標的型攻撃とは？代表的な3つの手口と経営層が備えるべき5つの対策

「標的型攻撃ってよく聞くけど、自分の会社にも関係あるの？」

「セキュリティ対策はしてるけど、これで本当に大丈夫なのか…」

そんな不安を感じていませんか。

結論からお伝えすると、どんな企業でも標的型攻撃の対象になる可能性があります。

しかも、攻撃者は事前に情報を集めてから仕掛けてくるため、メール一通から大きな被害が出ることもあります。

この記事では、標的型攻撃の意味、どんな手口で攻撃されるのか、そして被害を防ぐために今すぐできる対策まで、解説していきます。

読み終わるころには、あなたの会社が何をすべきかが明確になり、なんとなく不安な状態から、具体的な行動に移せる状態へと変わっていけるはずです。

1.標的型攻撃とは「あらかじめ標的を定めて仕掛けられるサイバー攻撃」のこと

標的型攻撃とは、特定の企業や組織を狙って、事前に計画されたサイバー攻撃のことです。

この攻撃の大きな特徴は、無差別ではなく、あらかじめ特定の企業や組織を標的に定めて実行される点にあります。攻撃者は事前に相手の情報を集め、弱点を調べた上で、メールやファイルを利用して社内ネットワークに侵入しようとします。

たとえば、代表的な手口に標的型攻撃メールがあります。

これは実在の社員や取引先を名乗り業務連絡を装ったメールを送信して、添付ファイルを開かせることでウイルスに感染させたり、社内システムへの侵入を試みたりします。メールの内容はとても自然で、本物のように見えるため、だまされやすく、見分けるのが非常に難しいのが特徴です。

つまり、標的型攻撃はだれでも引っかかる可能性がある、非常に巧妙で危険なサイバー攻撃です。

2.標的型攻撃の代表的な3つの手口

標的型攻撃は、大きく分けて3つの手口に分類されます。

• 標的型メール攻撃
• 水飲み場型攻撃
• ゼロデイ攻撃

順番に解説していきます。

(1)標的型メール攻撃

標的型メール攻撃とは、特定の企業や組織を狙って送られる不正なメールによるサイバー攻撃のことです。

この手口は、実在する社員や取引先を装い、業務連絡を装った内容でメールを送信し、受信者にウイルス付きの添付ファイルを開かせたり、不正なリンクをクリックさせたりすることで感染を広げます。

メールの文面は非常に自然で、実際のやり取りに似せて作られているため、見分けるのが難しいという特徴があります。

たとえば、「請求書のご確認をお願いします」といった日常的なやり取りを装い、警戒心を持たせないように工夫されています。

2015年、日本年金機構の職員宛に「厚生年金制度の見直しに関する意見」という件名の標的型メールが送付され、添付ファイルを開封したことでウイルスに感染し、約125万人分の個人情報が漏洩しました。

参考：日本年金機構「不正アクセスによる情報流出事案に関する調査結果報告について」

このような攻撃は、一度でも開いてしまえば社内ネットワーク全体に影響を及ぼす恐れがあるため、社員一人ひとりが日ごろから注意を払うことが大切です。

(2)水飲み場型攻撃

水飲み場型攻撃とは、標的とする企業や組織の関係者がよく利用するWebサイトにウイルスを仕込み、そこへアクセスした利用者を感染させる攻撃手法です。

この手口は、野生動物が水を飲みに集まる「水飲み場」に例えられ、攻撃者はその習性を利用して待ち伏せをするように、あらかじめ決めたWebサイトを改ざんして罠を仕掛けます。

たとえば、業界団体のサイトや業務に関する専門情報サイトなど、信頼されているページが狙われやすく、利用者が疑うことなくアクセスした時点でウイルスに感染してしまう恐れがあります。

JPCERTコーディネーションセンター（JPCERT/CC）の報告によると、2023年に大学研究室のWebサイトが改ざんされ、訪問者に偽のAdobe Flash Playerのアップデート画面を表示させ、マルウェアをダウンロードさせる水飲み場型攻撃が確認されました。

