標的型攻撃メールとは？見分け方から対策、開いてしまったときの対処法まで解説

「標的型攻撃メールとはどんなものなのか？」
「本当に自社は守れているのだろうか？」
このような不安を感じていませんか。
見た目は普通のメールでも、実は巧妙に仕組まれた罠かもしれません。もしだまされてしまえば、情報漏えいや会社の信用を失うといった大きな問題に発展する恐れがあります。
標的型攻撃メールとは、特定の企業や組織を狙い、重要な情報を盗み取ったりシステムに侵入したりすることを目的とした悪意のあるメールを指します。
この記事では、標的型攻撃メールの正体と手口をわかりやすく解説し、どう見分ければいいのか、どう対策をすればいいのかまでまとめています。
この記事を読むことで、標的型攻撃メールのリスクを正しく理解でき、自社を守るために今、何をすべきかがはっきりわかるようになります。
「知らなかった」ではすまされない今、正しい知識と備えを一緒に身につけていきましょう。

1.標的型攻撃メールとは「特定の相手から情報を盗むために送られる悪意あるメール」のこと

標的型攻撃メールとは、特定の企業や組織、または個人を狙って重要な情報を盗んだり、システムに不正に侵入したりすることを目的として送られる、非常に巧妙な偽装メールのことを指します。

一般的な迷惑メールとは違い、標的型攻撃メールは送信先を絞り込み、相手がつい開封してしまうように作り込んでいるのが特徴です。その背景には、SNSや企業のホームページ、過去の情報漏えいなどを通じて、事前に相手の所属部署や取引先などの情報が収集・悪用されている可能性があります。

たとえば、取引先からの連絡を装ったり、社内システムの通知に見せかけたりして、受信者に警戒心を抱かせないようにしています。
このため、標的型攻撃メールはぱっと見ただけでは見抜くのが難しくなっています。
万が一、添付ファイルを開いたり、記載されたリンクをクリックしたりすると、ウイルス感染や情報漏えいといった深刻な被害につながる恐れがあります。

近年では、AI技術を悪用して文面がより自然になっており、誰でもだまされる可能性があるため、単なる知識だけでなく、日頃からの警戒心と適切な対策が不可欠です。

2.知らなかったでは済まされない標的型攻撃メールの4つの手口

標的型攻撃メールの手口において、代表的なものは以下の4つです。

• 添付ファイル型攻撃
• リンク型攻撃
• ビジネスメール詐欺（BEC）
• 返信誘導型攻撃

いずれの手口も巧妙かつ悪質なものばかりです。事前に把握しておき、被害の発生に備えましょう。

(1)添付ファイル型攻撃

添付ファイル型攻撃とは、標的型攻撃メールの中でもとくに多い手口の一つです。

攻撃者は、ウイルスなどの不正なプログラムを仕込んだファイルをメールに添付し、受信者に開かせようとします。
ファイルの形式は、WordやExcel、PDFなど、業務でよく使われるものが選ばれるため、見た目では危険かどうかを判断するのが難しいことが特徴です。
たとえば、「請求書のご確認をお願いします」や「採用面接の日程について」など、受信者にとって重要そうな内容を装い、添付ファイルを開かせようとするケースが多く見られます。
一度ファイルを開いてしまうと、パソコンにウイルスが感染し、社内ネットワーク全体に被害が広がる恐れもあります。
IPA（情報処理推進機構）は、2022年2月から3月にかけて、日本国内組織でのEmotetへの感染被害が大幅に拡大したことを報告しています。
とくに、請求書に関する具体的な指示が自然な日本語で書かれた攻撃メールが確認され、添付されたExcelファイルには悪意のあるマクロが仕掛けられていたことが明らかにされています。
参考：IPA「感染被害の大幅拡大/日本語で書かれた新たな攻撃メール」
このような攻撃を防ぐためには、送信元やメールの内容に少しでも不審な点があれば、安易に添付ファイルを開かないことが重要です。

(2)リンク型攻撃

リンク型攻撃とは、メール本文の中に一見正規のものに見えるリンクを仕込み、受信者をだましてクリックさせようとする手口です。

リンク先は偽のログインページや、ウイルスに感染させるために作られたサイトであることが多く、うっかり情報を入力したり、ファイルをダウンロードしたりすると、大きな被害につながる危険があります。

