#01
ランサムウェア
Ransomware インフラを狙う技術の穴を狙う
データを暗号化・窃取し身代金を要求する。盗んだデータの公開もちらつかせる「二重脅迫」が主流。
狙われる弱点:古い脆弱性の放置・VPN機器の穴・バックアップ未整備。
今日からできる対策:ネットから切り離した隔離バックアップ(3-2-1)を持ち、初期侵入経路(公開機器・VPN)を塞ぐ。復旧手順も平時に試す。
セキュリティを整える
初級サイバー攻撃・脅威の早見表を整える。
= 主要なサイバー攻撃の手口と対策を、検索しながら引ける
ランサムウェアやフィッシング、SQLインジェクション、ゼロデイ──ニュースで見かける主要な脅威を、攻撃名・概要・対策で横断検索できる防御リファレンスです。それぞれ「何をする攻撃か/狙われる弱点/今日からできる対策」をまとめ、心理・技術・認証・インフラ・AIの分類で色分けしています。攻撃の道具ではなく、守るための知識として。検索はこの端末の中だけで完結します(送信ゼロ)。
i
TLDR — 30秒で分かる
ランサムやフィッシングなど主要な脅威を、攻撃名・対策で引ける防御の早見表。分類で色分けし、弱点と「今日からできる対策」をセットで。送信ゼロ。
主な機能を見る
- 攻撃名・概要・狙われる弱点・対策を横断インクリメンタル検索
- 心理/技術/認証/インフラ/AIの分類タグでフィルタ&色分け
- 脅威13種それぞれに弱点と「今日からできる対策」
- フィッシング・SQLi・TOTP等は totonoe の体験ツールへ内部リンク
- 最重要3原則(ゼロトラスト/迅速なパッチ/心理ハック耐性)でまとめ
- 攻撃実行機能なし・防御教育のみ・検索は端末内完結(送信ゼロ)
🛡️ 防御・教育のための早見表です。 ここに攻撃を実行する機能はありません。「敵の手口」を知って守りに活かすための一覧です。totonoe に体験ツールがある脅威には、各カードからリンクしています。
サイバー攻撃・脅威 早見表 入力すると即時に絞り込み(送信ゼロ)
13 件の脅威を収録
#02
ClickFix/CrashFix
ClickFix / CrashFix 心理を狙う
偽のエラー画面で「Win+R → Ctrl+V → Enter」などの操作を促し、利用者自身の手でウイルスを実行させる。
狙われる弱点:更新失敗・認証エラーといった偽メッセージが生む焦りと、つい指示に従う人間心理。
今日からできる対策:Web ページや偽ダイアログの指示でショートカット(Win+R/ターミナル貼り付け等)を絶対に押さない・実行しない。
#03
AI悪用/プロンプトインジェクション
Prompt Injection AIを狙う/悪用技術の穴を狙う
生成AIへの入力に悪意ある指示を紛れ込ませ、機密の出力や本来許されない不正操作をさせる。
狙われる弱点:AI入力のチェック不足・AIへの過度な権限付与。
今日からできる対策:AIに渡すデータを制限し、外部由来テキストを命令として扱わせない。重要な出力・操作は人間が検証してから実行。
#04
ビジネスメール詐欺(BEC)
Business Email Compromise 心理を狙う
取引先や経営層になりすまし、偽の口座へ振込ませる。近年はAI生成の自然な文面で本物らしさが増している。
狙われる弱点:取引上の信頼関係と、形だけになった確認フロー。
今日からできる対策:振込先の変更依頼は、メールではなく電話など別経路で本人確認。高額送金はダブルチェックを必須に。
#05
ディープフェイク悪用
Deepfake Fraud 心理を狙う
音声・映像の合成AIで経営層などを精巧に再現し、本人に成りすまして不正送金や機密提供を指示する。
狙われる弱点:「上司の指示」という心理的圧力と、見た目・声では真偽を判断しきれない五感の限界。
今日からできる対策:送金・機密に関わる指示は合言葉や別ルートで本人確認。映像通話だけを根拠にしない。
#06
フィッシング詐欺
Phishing 心理を狙う認証を狙う
本物そっくりの偽メールや偽サイトへ誘導し、ID・パスワード・カード情報などを盗む。
狙われる弱点:「緊急の連絡だ」と思い込ませる心理と、正しいドメインを見分けることの難しさ。
今日からできる対策:パスキー/MFA でパスワード単体の価値を下げ、リンクではなくブックマークや公式アプリからアクセスする。
#07
セッションハイジャック
Session Hijacking 認証を狙う技術の穴を狙う
ログイン済みの状態を保持する Cookie(セッション)を、マルウェアなどで直接盗み、認証を素通りして成りすます。
狙われる弱点:一時的なマルウェア感染と、Cookie の保護不足。
今日からできる対策:不審な Wi-Fi や拡張機能を避け、ウイルス対策/EDR を有効に。重要操作は再認証を求める設定にする。
#08
サプライチェーン攻撃
Supply Chain Attack インフラを狙う
セキュリティの手薄な取引先・子会社・委託先を踏み台にして、本命の組織へ侵入する。
狙われる弱点:関連会社や委託先のセキュリティ管理の甘さ。
