サイバー攻撃ベクトル

サイバー攻撃ベクトルとは、攻撃者がシステムやネットワークに侵入し、機密情報を窃取したり、システムを破壊したりするために使用する経路や手法の総称です。OWASP Top 10やMITRE ATT&CKフレームワークなどで体系的に分類されており、インジェクション攻撃、マルウェア、フィッシング、DDoS、認証の欠陥など多様な手法が含まれます。これらの攻撃ベクトルを理解することは、効果的なセキュリティ対策を構築する上で不可欠です。

サイバーセキュリティ攻撃手法 OWASP MITRE ATT&CK 脆弱性情報セキュリティ

コード	スラッグ	名称	概要	カテゴリ	mitreTechnique
A01	broken-access-control	アクセス制御の欠陥	認証されたユーザーに対する制限が適切に実施されていない脆弱性です。	OWASP Top 10	T1078
A02	security-misconfiguration	セキュリティ設定ミス	セキュリティ設定が不適切に定義、実装、または維持されている状態です。	OWASP Top 10	T1562
A03	software-supply-chain-failures	ソフトウェアサプライチェーンの欠陥	サードパーティコンポーネントやビルドプロセスからの脆弱性です。	OWASP Top 10	T1195
A04	cryptographic-failures	暗号化の欠陥	暗号化に関連する失敗により機密データが露出する脆弱性です。	OWASP Top 10	T1552
A05	injection	インジェクション	信頼できないデータがコマンドやクエリの一部としてインタープリタに送信される攻撃です。	OWASP Top 10	T1059
A06	insecure-design	安全でない設計	アプリケーション設計とアーキテクチャの欠陥によるセキュリティ問題です。	OWASP Top 10	T1071
A07	authentication-failures	認証の欠陥	IDと認証メカニズムが不正しく実装されている脆弱性です。	OWASP Top 10	T1078
A08	software-data-integrity-failures	ソフトウェア・データ完全性の欠陥	改ざんから保護できないコードやインフラストラクチャの欠陥です。	OWASP Top 10	T1554
A09	logging-alerting-failures	ログ記録とアラートの欠陥	不十分なログ記録、検出、監視、インシデント対応の欠如です。	OWASP Top 10	T1562
A10	mishandling-exceptional-conditions	例外状況の不適切な処理	エラー、例外、エッジケースが安全に処理されない脆弱性です。	OWASP Top 10	T1499
M01	malware	マルウェア	悪意のあるソフトウェアによるシステム侵害です。	マルウェア	T1055
M02	ransomware	ランサムウェア	データを暗号化して身代金を要求するマルウェアです。	マルウェア	T1486
P01	phishing	フィッシング	偽装した通信で機密情報を騙し取る攻撃です。	ソーシャルエンジニアリング	T1566
D01	ddos	DDoS攻撃	分散型サービス拒否攻撃でシステムを瘫痪させます。	ネットワーク攻撃	T1498
I01	sql-injection	SQLインジェクション	データベースクエリに悪意のあるSQLを注入する攻撃です。	インジェクション攻撃	T1190
I02	xss	クロスサイトスクリプティング（XSS）	Webアプリケーションに悪意のあるスクリプトを注入する攻撃です。	インジェクション攻撃	T1189
I03	csrf	クロスサイトリクエストフォージェリ（CSRF）	認証済みユーザーのブラウザから意図しないリクエストを送信させる攻撃です。	インジェクション攻撃	T1204
N01	man-in-the-middle	中間者攻撃（MitM）	通信を傍受し、改ざんや盗聴を行う攻撃です。	ネットワーク攻撃	T1557
C01	credential-theft	認証情報の窃取	パスワードや認証情報を窃取する攻撃です。	認証攻撃	T1555
C02	privilege-escalation	権限昇格	低権限から高権限へ昇格する攻撃です。	認証攻撃	T1068