たとえば、「パスワードの再設定が必要です」「重要なお知らせがあります」といった不安をあおる文面を使い、急いでクリックさせようとするケースが典型的です。
また、リンクの表示上は正しいURLのように見せかけて、実際にはまったく別の危険なサイトに誘導する巧妙な手口もあります。
2020年、三菱電機は社内ネットワークへの不正アクセスを受け、個人情報や機密情報が漏えいする事案が発生しました。
攻撃者は、偽装されたメールを通じてリンクをクリックさせ、マルウェア（コンピュータやネットワークに害を与えるために作られたプログラム）を感染させる手口を用いたと報告されています。
参考：三菱電機株式会社「不正アクセスによる個人情報と企業機密の流出可能性について」
リンク型攻撃を防ぐためには、たとえ知っている相手からのメールでも、リンクを不用意にクリックしないことが重要です。
また、リンクにマウスカーソルを合わせて、実際のURLを事前に確認する、公式サイトに自分でアクセスして確認するなど、日頃から慎重な行動を心がけることが重要です。

(3)ビジネスメール詐欺（BEC）

ビジネスメール詐欺（BEC：Business Email Compromise）とは、取引先や経営者になりすまして偽のメールを送りつけ、金銭や機密情報をだまし取ろうとする標的型攻撃の手口です。

この詐欺は、件名や文面がとても自然で本物のやり取りに近いため、受信者が疑わずに指示に従ってしまうことがあります。
たとえば、「至急、指定の口座に振り込んでください」や「会計処理の変更があるため、新しい情報を反映してください」といった内容で、担当者を焦らせ、確認を省略させようとするケースが多く見られます。
また、社内でよく使われている言い回しや、上司の口調を真似るなど、事前に調査された情報を活用して信ぴょう性を高めてくる点が非常に厄介です。
2019年、トヨタ紡織株式会社は、ヨーロッパの子会社を通じて約3,700万ドル（約40億円）の不正送金被害を受けました。攻撃者は、取引先を装った偽のメールを送信し、従業員を騙して資金を指定の口座に振り込ませる手口を用いました。
参考：「What Is Business Email Compromise (BEC)?」
このような攻撃を防ぐには、メールだけで振込や手続きの判断をしないルールづくりが重要です。
たとえ上司や社長を名乗るメールであっても、少しでも違和感があれば、電話などで確認する必要があります。

(4)返信誘導型攻撃

返信誘導型攻撃とは、受信者にメールの返信を促し、やり取りを重ねることで信頼を得ながら情報を引き出したり、不正なファイルを送ったりする手口です。

最初のメールにはウイルスや不審なリンクは含まれていないため、セキュリティシステムをすり抜けやすく、見落とされやすいのが特徴です。
たとえば、「見積書の件で確認したいことがあります」「この資料に問題がないかご意見いただけますか」といった、業務でよくあるやり取りを装い、返信を引き出そうとします。
返信をすると、次のメールでファイルが添付されたり、より具体的な情報提供を求められたりして、徐々に被害が広がっていきます。
ビジネス＋ITによると、攻撃者が採用希望者を装って企業のウェブサイトから問い合わせを行い、返信した採用担当者に対して履歴書等の送付を装った標的型メールを送付する事例が報告されています。

このような攻撃では、不正プログラムを仕込んだファイルがパスワード付きで圧縮されており、担当者がパスワードを尋ねると、攻撃者が返信でそれを教えるという複数回のやりとりが行われました。
参考：ビジネス＋IT「標的型攻撃が1000件超え、やりとり型など7つの具体事例を紹介」
この攻撃も受信者の警戒心を少しずつ下げながら目的を達成しようとする点で巧妙かつ危険です。
とくに、担当者レベルで個別対応をしている場合、上司への確認や周囲との共有が行われにくく、被害に気づくのが遅れてしまうことがあります。

