サイバー空間
インターネットやネットワーク上でやり取りされる情報や活動の場。
現実世界とは異なる、仮想的な情報世界を指す。
通信・取引・犯罪などさまざまな行動が行われる空間。
例:SNS上の投稿や電子商取引はサイバー空間での活動。
サイバー攻撃
ネットワークやシステムに対して不正な操作や妨害を行う行為。
情報の盗難や改ざん、サービスの停止などを引き起こす。
組織や個人の情報資産に大きな損害を与える。
例:Webサイトを攻撃して閲覧不能にするDDoS攻撃。
情報資産
企業や個人にとって価値のある情報や、それを扱う機器・システムのこと。
顧客情報、設計図、メール、サーバなどが含まれる。
適切な管理と保護が必要な対象。
例:企業が保有する顧客名簿や社員のPCは情報資産にあたる。
脅威
情報資産に損害を与える可能性のある事象や行為。
マルウェア、災害、人的ミスなどが該当する。
セキュリティ対策では脅威の特定が重要。
例:サイバー攻撃や地震によるデータセンターの停止。
脆弱性
システムやソフトウェアに存在するセキュリティ上の欠陥や弱点。
攻撃者に悪用されると、情報漏えいや破壊につながる。
発見された脆弱性には速やかな修正が求められる。
例:OSの更新パッチが未適用でウイルスに感染する。
漏えい
秘密や個人情報などが、意図せずに外部に知られてしまうこと。
セキュリティの不備や人為的ミスが原因となる。
組織の信用失墜や法的責任に発展することがある。
例:USBメモリの紛失による顧客情報の漏えい。
紛失
情報資産や記録媒体などを失ってしまうこと。
個人情報が含まれている場合は重大な事故となる。
物理的な管理や暗号化が対策として有効。
例:ノートパソコンを移動中に置き忘れる。
破損
ファイルや機器が壊れて、情報が正しく利用できなくなること。
ハードウェアの故障やソフトのエラーで発生する。
バックアップで被害を抑えられる。
例:HDDの故障で保存していたデータが読めなくなる。
盗み見
許可されていない第三者が画面や書類などを覗き見ること。
画面フィルターや席の配置など物理的対策が必要。
出張先や公共の場で特に注意が必要。
例:カフェでノートPCの画面を背後から見られる。
盗聴
通信内容を密かに傍受する行為。
ネットワークの盗聴や音声の盗聴などがある。
通信の暗号化によって防止できる。
例:フリーWi-Fiで盗聴されたパスワード。
なりすまし
他人のふりをして、情報にアクセスしたり指示を出す行為。
メールやSNS、ログインなどさまざまな場面で起こる。
多要素認証で防止することができる。
例:上司を装ったメールで機密ファイルを要求される。
クラッキング
システムに不正侵入したり、情報を破壊・改ざんする行為。
攻撃者のことをクラッカーと呼ぶ。
犯罪行為に該当することが多い。
例:Webサイトを書き換えて虚偽情報を掲載する。
ソーシャルエンジニアリング
人間の心理や行動を利用して、情報を不正に入手する手口。
電話、メール、ゴミ箱漁りなど手法は多様。
技術的対策だけでなく、教育による予防も必要。
例:電話でサポートを装い、パスワードを聞き出す。
内部不正
企業や組織の内部者が行う情報の漏えいや改ざんなどの不正行為。
アクセス権の管理や監視体制の強化が重要。
信頼関係に依存しがちな部分が狙われる。
例:社員が顧客リストをUSBで持ち出す。
誤操作
意図しない操作によって、情報の削除・送信・公開などが起こること。
人為的ミスによる事故の一つ。
確認画面や操作制限などで予防する。
例:間違って全員に社外秘ファイルを送信する。
ビジネスメール詐欺(BEC)
経営者や取引先を装ったメールで金銭や情報を騙し取る詐欺。
実在する人物になりすまして信頼を得る。
標的型攻撃の一種として分類される。
例:社長を装ったメールで海外送金を指示される。
二重脅迫(ダブルエクストーション)
ランサムウェア攻撃において、復号のための金銭と引き換えに情報公開の脅迫も行う手口。
被害者の立場がさらに不利になる。
データ保護とバックアップの強化が必要。
例:暗号化した上に、情報を公開すると脅す攻撃。
ダークウェブ
通常の検索エンジンではアクセスできない特別なネット空間。
違法な取引や情報の売買が行われることがある。
Torなどの専用ブラウザを用いてアクセスする。
例:盗まれたクレジットカード情報が出回る場所。
マルウェア
悪意を持って作られたソフトウェアの総称。
感染すると情報漏えいやシステム破壊などの被害が発生する。
メールの添付ファイルや不正なサイトから感染することが多い。
例:ウイルスに感染したパソコンが個人情報を送信する。
コンピュータウイルス
他のプログラムに寄生し、自動的に増殖・拡散するマルウェア。
感染したプログラムが実行されると、ウイルスも一緒に動作する。