参考：JPCERT/CC「近年の水飲み場攻撃事例 Part1」

水飲み場型攻撃は、企業に直接メールなどを送らずに感染を広げるため、本人が気づかないうちに被害が発生するという点でも非常に厄介です。

そのため、信頼できるサイトであっても油断せず、セキュリティ対策ソフトを最新の状態に保ち、Webアクセスの制限や監視体制の強化などが必要不可欠です。

(3)ゼロデイ攻撃

ゼロデイ攻撃とは、ソフトウェアやシステムに存在する、開発者にもまだ知られていない脆弱性（プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥）を悪用したサイバー攻撃のことです。

この「ゼロデイ」という言葉は、脆弱性が発見されてから修正されるまでの期間が「0日」、つまり対策が何も取られていない状態で攻撃が行われることに由来しています。

攻撃者はこの情報をいち早く入手し、ソフトウェアの欠陥を突いて不正にプログラムを実行したり、情報を盗み出したりします。

この手口は非常に高度で、企業の防御策が間に合っていないタイミングを狙うため、被害に気づくのが遅れるケースも少なくありません。

2024年4月、Windowsを含むMicrosoft製品に対するゼロデイ脆弱性が報告されました。攻撃者は、この脆弱性を使って本物のドライバーを装った偽物（プロキシドライバー）をPCやスマートフォンに入り込ませ、遠隔操作できる裏口（バックドア）として悪用していました。

参考：APPSWINGBY「ゼロデイ脆弱性の影―不正プログラムの脅威と最先端セキュリティ対策の全貌」

このように、日常的に使用しているOSやアプリケーションにゼロデイ脆弱性が存在すると、利用者は知らないうちに感染してしまう危険性があります。

そのため、日ごろから信頼できる提供元のソフトウェアを使用し、常に最新版に更新しておくことが重要です。

3.標的型攻撃の流​​れを5つのステップで解説

ここからは、標的型攻撃の一連の流れをご紹介していきます。

• 事前調査（偵察）
• 標的の選定と攻撃手法の決定
• 攻撃の実行
• 感染と侵入
• 情報の窃取や改ざん、破壊

この流れを知らずにいると、初期段階での異常を見逃し、気づいたときにはすでに深刻な被害が発生している可能性があります。ひとつずつ見ていきましょう。

(1)事前調査（偵察）

標的型攻撃は、いきなり攻撃を仕掛けるのではなく、まずは「事前調査（偵察）」から始まります。

攻撃者は、企業や組織の内部に入り込むための手がかりを集めることを目的に、インターネット上で公開されているさまざまな情報を徹底的に調べ上げます。

たとえば、会社のWebサイトに掲載されている部署名や役職、社員の氏名、メールアドレスなどは、攻撃者にとって貴重な情報源です。

また、プレスリリースやIR資料、SNSでの投稿内容からも、業務内容や社内の動き、取引先企業の情報などが読み取れることがあります。

こうした情報を元に、攻撃対象となる人物や部署を絞り込み、後の攻撃をより成功しやすくするための準備を進めていきます。

(2)標的の選定と攻撃手法の決定

事前調査で得た情報をもとに、攻撃者は次に「標的の選定」を行います。

ここでは、誰に対して、どのような手口で攻撃を仕掛けるかを具体的に決めていく段階です。

たとえば、経理部門の担当者であれば送金指示を装ったメールが有効ですし、情報システム部門であればシステム更新に関する通知を装った内容が狙われることがあります。

また、社内で影響力のある管理職や機密情報にアクセスできる立場の社員が選ばれることも少なくありません。攻撃者はそれぞれの役割や業務内容に応じて、最も信じ込ませやすいシナリオを構築します。

さらに、メールによる攻撃だけでなく、よく利用するWebサイトへの罠の仕込みなど、攻撃手法そのものも標的の行動パターンに合わせて選ばれます。

(3)攻撃の実行

標的が定まり、攻撃手法も決まると、次は「攻撃の実行」へと移ります。

この段階では、収集した情報を活用し、信頼できる人物になりすまして接触を試みます。

たとえば、実在の取引先や上司になりすまし業務連絡を装ったメールを送り、添付ファイルを開かせたり、不正なリンクをクリックさせたりして、マルウェアを仕込むのが典型的な手口です。