今日からできる対策:委託先のセキュリティ基準を契約段階で確認し、外部からの接続権限は最小限(必要な範囲だけ)に絞る。
#09
クラウド設定ミス悪用
Cloud Misconfiguration インフラを狙う技術の穴を狙う
設定の不備で意図せず公開状態になったストレージなどから、データを抜き取られる。
狙われる弱点:知識不足・構成の複雑化・公開範囲の確認漏れ。
今日からできる対策:CSPM などで設定を自動監査し、権限は最小権限(IAM)で付与。公開設定は定期的に棚卸しする。
#10
SQLインジェクション
SQL Injection 技術の穴を狙う
入力欄に悪意あるSQL文を混ぜ込み、データベースを不正に操作したり中身を盗み出したりする。
狙われる弱点:プログラム側のエスケープ漏れ・考慮不足や、マルチバイト文字の盲点。
今日からできる対策:プレースホルダ(パラメータ化クエリ)で入力を命令として扱わせない。前段に WAF を置く。
#11
SIMスワップ攻撃
SIM Swapping 認証を狙う
偽の本人確認で携帯キャリアを騙し、被害者の電話番号を自分のSIMへ移して、SMS認証を突破する。
狙われる弱点:キャリアの本人確認プロセスの隙と、SMS認証への依存。
今日からできる対策:二要素認証を SMS から認証アプリ(TOTP)やパスキーへ切り替え、SMS だけに頼らない。
#12
DDoS攻撃
DDoS インフラを狙う
大量のアクセスを一斉に浴びせてサーバを過負荷にし、サービスを停止に追い込む。
狙われる弱点:サーバの処理能力の限界と、不正トラフィックのフィルタ不足。
今日からできる対策:DDoS 対策付きの CDN/緩和サービスを前段に置き、トラフィックを常時監視して異常を早期に検知する。
#13
ゼロデイ攻撃
Zero-day 技術の穴を狙う
修正パッチが存在しない、まだ知られていない脆弱性(ゼロデイ)を突いて侵入する。
狙われる弱点:潜在的なバグと、脆弱性の公表からパッチ提供までのタイムラグ。
今日からできる対策:パッチに頼り切らず、EDR で「怪しい挙動」を検知して隔離。攻撃面(公開範囲・権限)を平時から減らしておく。
該当する脅威が見つかりませんでした。攻撃名やキーワードを変えてお試しください。
守りの軸・最重要3原則
手口は無数でも、効く守りは絞れる。
- 1
ゼロトラスト ─ 「内側だから安全」をやめる
社内ネットワークやログイン済みでも無条件に信用せず、その都度本人と権限を確かめる。権限は最小限に、認証はパスキー/MFAで。盗まれた1つの鍵で全部が開かない設計にします。
- 2
迅速なパッチ+隔離バックアップ ─ 穴をふさぎ、戻れるようにする
公開機器・VPN・OS の更新を後回しにしない。同時に、ネットから切り離したバックアップ(3-2-1)を持ち、復旧手順を平時に試しておく。ランサムやゼロデイに「最後の砦」で備えます。
- 3
心理ハック耐性 ─ 「急かされたら、別ルートで確認」
フィッシング・BEC・ディープフェイク・ClickFix は焦りと信頼を突きます。送金や機密、Web の指示でショートカットを押す前に、いったん止まって電話など別経路で本人確認。技術より先に「習慣」が守りになります。
🔒 この早見表は静的なデータと端末内の検索だけで動きます。入力した検索語はサーバに送られません(送信ゼロ)。収録は実務・報道でよく出会う 13 件で、すべての脅威を網羅したものではありません。
よくある質問
- Q. このツールで攻撃はできますか?
- A. できません。攻撃を実行する機能は一切なく、手口を知って守りに活かすための静的な早見表です(防御・教育目的)。
- Q. どんな脅威を収録していますか?
- A. ランサムウェア・ClickFix・プロンプトインジェクション・BEC・ディープフェイク・フィッシング・セッションハイジャック・サプライチェーン攻撃・クラウド設定ミス・SQLi・SIMスワップ・DDoS・ゼロデイの13件です。
- Q. 分類の色分けは何の役に立ちますか?
- A. 「心理/技術/認証/インフラ/AI」のどこを突く攻撃かが一目で分かり、自社の弱い面(人の油断か、設定か、認証か)から優先的に手当てできます。
- Q. 検索した攻撃名は外部に送られますか?
- A. いいえ。検索・絞り込みはすべてブラウザ内で完結し、入力はサーバに送られません(送信ゼロ)。
- Q. 「体験する」リンクは何ですか?
- A. フィッシング・SQLi・TOTP・ClickFix・プロンプトインジェクションなど、totonoe内に手口を安全に体感できるツールがある脅威は、各カードからそのツールへ移動できます。
- Q. これだけ守れば安全ですか?
- A. 収録は主要な13件で、すべてを網羅したものではありません。末尾の最重要3原則(ゼロトラスト/迅速なパッチ/心理ハック耐性)を土台に、最新情報も合わせてご確認ください。
入力値はURLの「#」以降に入るためサーバーには送信されません。リンクを開くと同じ状態を復元します。
RELATED TOOLS
続けて整える