コード

スラッグ

名称

概要

カテゴリ

mitreTechnique

A01

broken-access-control

アクセス制御の欠陥

認証されたユーザーに対する制限が適切に実施されていない脆弱性です。

OWASP Top 10

T1078

A02

security-misconfiguration

セキュリティ設定ミス

セキュリティ設定が不適切に定義、実装、または維持されている状態です。

OWASP Top 10

T1562

A03

software-supply-chain-failures

ソフトウェアサプライチェーンの欠陥

サードパーティコンポーネントやビルドプロセスからの脆弱性です。

OWASP Top 10

T1195

A04

cryptographic-failures

暗号化の欠陥

暗号化に関連する失敗により機密データが露出する脆弱性です。

OWASP Top 10

T1552

A05

injection

インジェクション

信頼できないデータがコマンドやクエリの一部としてインタープリタに送信される攻撃です。

OWASP Top 10

T1059

A06

insecure-design

安全でない設計

アプリケーション設計とアーキテクチャの欠陥によるセキュリティ問題です。

OWASP Top 10

T1071

A07

authentication-failures

認証の欠陥

IDと認証メカニズムが不正しく実装されている脆弱性です。

OWASP Top 10

T1078

A08

software-data-integrity-failures

ソフトウェア・データ完全性の欠陥

改ざんから保護できないコードやインフラストラクチャの欠陥です。

OWASP Top 10

T1554

A09

logging-alerting-failures

ログ記録とアラートの欠陥

不十分なログ記録、検出、監視、インシデント対応の欠如です。

OWASP Top 10

T1562

A10

mishandling-exceptional-conditions

例外状況の不適切な処理

エラー、例外、エッジケースが安全に処理されない脆弱性です。

OWASP Top 10

T1499

M01

malware

マルウェア

悪意のあるソフトウェアによるシステム侵害です。

マルウェア

T1055

M02

ransomware

ランサムウェア

データを暗号化して身代金を要求するマルウェアです。

マルウェア

T1486

P01

phishing

フィッシング

偽装した通信で機密情報を騙し取る攻撃です。

ソーシャルエンジニアリング

T1566

D01

ddos

DDoS攻撃

分散型サービス拒否攻撃でシステムを瘫痪させます。

ネットワーク攻撃

T1498

I01

sql-injection

SQLインジェクション

データベースクエリに悪意のあるSQLを注入する攻撃です。

インジェクション攻撃

T1190

I02

xss

クロスサイトスクリプティング（XSS）

Webアプリケーションに悪意のあるスクリプトを注入する攻撃です。

インジェクション攻撃

T1189

I03

csrf

クロスサイトリクエストフォージェリ（CSRF）

認証済みユーザーのブラウザから意図しないリクエストを送信させる攻撃です。

インジェクション攻撃

T1204

N01

man-in-the-middle

中間者攻撃（MitM）

通信を傍受し、改ざんや盗聴を行う攻撃です。

ネットワーク攻撃

T1557

C01

credential-theft

認証情報の窃取

パスワードや認証情報を窃取する攻撃です。

認証攻撃

T1555

C02

privilege-escalation

権限昇格

低権限から高権限へ昇格する攻撃です。

認証攻撃

T1068

サイバー攻撃ベクトルとは、攻撃者がコンピュータシステム、ネットワーク、またはアプリケーションに侵入し、機密情報を窃取したり、システムを破壊したりするために使用する経路や手法の総称です。これらの攻撃ベクトルを理解することは、組織が効果的な防御策を構築し、サイバー脅威から資産を保護する上で不可欠です。

OWASP（Open Web Application Security Project）が発表する「OWASP Top 10」は、Webアプリケーションにおける最も重要なセキュリティリスクをまとめた業界標準です。2025年版では、アクセス制御の欠陥、セキュリティ設定ミス、ソフトウェアサプライチェーンの欠陥などが上位にランクされています。また、MITRE ATT&CKフレームワークは、攻撃者の戦術と技法を体系的に分類した知識ベースとして広く利用されています。

主要な攻撃ベクトルには、インジェクション攻撃（SQLインジェクション、XSSなど）、マルウェア（ランサムウェア、スパイウェアなど）、フィッシング、DDoS攻撃、認証情報の窃取などがあります。近年では、AI技術を活用した攻撃が増加しており、ソーシャルエンジニアリング活動の80%以上がAIによって支援されていると報告されています。組織は、これらの脅威に対して多層的な防御策を講じ、定期的なセキュリティ評価と従業員教育を実施することが重要です。