セキュリティ脅威マップ(攻撃視点の分類ハブ)

専門知識がなくても セキュリティの全体像をひと目でつかめる「目次」 です。 「攻撃者はどこから入ってくるのか?」を 11の入口 に分けて、ひとつずつやさしく説明します。気になった入口から、くわしい解説ページへ進めます。全11ジャンルの解説ページが揃いました。

⚠️ この教材について — これは LLM(生成AI)で作成したプロトタイプ です。正確を期していますが、内容に誤り・古い情報・不正確な記述が含まれている可能性があります。間違いに気づいたら、PR(プルリクエスト)または Issue で教えてください 🙏 — みなさんの指摘で、より正確で役立つ教材に育てていきます。


1. このページについて

  • だれのため? … エンジニアでない人もふくめ、全員のため。
  • 何がわかる? … ①攻撃はどこから来るのかの全体像、②それぞれの入口で何に気をつければいいか
  • どう読む? … まず下の「2. たとえ話」で大枠をつかみ、「4. 11の入口(目次)」で気になる項目を見つけ、「5. 各入口をやさしく解説」で中身を読む。

各ページは 2つのレベル で書いています。

  • 🟢 基礎(全員向け) … 「何に気をつけ、何をしてはいけないか」。むずかしい設定の話は出てきません。
  • 🔧 応用(つくる人・運用する人向け) … 具体的な設定・対策。エンジニア担当者がここを押さえます。

2. まず全体像 — セキュリティは「家を守る」のと同じ

セキュリティは、大事なもの(お金や情報)を、どろぼう(攻撃者)から守ることです。 どろぼうが家に入ろうとするとき、ねらう場所は大きく 4つ に分けられます。

  1. 🚪 玄関で、住んでいる人をだます … 「宅配です」と言って開けさせる。鍵そのものよりをねらう。
  2. 🏠 建物そのものをこじ開ける … 窓を割る、配線を切る、合鍵をつくる。機械やネットワークをねらう。
  3. 🔐 金庫と鍵の管理ミスを突く … 暗証番号のメモを見つける、金庫の扉が開けっぱなし。しまい方をねらう。
  4. 🔄 出入りする人を利用する … 配達業者になりすます、元従業員が合鍵を返していない。取引先や内部の人を突く。

この4つが、次に出てくる 4つのエリア にそのまま対応します。

たとえ このページのエリア キーワード
🚪 玄関で人をだます エリアA:人をだます・その場をねらう フィッシング・覗き見
🏠 建物をこじ開ける エリアB:機械・ネットワーク・土台 ウイルス・乗っ取り
🔐 金庫と鍵の管理 エリアC:クラウドとアプリの中身 設定ミス・実装の穴
🔄 出入りの人 横断:取引先と内部の人 部品の汚染・内部不正

※ この表は「たとえ」と「エリア」を結ぶ早見表だけに使い、くわしい中身は箇条書きで説明します。


3. このマップの並び方

入口は、攻撃される場所が 外側(人)から内側(コンピューターの中身)へ 進む順番に並んでいます。

人 → 機械・ネットワーク → クラウド・アプリの中身 → (どこにでも入りこむ横断型)

身近で「気づきやすい」ものから始まり、だんだん技術的なものになります。最後の2つ(横断型)は、どのエリアにもまたがって入りこんでくるタイプです。


4. 11の入口(目次)

タイトルをクリックすると、その入口のくわしい解説ページへ進めます。

🚪 エリアA:人をだます・その場をねらう(いちばん身近)

  1. なりすまし・フィッシング — 本物のふりをして、パスワードやお金をだまし取る
  2. 物理・アナログ — ゴミあさり・覗き見・落ちているUSB

🏠 エリアB:機械・ネットワーク・土台をねらう

  1. マルウェア(悪いソフト) — ウイルスやランサムウェアで、こわす・盗む・人質にとる
  2. メール・チャットの乗っ取り — アカウントを奪い、そこを足場に被害を広げる
  3. DNS・ドメイン — インターネットの「住所録」を書きかえて偽サイトへ誘導
  4. インフラ(OS・機器) — 土台のソフトを古いまま放置した「すきま」を突く

🔐 エリアC:クラウドとアプリの中身

  1. クラウド設定・鍵の管理 — 公開設定ミスや鍵の置き忘れで、中身が丸見えに
  2. Webの表側(フロントエンド) — 見ているページに悪いしかけを仕込む
  3. Webの裏側(バックエンド) — サービスの裏側の作りの甘さを突いて情報を抜く

🔄 横断:取引先と内部の人(どのエリアにもまたがる)

