「サイバーセキュリティクラウド」社が発表したレポートから、Webサイトへのサイバー攻撃が過去最高レベルに達したことが明らかになったという。
攻撃は1秒あたり約67回という驚異的な頻度で発生しており、特に大型連休や新年度のシステム変更が集中する春が、攻撃者にとって格好のターゲットシーズンとされている。
当該レポートから2025年4月から6月にかけての約3カ月間に観測されたサイバー攻撃の総数は、5億2,654万件にのぼっており、これは前年の同じ時期と比べて約1.8倍に増加。
Webサイトやサーバー1台あたりが受ける攻撃の数も約2倍に膨れ上がっているとのこと。

古典的な手口と、人気の「WordPress」を狙う攻撃が多発

攻撃の内訳から、「SQLインジェクション」というデータベースに不正な命令を送り込んで個人情報を盗み出す手口、ブログやホームページ作成で広く使われているWordPressの脆弱性を狙った攻撃が依然として多くを占めている。
ソフトウェアを最新の状態に更新していない、あるいは設定に不備があるサイトが、攻撃者の標的になりやすい状況だという。

新手の脅威「サーバー乗っ取り攻撃」が前月の3倍に急増

特に懸念されているのは、「Server Side Request Forgery（SSRF）」と呼ばれる新しいタイプの攻撃が急増している点で、これは攻撃者がサーバーを「踏み台」にして、本来は外部からアクセスできない社内ネットワークなどに侵入する巧妙な手口だという。
この攻撃は、わずか1カ月で件数が約3倍（約200万件増）に跳ね上がっており、クラウドサービスなどを利用する現代のシステムにとって大きな脅威となっている。
また、攻撃元を国別に見ると、1位はアメリカ、2位は日本と、上位の顔ぶれに大きな変化はなかったが、特筆すべきはインド洋の島国「セーシェル」。
昨年は45位でしたが、今年はなんと5位にまで急浮上している。
これは、攻撃者が身元を隠すために、様々な国を経由して攻撃を仕掛けている可能性関係しているとみられている。

なぜ「春」に攻撃が増えるのか？

レポートでは、4月〜6月に攻撃が集中する理由を以下のように分析しています。

・ゴールデンウィークなどの連休中は、企業のシステム管理者が少なくなり、攻撃への対応が遅れがち
・新しいサイトの公開やシステムの入れ替えがこの時期に集中し、設定ミスなどの脆弱性が生まれやすい
・新たなシステムの弱点が発表されると、攻撃者はすぐにそれを悪用しようと一斉に攻撃を仕掛ける（セキュリティ業界では春から夏にかけて、世界中のトップクラスのセキュリティ研究者やハッカーが集まる大規模な国際会議が数多く開催される）

Webサイト管理者は、ソフトウェアを常に最新の状態に保ち、パスワード管理を徹底するなど、基本的な対策を改めて確認することが重要とされている。

【参考記事】
https://www.cscloud.co.jp/