって続くことがあります。彼らはネットワークに侵入し、データを抽出し、検出されることなくデータを流出させます。一般的な標的には、政府機関、大学、製造会社、ハイテク産業、防衛請負業者などが含まれます。

ブラックハットSEO

ブラックハット SEO はスパム行為の一種で、マーケティング担当者が非倫理的な手法を使用して検索エンジンの結果で上位にランクされるようにします。 Black Hat の戦術には、キーワードの詰め込み、非表示のテキスト、クローキングなどが含まれます。これにより、検索エンジンのアルゴリズムがページに関連性がないのに関連性があると認識させられます。

これらのマーケティング戦略は、ランキング システムを悪用することで Google Search Essentials (旧ウェブマスター ガイドライン) に違反するため、違法です。その結果、ブラックハット SEO はペナルティを受けるか、検索エンジン結果ページ (SERP) から Web サイトが完全に削除される可能性があります。

サイバー犯罪の例

それでは、実際のサイバー犯罪の例をいくつか確認してみましょう。

• 最も巧妙なフィッシング攻撃は 、「Google ドキュメント」フィッシング攻撃 (2017 年) でした。ハッカーは、偽のサードパーティ アプリにリダイレクトする虚偽の電子メールと偽の Google ドキュメント リンクを送信し、大規模なデータ盗難につながりました。
• IOT (モノのインターネット) マルウェア ベースのボットネットである Mirai は、2016 年に IoT デバイスを介して分散型サービス拒否攻撃 ( DDoS ) を開始しました。この攻撃により、Airbnb、Twitter、Rediff、Netflix などの有名な Web サイトへのアクセスが拒否されました。
• WannaCry ランサムウェア 攻撃者は、Microsoft のオペレーティング システムである Windows のデータを暗号化することを標的にしました。攻撃者はまた、ビットコインを通じて身代金を要求しました。この攻撃は、2017 年 5 月に世界規模のサイバー攻撃とみなされました。

サイバー犯罪を防ぐには

包括的なサイバー セキュリティ ポリシーを整備することが不可欠です。これには、会社のシステムにアクセスする際に従業員がどのように行動すべきか、および従わない場合の結果に関する従業員のガイドラインを含める必要があります。このポリシーはすべての従業員に明確に説明し、定期的に更新して最新のセキュリティ脅威に対応できるようにする必要があります。

サイバー犯罪から保護するために考慮する価値のあるその他の手順には、次のようなものがあります。

• 最新のテクノロジーとプロセスを備えた専門のサービスプロバイダーと連携してください。
• すべてのデータをオフサイトの場所にバックアップします。
• 最新のパッチとアップデートを使用してシステムを定期的に更新します。
• ソフトウェアライセンスの年次監査を実施する
• ウイルス、スパイウェア、ワーム、トロイの木馬、ルートキットなどの悪意のあるプログラムをスキャンする、信頼できるウイルス対策プログラムを使用してください。
• 違法または不適切なコンテンツがネットワークに侵入するのをブロックする Web フィルタリング ソフトウェアをインストールします。
• 機密データを保存するすべてのデバイスを暗号化して、不正アクセスを防止します
• システム ログを自動的に監視するプロセスを開発して、侵害の試みがあったかどうかを把握できるようにします。
• 定期的に専門家にシステム監査を依頼して、システムが脆弱でないことを確認してください
• ユーザーが外部デバイスにコピー、ペースト、保存できる内容を制御することで、情報がネットワークから流出する前に情報を保護するデータ損失防止テクノロジーを実装します。

最後の言葉

組織は、強力なサイバー セキュリティおよびデータ保護ポリシーの導入、定期的なサイバー脅威評価の実施、ソフトウェアの更新、ウイルス対策ソフトウェアの使用、従業員の教育と意識の向上、サイバー セキュリティ プロセスを自動化できるツールの使用によって、サイバー犯罪から身を守ることができます。

企業は、安全なクラウド コンピューティング環境や、サイバー攻撃からの保護に役立つマネージド セキュリティ サービスを提供するサービス プロバイダーと連携することもできます。