メール以外にも、水飲み場型攻撃のようにWebサイトを改ざんし、そこから利用者の端末をマルウェアに感染させる手口も使われます。

これらの攻撃は非常に巧妙で、受信者や閲覧者に不自然さを感じさせないよう精巧に作られているのが特徴です。

一見、単純なやり取りに見えても、その裏には綿密な計画と心理的な誘導が隠れています。

(4)感染と侵入

不正なメールやファイルが開かれると、そこからマルウェアが実行され、端末が感染します。

このマルウェアは、ただウイルスを広げるだけではありません。

社内ネットワークに潜伏し、次の段階として重要なシステムへの侵入や情報の探索を開始します。

たとえば、まず感染した端末から社内のファイルサーバーや他のパソコンへとアクセスを試み、権限を乗っ取ることで、社内システムの中枢や機密情報にアクセスするのが一般的な流れです。

このような動きは「横展開（lateral movement：ラテラルムーブメント）」と呼ばれ、最終的には経営層のパソコンや機密情報が保管されたサーバーまで狙われる可能性があります。

マルウェアは表立った動きをせず、数日から数週間にわたって静かに活動を続けることもあります。そのため、感染に気づくことが難しく、被害が大きくなりやすい点が非常に厄介です。

(5)情報の窃取や改ざん、破壊

社内ネットワークへの侵入が成功すると、攻撃者は目的に応じて次のステップへと進みます。

もっとも多いのは、顧客情報や設計図、契約書、営業機密など、価値の高いデータを外部に持ち出すことです。

盗まれた情報は、裏社会で売買されたり、企業への脅迫材料として悪用されたりするケースもあります。

さらに、情報の内容を書き換える「改ざん」や、データやシステムそのものを破壊して業務を停止させる手口も存在します。

近年、ファイルを暗号化し、その解除と引き換えに金銭を要求する「ランサムウェア攻撃」が急増中です。

攻撃を受けてしまうと、発生後の対応だけでは被害を抑えきれず、事業の中断や社会的信用の低下といった深刻な影響を招きかねません。

だからこそ、異常を早期に察知し、日頃から脅威に備えておくことが欠かせません。

4.組織全体で取り組むべき標的型攻撃5つの対策

組織全体で実践すべき標的型攻撃への対策は、特別なものではなく、いずれも基本的かつ重要な取り組みです。裏を返せば、このような基本的な対策をいかに徹底して行うことができるのかが、被害を防ぐ要因となります。

標的型攻撃への対策は、大きく分けて以下の5つです。

• 情報セキュリティポリシーの整備
• メール・Webフィルタリングなどの技術的な対策
• 従業員へのセキュリティ教育
• アクセス権限の最小化とログの監視体制の整備
• インシデント発生時の対応手順の整備

順番に見ていきましょう。

(1)情報セキュリティポリシーの整備

標的型攻撃から組織を守るためには、まず情報セキュリティポリシーを整備することが重要です。

これは情報の取り扱いに関する組織全体の基本方針を明文化したものであり、社員一人ひとりが守るべきルールの土台となります。

たとえば、「不審なメールは開かない」「ソフトウェアは定期的に更新する」といった行動を徹底するには、行動を根拠づける判断基準や手順を文書として定めておく必要があります。