防止するには、少しでも違和感を覚えたメールには安易に返信せず、社内で情報を共有し、必要に応じて上司やセキュリティ担当者に確認することが重要です。

3.標的型攻撃メールの見分け方7選

標的型攻撃メールは、通常のメールとどのように見分ければよいのでしょうか。具体的な見分け方は、以下の7つです。

• 送信元アドレスを細かく確認する
• 添付ファイルやリンクが含まれている
• メールの文面に不自然な箇所がある
• 送信者や内容に心当たりがない
• exe/scr形式のファイルが添付されている
• 署名の内容が異なっている
• ファイル形式とアイコンが一致しているかを確認する

ひとつずつ見ていきましょう。

(1)送信元アドレスを細かく確認する

標的型攻撃メールを見分ける上で、まず確認すべきなのが送信元アドレスです。

一見すると正しい会社名や担当者名が表示されていても、実際のメールアドレスをよく見ると、ごくわずかに異なっていたり、別のドメインが使われていたりする場合があります。

たとえば、正しいアドレスが「@example.co.jp」であるのに対し、攻撃メールでは「@examp1e.co.jp」や「@example.com」など、ぱっと見では気づきにくい場合があります。
このように、本物そっくりに見せかけている点が、標的型攻撃メールの非常に巧妙なところです。
また、送信者の表示名が本物であっても、それだけで安心してはいけません。
メールソフトによっては、表示名だけを見せてアドレスを隠してしまうこともあるため、「差出人名」ではなく、「実際の送信元アドレス」をきちんと確認することが重要です。

(2)添付ファイルやリンクが含まれている

標的型攻撃メールの多くには、添付ファイルや外部リンクが含まれています。

これらは、受信者に開かせたり、クリックさせたりすることで、ウイルス感染や情報の抜き取りなどを狙うものです。
とくに業務に関係がありそうな内容や、緊急性を感じさせる文面で注意を引き、反射的な操作を誘います。
2016年6月、大手旅行代理店のJTBは、標的型攻撃メールにより約793万人分の個人情報が流出する事件を経験しました。
攻撃者は、実在する取引先を装ったメールをJTBの子会社の職員に送信し、添付されたPDFファイルを開かせることでマルウェアに感染させました。
このマルウェアには、社内ネットワークに侵入し、顧客情報を含むデータを外部に送信する機能が備わっていたと報告されています。
参考：ITmediaNEWS「JTBに不正アクセス、793万人の個人情報流出の恐れ　パスポート情報も」
こうしたメールの怖いところは、見た目が本物に近く、文面も自然なため、普段から注意していないと見抜くのが難しい点です。
しかし、添付ファイルやリンクがあるからといってすべて危険というわけではなく、「誰から来たのか」「本当に必要なものか」を冷静に判断することが大切です。

(3)メールの文面に不自然な箇所がある

標的型攻撃メールを見分ける際には、文面に不自然な点がないかを丁寧に確認することが重要です。

たとえば、敬語の使い方がぎこちない、文の構成が不自然、句読点の使い方に違和感があるといった場合、それは翻訳ソフトや自動生成ツールを使って作成された可能性があります。
近年では、ChatGPTなどの生成AIが悪用され、より自然な日本語のメールが作られるようになっています。
一見すると違和感のない文面でも、社内の言葉づかいや過去のやり取りと比較すると微妙な違いがある場合があります。

たとえば、「お世話になっております」と始まりながらも、語尾が不自然に断定的だったり、句読点が不統一だったりといった細かいズレです。
また、AIを使って作られたメールは、内容が一見まとまっていて丁寧に見えるものの、実際には要点が曖昧だったり、必要な情報が抜け落ちていたりすることがあります。
このようなそれらしく見えるけれど本質がぼやけている文章も、見分けるうえでのヒントになります。

(4)送信者や内容に心当たりがない

「その送信者や内容に心当たりがあるかどうか」も確認すべきポイントのひとつです。

過去にやり取りのない相手から突然届いたメールや、依頼内容にまったく覚えがないものには、とくに注意しましょう。
たとえば、「請求書のご確認をお願いします」や「面談日程の件でご連絡いたしました」など、業務でよくあるような件名でも、自分が関与していない内容であれば、安易に開かず慎重に対応すべきです。
実際に、こうした一見自然な文面を使い、不審に思わせないよう仕掛けてくるケースが増えています。
そのため、過去のやり取りがあるかどうか、業務上つながりのある部署や人物かどうかを、メールの本文だけでなく、差出人のアドレスや会社名まで含めて確認することが重要です。