  1. サプライチェーン — 使っている「部品」や取引先が汚染されて巻き込まれる
  2. 内部不正(中の人) — 正規の権限を持つ社員・退職者が持ち出す・悪用する

📌 実際の攻撃は、これらを“組み合わせて”くる — 偽の採用・面接、OSSのDMからの罠、ディープフェイク会議、MFAの回避など、最近の複合型の事例は 付録:最近の手口と「組み合わせ型」攻撃 にまとめました。


5. 各入口をやさしく解説

各入口を「ひとことで/たとえば/まずの一歩」の3点で説明します。くわしくは各ページへ。 🎬 マークは、IPA(情報処理推進機構)などの わかりやすい解説動画 があるものです。

🚪 エリアA:人をだます・その場をねらう

1. なりすまし・フィッシング 🎬

  • ひとことで:会社・銀行・上司などの「本物のふり」をして、パスワードやお金をだまし取る。
  • たとえば:「アカウントが止まりました」という偽メールのリンクから、偽ログイン画面にパスワードを入れてしまう。
  • まずの一歩(🟢):急かすメッセージのリンクは踏まない。検索結果の広告枠・QRコードも鵜呑みにしない。パスワードは公式アプリ/ブックマークから入り直して入力する。
  • 📄 くわしく → なりすまし・フィッシング系の攻撃と対策解説ページ完成

2. 物理・アナログ

  • ひとことで:コンピューターを攻撃する前に、「その場(紙・画面・人)」から情報を盗む、いちばんアナログな手口。
  • たとえば:捨てた書類をゴミ箱からあさる、カフェで肩ごしに画面を覗き見る、わざと落としたUSBを拾わせて挿させる。
  • まずの一歩(🟢):大事な書類はシュレッダー、席を離れるときは画面ロック、拾ったUSBは挿さない。
  • 📄 くわしく → 物理・アナログ系の攻撃と対策解説ページ完成

🏠 エリアB:機械・ネットワーク・土台をねらう

3. マルウェア(悪いソフト) 🎬

  • ひとことで:パソコンやスマホに「悪いソフト」を入れて、こわす・盗み見る・データを人質にとる(ランサムウェア)。
  • たとえば:メールの添付ファイルを開いた瞬間に感染し、ファイルが全部暗号化されて「戻したければお金を払え」と要求される。
  • まずの一歩(🟢):あやしい添付・リンクは開かない。OSとアプリは最新に保つ。大事なデータはバックアップ。
  • 📄 くわしく → マルウェア系の攻撃と対策解説ページ完成

4. メール・チャットの乗っ取り 🎬

  • ひとことで:メールやSlack/Teamsのアカウントそのものを奪い、そこを足場に被害を一気に広げる。
  • たとえば:メールを乗っ取られると、他サービスの「パスワード再設定」を次々に悪用される(メール=あらゆるサービスの“合鍵”)。
  • まずの一歩(🟢):メールと主要アカウントには必ず多要素認証(MFA)をかける。
  • 📄 くわしく → コミュニケーション基盤系の攻撃と対策解説ページ完成

5. DNS・ドメイン

  • ひとことで:インターネットの「住所録(どの名前がどのサーバーか)」を書きかえて、人を偽サイトへ誘導したり、サイトを乗っ取る。
  • たとえば:正しいURLを打ったのに、住所録が汚染されていて偽サイトへ飛ばされる。会社のドメインそのものを奪われることも。
  • まずの一歩(🟢):URLバーの鍵マークや正しいドメイン名を確認する。英字そっくりの別言語文字を使った偽ドメインにも注意(運用側の対策が中心の領域)。
  • 📄 くわしく → DNS・ドメイン系の攻撃と対策解説ページ完成

6. インフラ(OS・機器)

  • ひとことで:サーバー・ルーター・VPN機器など「土台」のソフトを古いまま放置すると、その“すきま”から入られる。
  • たとえば:何年も更新していない機器の既知の弱点を突かれて侵入される。
  • まずの一歩(🟢):使っている機器やアプリの「アップデートのお知らせ」を放置しない(具体策は運用担当が🔧で対応)。
  • 📄 くわしく → インフラ系の攻撃と対策解説ページ完成

🔐 エリアC:クラウドとアプリの中身

7. クラウド設定・鍵の管理

  • ひとことで:クラウド(AWS/Google等)の公開設定ミスや、パスワード・鍵の置き忘れで、中身が誰でも見える状態になる。
  • たとえば:本来は社内だけのファイル置き場が「全世界に公開」設定のまま、機密情報が丸見えになる。
  • まずの一歩(🟢):パスワードや鍵をメール・チャット・公開メモに貼らない(設定の点検は🔧で)。
  • 📄 くわしく → クラウド設定・鍵管理系の攻撃と対策解説ページ完成

