サイバー攻撃の種類まとめ｜マルウェア・ランサムウェア・標的型攻撃をITパスポート向けに整理

なぜ攻撃の種類を覚えるのか

過去5年（2021〜2025）のITパスポート試験では、セキュリティ関連の問題が43問出題されています。この領域は最も頻出であり、攻撃名とその目的、対策方法をセットで識別できれば、多くの設問に対応できます。受験者は特にこの分野の攻略を優先してください。

マルウェアの種類

ウイルス

ウイルスは既存のファイルに寄生して感染し、実行されることで活動を開始します。感染したファイルが開かれると、他のファイルへと拡散していくため注意が必要です。

ワーム

ワームは自己複製を行い、ネットワーク経由で自律的に拡散します。寄生先のファイルを必要としないため、感染の進行が非常に早い特徴があります。

トロイの木馬

トロイの木馬は正規のソフトウェアを装ってシステムに侵入します。実際には遠隔操作や情報窃取を目的として動作し、気づかれにくい点が危険です。

ランサムウェア

ランサムウェアはファイルを暗号化して復号と引き換えに身代金を要求する攻撃です。過去5年間で3問出題されており、WannaCry（2017年）以降、企業被害が深刻化しています。暗号化されたデータの復旧は困難なため、事前のバックアップが重要です。

スパイウェア／キーロガー

スパイウェアやキーロガーは、利用者の操作やキー入力を盗聴して外部に送信します。個人情報やパスワードが狙われるため、セキュリティソフトでの対策が必要です。

通信経路を狙う攻撃

標的型攻撃（APT）

標的型攻撃は特定の組織を長期間にわたって狙う高度な攻撃手法です。メール添付やゼロデイ脆弱性を起点に侵入し、検知が非常に困難です。対策の中心は多層防御であり、単一の防御策では防ぎきれません。

中間者攻撃（MITM）

中間者攻撃は通信経路に割り込んでデータを盗聴したり改ざんしたりします。HTTPSやVPNを利用することで通信を暗号化し、この攻撃を防ぐことができます。

DoS／DDoS 攻撃

DoS攻撃やDDoS攻撃は、大量のリクエストを送りつけてサービスを停止させます。CDNやWAFを導入してトラフィックを分散・フィルタリングすることで対策可能です。

Web アプリケーションへの攻撃

SQL インジェクション

SQLインジェクションは、入力値にSQL文を仕込んでデータベースを不正に操作する攻撃です。対策としてプレースホルダの利用や入力値のエスケープが有効であり、WAFも補助的に使用されます。

クロスサイトスクリプティング（XSS）

クロスサイトスクリプティングは、Webページに悪意のあるJavaScriptを注入し、他のユーザのブラウザで実行させる攻撃です。対策にはHTMLエスケープやCSP（Content Security Policy）の適用が効果的です。

CSRF（クロスサイトリクエストフォージェリ）

CSRFは、ログイン中のユーザに意図しない操作を実行させる攻撃です。トークン認証を導入することで、不正なリクエストを防げます。

ソーシャルエンジニアリング

フィッシング

フィッシングは、正規のサービスを装った偽メールや偽サイトで認証情報を窃取する手口です。スピアフィッシング（個人を狙うもの）やビジネスメール詐欺（BEC）が派生形として存在します。

ショルダーハック

ショルダーハックは、入力中の画面を肩越しに覗き見る古典的な手口です。物理的な防御策として、画面フィルターの利用や周囲への注意が求められます。

ITパスポート試験での出題ポイント

攻撃名と説明文の対応問題は最も頻出であり、確実に得点したいところです。各攻撃の対策として、暗号化、認証強化、WAF、教育が重要です。また、ゼロトラストや多層防御の概念も理解しておく必要があります。

過去問の典型パターン

• 「ファイルを暗号化して身代金を要求する攻撃はどれか」型 → ランサムウェア
• 「特定組織を長期間狙う攻撃はどれか」型 → 標的型攻撃

関連用語

• 防御機器の使い分け（ファイアウォール・WAF・IDS/IPS）
• 暗号化と SSL/TLS（暗号化の基礎）
• 認証と認可（認証と認可の違い）

学習のコツ

攻撃名・狙う対象・対策の3列の表を作成すると整理しやすいです。マルウェア、通信路狙い、Webアプリ狙い、ソーシャルの4グループに分類して覚えましょう。似た名前（XSSとCSRFなど）の違いを明確にしておくことが重要です。

まとめ

攻撃の分類と対策をセットで覚えれば、頻出のセキュリティ問題は確実に得点できます。テクノロジ系を網羅的に演習するならテクノロジ系まとめ、本番形式は模擬試験をご利用ください。