(5)exe/scr形式のファイルが添付されている

標的型攻撃メールを見分ける際には、添付ファイルの形式にも注意を払う必要があります。

とくに「.exe」や「.scr」といった拡張子を持つファイルが添付されている場合は、危険度は極めて高いです。
「.exe」はWindowsの実行ファイルを意味し、開いた瞬間にプログラムが動き出すため、ウイルスが自動的にインストールされる恐れがあります。
「.scr」は画面のスクリーンセーバーを装ったファイル形式ですが、これも実態は実行ファイルであり、悪質なプログラムを仕込む手段としてよく使われます。
通常の業務で、これらの形式のファイルをメールでやり取りする機会はほとんどありません。
たとえ、送信者が知っている相手であっても、こうしたファイルが添付されていた場合は、むやみに開かず、まずは相手に確認するか、システム担当者へ相談するようにしましょう。

(6)署名の内容が異なっている

標的型攻撃メールを見分けるポイントのひとつに、「署名の内容に違和感がないか」にも目を配っておきましょう。
メールの文面が自然であっても、最後に記載された署名の情報がいつもと異なっている場合は注意が必要です。

たとえば、普段やり取りをしている相手であれば、所属部署や役職、電話番号、会社の住所などの署名内容はある程度決まっているはずです。
それにもかかわらず、会社名が省略されていたり、電話番号が見慣れないものだったり、部署名が記載されていなかったりする場合は、不正なメールである可能性があります。
攻撃者はメールアドレスや名前を偽装しても、署名の細かな情報までは把握していないことが多く、ここにズレが現れやすいのです。
署名はつい見落としがちな部分ですが、「いつもと同じか」「内容に間違いはないか」といった視点で確認することで攻撃メールを見抜く手がかりになります。

(7)ファイル形式とアイコンが一致しているかを確認する

ファイルの見た目を偽装し、受信者に不審感を抱かせないよう仕掛けてくる攻撃もあります。
そのため、添付ファイルを開く前に、「ファイル形式」と「アイコン」が一致しているかを確認することが大切です。
たとえば、アイコンがPDFのように見えていても、実際の拡張子が「.exe」や「.scr」であれば、それはウイルスを実行させるための偽装ファイルである可能性があります。
攻撃者は、だましやすくするためにファイル名を「請求書.pdf.exe」のように設定し、拡張子を2重にする手口を使うことがあります。
また、パソコンの設定によっては、拡張子が表示されず、見た目だけでは判別がつかない場合もあります。
そのため、「アイコンの見た目＝安全」と思い込まず、ファイルのプロパティを確認する、拡張子を常に表示する設定にしておくなど、基本的な対策を徹底しましょう。

4.企業が取るべき標的型攻撃メールの6つの対策

標的型攻撃メールを事前に防ぐことはできないのでしょうか。企業が取るべき対策は以下の6つです。

• 怪しいと思ったらファイルやメールを開かない
• セキュリティ対策を導入する
• OS・ソフトウェアを最新の状態にしておく
• 従業員への教育を実施する
• 公開情報の定期的な見直しを行う
• CSIRTの設置や強化を行う

いずれの対策も単体で行うのではなく、複合的に実施することが大切です。順番に解説していきます。

(1)怪しいと思ったらファイルやメールを開かない

標的型攻撃メールからの攻撃を防ぐために、最も基本でありながら重要なのが、「少しでも怪しいと感じたら、ファイルやメールを開かない」という意識です。

どれだけ技術的な対策を講じていても、最終的にメールを開くかどうかは人の判断にゆだねられます。
そのため、受信者一人ひとりの慎重な対応が、被害を防ぐ最後の防衛線となります。
たとえば、「いつもと違う言い回し」「不自然な差出人」「内容に心当たりがない」といった違和感がある場合は、すぐに開封せず、周囲に相談することが大切です。
「念のため確認してから対応する」という行動が、大きなリスクを回避する一手になります。