8. Webの表側(フロントエンド)

  • ひとことで:人が見ているWebページに悪いプログラムを仕込み、訪れた人をだましたり操作を乗っ取る。
  • たとえば:掲示板の書き込みに悪意のしかけが混ざり、見ただけで他人の情報が盗まれる(XSSなど)。
  • まずの一歩(🟢):見覚えのないポップアップや「許可して」に安易にOKしない(実装対策は🔧)。
  • 📄 くわしく → フロントエンド実装系の攻撃と対策解説ページ完成

9. Webの裏側(バックエンド)

  • ひとことで:Webサービスの裏側(データベースなど)の作りの甘さを突いて、情報をまとめて抜き取る。
  • たとえば:入力欄に細工した文字を入れると、本来見えないはずの会員情報が全部出てきてしまう(SQLインジェクションなど)。
  • まずの一歩(🟢):利用者側でできることは少なく、作る人の対策が中心(だからこそ🔧が重要)。
  • 📄 くわしく → バックエンド実装系の攻撃と対策解説ページ完成

🔄 横断:取引先と内部の人

10. サプライチェーン

  • ひとことで:自分は無事でも、使っている「部品(外部のソフト・取引先)」が汚染され、まきこまれて被害を受ける。
  • たとえば:広く使われている無料の部品ソフトに悪いコードが仕込まれ、それを取り込んだ全員が一斉に被害に遭う。
  • まずの一歩(🟢):出どころのあやしいソフト・拡張機能を不用意に入れない(依存の管理は🔧)。
  • 📄 くわしく → サプライチェーン系の攻撃と対策解説ページ完成

11. 内部不正(中の人)

  • ひとことで:正規の権限を持つ社員・退職者・委託先が、情報を持ち出す・悪用する。「合鍵を持つ人」の問題。
  • たとえば:退職する人が顧客データを持ち出す、辞めた人のアカウントが消されずに残って悪用される。
  • まずの一歩(🟢):必要な人に必要な分だけ権限を渡す。退職・異動時はアカウントを必ず止める。
  • 📄 くわしく → 内部不正系の攻撃と対策解説ページ完成

6. 各ページの共通フォーマット

各入口の解説ページは、すべて同じ並びで書いています(迷わず読めるように)。

  1. 概要 — このジャンルの攻撃を、ひとことで
  2. 主な手口 — どんなバリエーションがあるか
  3. 実例・典型シナリオ — 「あるある」を具体的に
  4. 対策 — 🟢 基礎(全員)/ 🔧 応用(つくる人・運用)
  5. 解説動画 — IPA等の 実在を確認した 動画(サムネイル → クリックで再生)
  6. チェックリスト — その場で使える確認項目
  7. 関連ジャンル・出典 — クロスリンクと一次情報源

7. もっと知りたい人へ(信頼できる情報源)

  • IPA(情報処理推進機構)映像で知る情報セキュリティ情報セキュリティ10大脅威(初心者にいちばんおすすめ)
  • JPCERT/CC — 最新の注意喚起・インシデント情報
  • NIST — Cybersecurity Framework(CSF)(国際的な定番フレームワーク)
  • OWASP — Web実装の弱点トップ10(エンジニア向けの定番)
  • MITRE ATT&CK — 攻撃手口のカタログ(応用・実務向け)

関連ページ


付録:このページの設計メモ(運営向け)

教育コンテンツとして量産する前に決めた方針。読者向けの本文ではなく、つくる側のメモ。

  • 全11ジャンル・4エリア構成 … 攻撃面が「外側(人)→ 内側(コード)」へ移る順に並べ、サプライチェーンと内部不正は層をまたぐ「横断」として最後に置く。
  • インフラは1ページに統合 … OS/ミドルウェアと機器/USB等は守りの方向性(更新・設定の見直し・分離)が共通のため security-infrastructure に集約。肥大化したら分割を再検討。
  • 内部不正は独立ジャンル … 攻撃者が“正規権限を持つ内部者”である点が外部攻撃と本質的に異なり、防御策(最小権限・職務分掌・監査・オフボーディング)も独自のため独立ページに。
  • 動画はサムネイル+クリック再生 … IPA動画は埋め込み不可のものがある/ファイル直開き(file://)でも壊れない/削除・地域制限時も安全に劣化する、の3点から。

Table of contents