データの破壊やシステム障害を引き起こすことがある。
例:メールに添付された実行ファイルを開くことで感染する。
ボット
外部からの指令によって自動的に動作するマルウェア。
感染すると、攻撃者に遠隔操作され、迷惑メールの送信やDDoS攻撃に使われる。
複数のボットで構成されたネットワークはボットネットと呼ばれる。
例:自分のパソコンが知らないうちに攻撃に加担している。
スパイウェア
利用者に気づかれないように個人情報を盗み出すマルウェア。
Web閲覧履歴やID・パスワードなどを収集して外部に送信する。
広告表示ソフトに混ざってインストールされることも多い。
例:無料ソフトにスパイウェアが仕込まれていて、検索履歴が漏れる。
ランサムウェア
感染するとファイルを暗号化し、元に戻すための「身代金(ランサム)」を要求するマルウェア。
支払っても復旧される保証はない。
バックアップやウイルス対策ソフトでの予防が重要。
例:会社のパソコンが使えなくなり、ビットコインで支払いを求められる。
ファイルレスマルウェア
ファイルとして保存されず、メモリ上だけで動作するマルウェア。
検知が難しく、セキュリティ対策ソフトでも見逃されることがある。
近年の高度なサイバー攻撃で使われる手法。
例:正規ソフトを装いながらバックグラウンドで情報を盗む。
ワーム
自己増殖してネットワーク経由で広がるマルウェアの一種。
他のプログラムを必要とせず単独で動作する。
感染力が強く、ネットワーク全体に被害を広げることがある。
例:社内ネットワーク全体に広がってPCが使えなくなる。
トロイの木馬
正規のソフトに見せかけて侵入し、内部で不正な動作を行うマルウェア。
見た目は普通のアプリだが、裏で情報を盗んだりする。
ユーザーの信用を利用する点が特徴。
例:ゲームアプリに見せかけたスパイソフト。
RAT(Remote Access Trojan)
遠隔操作を目的としたトロイの木馬型マルウェア。
感染したPCを外部から自由に操作できるようになる。
監視や情報の盗難などに悪用される。
例:RATに感染して、Webカメラが勝手に起動される。
マクロウイルス
文書ファイル(Word、Excelなど)のマクロ機能を悪用したマルウェア。
ファイルを開くだけで自動的に悪意のある命令が実行される。
標的型メールで多く使われる。
例:Excelファイルを開いた瞬間にウイルスが実行される。
キー ロガー
キーボードの入力を記録して、パスワードやクレジットカード番号を盗むマルウェア。
利用者に気づかれにくい特徴がある。
個人情報や機密情報の流出につながる。
例:ネットバンキングのID・パスワードが盗まれる。
バックドア
攻撃者が後から自由にシステムへ侵入できる裏口。
一度侵入した後に設置され、再侵入を容易にする。
感染後も気づかずに情報が盗まれ続ける。
例:マルウェアに感染したPCにバックドアが設置される。
ファイル交換ソフトウェア
ユーザー間でファイルをやり取りするためのソフトウェア。
不正なファイル共有に使われることがあり、ウイルス感染のリスクも高い。
著作権侵害や情報漏えいの原因にもなる。
例:音楽ファイルを共有する目的で使われたP2Pソフト。
迷惑メール(スパム)
受信者の意図に関係なく大量に送信される不要なメール。
広告や詐欺サイトへの誘導などが目的。
ウイルスや詐欺の温床になることもある。
例:当選を装った迷惑メールが毎日届く。
バグ
プログラム上の不具合や間違いによる誤動作。
セキュリティ上の穴となることもある。
利用者の操作に支障をきたす原因となる。
例:ソフトが途中で強制終了するのはバグの可能性がある。
セキュリティホール
ソフトウェアやシステムに存在するセキュリティの欠陥。
悪用されると情報漏えいや不正アクセスが起きる。
定期的なアップデートで修正される。
例:古いブラウザに存在するセキュリティホール。
人的脆弱性
人間の行動や判断ミスによって生じるセキュリティ上の弱点。
技術的な対策だけでは防げない。
教育やルール整備が必要になる。
例:パスワードを紙に書いてモニターに貼ってしまう。
シャドーIT
会社の管理外で個人が勝手に使用するIT機器やサービス。
セキュリティ対策が行き届かず、リスクを高める。
利便性の一方で、情報漏えいやコンプライアンス違反の可能性もある。
例:許可されていないクラウドサービスに業務データを保存する。
不正のトライアングル
不正行為が起こる3つの要因を示した考え方。
「機会(できる状況)」「動機(やりたい理由)」「正当化(自分を納得させる言い訳)」がそろうと不正が発生しやすい。
内部不正の防止に役立つ理論。
例:「上司が見ていない」「生活が苦しい」「みんなやっているから」などの三要素。