(2)セキュリティ対策を導入する

標的型攻撃メールから企業を守るには、従業員の注意力だけに頼らず、技術的なセキュリティ対策を導入することが欠かせません。

攻撃の手口が年々巧妙になっている今、人的対策とシステム対策を両輪で進めていくことが求められています。
具体的には、ウイルス対策ソフトやスパムフィルターの導入はもちろん、近年ではEDR（エンドポイント検知・対応）や、メールの内容をAIで解析するセキュリティ製品なども活用されています。
とくに、従来型のウイルス対策では防げない「ファイルレス攻撃」に対抗するため、端末の挙動を監視し、異常を検知・追跡するEDRの導入は重要です。
たとえば、本文や添付ファイルの挙動を事前に検査する「サンドボックス型」の仕組みを導入することで、未知の脅威にも対応することができます。
セキュリティソフトの代表的なものは以下のとおりです。

名称	公式サイト	特徴
Trend Micro Apex One	https://www.trendmicro.com/ja_jp/business.html	ウイルス対策、EDR、XDRなどを単一エージェントで提供し、SaaSとオンプレミスの両方に対応。
Symantec Endpoint Security（Broadcom）	https://jp.broadcom.com	単一エージェントで包括的なエンドポイントセキュリティを提供し、AIによる攻撃検知機能を搭載。
Microsoft Defender for Endpoint	https://www.microsoft.com/ja-jp/security	Microsoft 365と連携し、AIを活用した脅威検出や自動修復機能を備える。

また、セキュリティ対策は導入後も継続的に更新・管理していく必要があります。

攻撃者は日々新たな手口を生み出しており、ソフトウェアの更新や設定の見直しを怠ると、せっかくの対策も効果を発揮できなくなります。
導入する製品やサービスは、企業の規模や業種、扱う情報の重要性に応じて選定しましょう。

(3)OS・ソフトウェアを最新の状態にしておく

OS（基本ソフト）や業務で使用する各種ソフトウェアを常に最新の状態に保つことも、標的型メール攻撃から守るためには欠かせません。
これはセキュリティ対策として最も基本かつ効果的な取り組みの一つです。
攻撃者は、古いソフトやOSに残された「脆弱性（ぜいじゃくせい）」と呼ばれるセキュリティのすき間を狙って侵入を試みます。
古いソフトウェアやサポートが終了したソフトウェアを使用し続けることは、セキュリティ上の大きなリスクとなります。
サポートが終了したソフトウェアには、セキュリティパッチが提供されず、既知の脆弱性が修正されないまま放置されるため、攻撃者にとって格好の標的となるからです。
とくに、メールソフトやブラウザ、ファイル閲覧ソフトなど、日常的に外部と接点を持つアプリケーションは狙われやすいため、更新の確認と実施を習慣化することが重要です。

(4)従業員への教育を実施する

どれほど高度なセキュリティ対策を導入していても、最後にメールを開くのは人です。
そのため、従業員への継続的な教育は、企業全体を標的型攻撃メールから守る上でとても重要です。

• 教育の内容としては、
• 標的型攻撃の手口や見分け方
• 実際の事例
• 開いてしまった際の対応方法

など、実務に直結する情報を中心に構成することが効果的です。
また、単なる座学で終わらせるのではなく、模擬メールを用いた訓練やクイズ形式のチェックなど、参加者の理解度を高める工夫も有効です。
教育は一度きりで終わるものではなく、攻撃の手口が進化するのにあわせて定期的に実施し、常に最新のリスクに対応できる体制を整える必要があります。

(5)公開情報の定期的な見直しを行う

標的型攻撃メールを防ぐには、自社が外部に公開している情報を定期的に棚卸しし、リスクのある情報の公開を控えることが重要です。

なぜなら、攻撃者は事前に企業の公開情報を調査し、それを元にした信ぴょう性の高い攻撃メールを作成するからです。
たとえば、ホームページやプレスリリースに記載された「部署名」「担当者名」「業務内容」などを利用して、実在の人物を装ったなりすましメールを送るケースもあります。
そのため、担当者の個人名や直通メールアドレスの公開は必要最小限にとどめる、異動済みの情報を速やかに削除する、業務内容の詳細な記載は控えるといった情報管理の見直しが必要です。

(6)CSIRTの設置や強化を行う

標的型攻撃メールの被害を最小限に抑えるには、攻撃が発生した際にすぐ対応できる体制を整えておくことが重要です。
そのために必要なのが、「CSIRT（Computer Security Incident Response Team：シーサート）」と呼ばれる専門チームの設置です。

CSIRTとは、「コンピューターセキュリティに関する事故への対応チーム」のことで、ウイルス感染や情報漏えいといったトラブルに対して、調査や対処を担う役割があります。
このチームが社内に存在していれば、万が一のときにも迅速に状況を把握し、関係部署と連携しながら被害の拡大を防ぐことが可能です。
また、トラブルの対応だけでなく、日ごろから不正アクセスの監視を行ったり、注意すべき情報を社内に共有したりすることで、全体のセキュリティ意識を高めることにもつながります。

5.標的型攻撃メールを開いてしまった時の対処法

事前に対策を実施していたとしても、100％標的型攻撃メールを防げるわけではありません。
最後に、万が一、標的型攻撃メールを開いてしまった時の対処法についてお伝えします。

(1)外部との通信を切断する

もし誤って標的型攻撃メールを開いてしまった場合、最初に取るべき行動のひとつが「外部との通信をただちに切断すること」です。

ウイルスやマルウェアが仕込まれていた場合、パソコンが外部の攻撃者と通信を始め、情報を勝手に送信してしまう危険があります。
ファイルを開いた直後やリンクをクリックした直後には、まだ被害が表に出ていなくても、不正な通信がすでに始まっている可能性も。そのため、すぐにインターネット接続を遮断することが、被害拡大の防止につながります。
具体的には、Wi-Fiや有線LANをオフにする、ネットワークケーブルを抜くなど、物理的に通信を止める方法が確実です。
初動の対応が早ければ早いほど、企業全体への被害を最小限にとどめることができます。

(2)社内のセキュリティ担当者へ迅速に報告する

標的型攻撃メールを開いてしまった場合、迷わず社内のセキュリティ担当者や情報システム部門へ迅速に報告することが何よりも重要です。
自分で判断して対応しようとすると、かえって被害が広がる恐れがあるため、初動対応は専門部署に委ねることが基本です。
たとえば、ウイルスがすでに動作している場合、ネットワーク内の他のパソコンにも感染が広がる可能性があります。
このような二次被害を防ぐためにも、できるだけ早く状況を共有し、全体で対応を開始できるようにする必要があります。
報告の際には、「どのようなメールを受信し」「どのリンクをクリックしたか」「添付ファイルを開いたかどうか」など、できるだけ正確に伝えることが大切です。
該当のメールそのものは削除せず、調査のために保存しておくようにしましょう。
誤って開いてしまったこと自体を責めるのではなく、早めの報告が組織全体の被害を最小限に抑えるという意識を忘れてはいけません。

6.まとめ

標的型攻撃メールとは、特定の企業や個人を狙い、情報の盗難やシステムへの侵入を目的として送られる悪意あるメールのことです。

その手口には、ウイルスを仕込んだ添付ファイルや偽のリンク、返信を誘導するやり取り型、さらには社内の関係者を装ったビジネスメール詐欺（BEC）など、さまざまな種類があります。
攻撃を見分けるためには、送信元のアドレスや署名の不自然さ、ファイルの形式、メール文面の違和感などに注意を払うことが大切です。
また、万が一開いてしまった場合は、すぐに外部との通信を切断し、速やかに報告するなど、適切な初動対応が被害拡大を防ぎます。
企業としては、技術的な対策とあわせて、従業員への教育や訓練を継続的に行い、組織全体で防御力を高めていくことが重要です。

「標的型攻撃メールのような巧妙な手口に、わが社は本当に対応できているだろうか？」
「気づかないままメールを開いてしまい、情報資産が外部に流出する。そんなリスクを見落としてはいないだろうか？」
そうした不安をお持ちの方は、ぜひ認証パートナーにご相談ください。

専門スタッフが無料相談を通じて、貴社の情報資産の管理状況に合わせた最適な対策をご提案いたします。
「何から手をつけるべきか分からない」という段階でも、お気軽にお問い合わせください。