また、ポリシーを作成するだけでなく、各部署の業務に即した具体的な運用ルール（実施手順書）を整備することも欠かせません。

こうした取り組みを進める際には、IPA（独立行政法人情報処理推進機構）が公開している「中小企業の情報セキュリティ対策ガイドライン」を活用するのも効果的です。

このガイドラインでは、情報セキュリティポリシーの策定から実践的な対策まで、段階的に取り組める方法がわかりやすくまとめられています。

情報セキュリティポリシーの整備は、技術的な対策だけでは防ぎきれない人の行動を正しく導くための第一歩といえます。

(2)メール・Webフィルタリングなどの技術的な対策

標的型攻撃への対策として、技術的な防御策を導入することは欠かせません。

とくに多くの攻撃はメールやWebサイトを経由して行われるため、これらを入り口で防ぐ仕組みが重要です。

たとえば、メールフィルタリングを活用すれば、不審な送信元やウイルス付きの添付ファイルを自動的に検出し、受信前に隔離できます。

また、リンク先のURLを解析し、偽のログイン画面などに誘導する詐欺メールも事前にブロックできるようになります。

さらに、Webフィルタリングを導入することで、業務と無関係なサイトや危険性のある外部サイトへのアクセスを事前にブロック可能です。

これにより、利用者が誤って不正サイトへアクセスしてしまうリスクを軽減できます。

こうした技術的な対策は、人の注意力に依存せず自動的に動作するため、組織全体のセキュリティレベルを底上げする手段としてとても有効です。

(3)従業員へのセキュリティ教育

標的型攻撃を防ぐには、技術的な対策だけでなく、従業員一人ひとりのセキュリティ意識を高める教育が不可欠です。

なぜなら、多くの標的型攻撃は、システムの脆弱性だけを狙うのではなく、人の心理的なスキや不注意を突いて侵入してくるからです。つまり、どれだけ高度なセキュリティシステムを導入していても、従業員が油断していれば、そこから攻撃を受けてしまうのです。

たとえば、実在する取引先や上司の名前を装ったメールが届き、件名や送信者名だけで信用してしまうことで、添付ファイルを開いたり、不正なリンクをクリックしてしまうケースは珍しくありません。

こうしたメールは巧妙に作られているため、表面的なチェックだけでは見抜くのが難しく、知識や経験が求められます。

標的型攻撃の被害を防ぐには、「なぜ注意が必要なのか」「どこに注意すればよいのか」といったポイントを、日ごろから具体的に学ぶ機会を設けることが大切です。定期的な社内研修やeラーニングに加え、実際の攻撃メールを模した疑似訓練を取り入れることで、従業員の判断力が養われ、組織全体のリスクを大きく下げることができます。

東京商工会議所が2019年から毎年実施している「標的型攻撃メール訓練」では、参加企業の開封率が年々減少しています。

• 2019年度：25.4％
• 2020年度：24.0％
• 2021年度：15.3％
• 2022年度：12.2％
• 2023年度：7.8％
• 2024年度：6.1％

この結果から、継続的な訓練が従業員のセキュリティ意識を着実に高めていることを示しています。

参考：東京商工会議所「中小企業・小規模事業者に対する｢標的型攻撃｣メール訓練実施結果」

また、セキュリティ教育は一度きりで終わらせるのではなく、継続的に実施し、最新の攻撃手口にも対応できる体制を整えることが重要です。

(4)アクセス権限の最小化とログの監視体制の整備

標的型攻撃の被害を広げないためには、社内で使っている情報へのアクセスをきちんと管理し、不審な動きがあればすぐに気づけるような「見張りの仕組み」を整えておくことが大切です。

とくに気をつけたいのが、仕事に関係のない情報まで誰でも見られる状態になっているケースです。

こうした環境では、社員のアカウントが一度でも乗っ取られてしまうと、攻撃者が重要なデータにまで簡単にたどり着いてしまう危険があります。

そのため、社員ごとに「本当に必要な範囲だけ」にアクセスできるように設定し、不要になった権限は早めに削除することが基本です。

また、誰がどの情報にアクセスしたかを記録し、それを定期的にチェックすることで、異常な動きや外部からの侵入にいち早く気づくことができます。

こうした監視は毎日こまめに行うのが理想ですが、難しい場合は外部の専門業者に任せるという方法もあります。アクセス権限の管理とログの確認は、万が一攻撃を受けたときに被害を広げないための重要な備えです。

(5)インシデント発生時の対応手順の整備

どれほど対策を講じていても、標的型攻撃を完全に防ぐことは難しく、万が一、攻撃を受けてしまった場合の「対応手順」をあらかじめ整備しておくことがとても重要です。

対応が遅れたり、判断を誤ったりすれば、被害が拡大し、業務の停止や情報の流出といった深刻な事態を招く恐れがあります。

独立行政法人情報処理推進機構（IPA）が公開している「中小企業のためのセキュリティインシデント対応手引き」では、インシデント発生時の対応を以下の3つのステップに整理しています。

ステップ1「検知・初動対応」

感染した端末のネットワークからの切り離しや、被害状況の迅速な把握が求められます。

ステップ2「報告・公表」

関係者への適切な報告や、必要に応じた公表手順を明確にしておくことが重要です。

ステップ3「復旧・再発防止」

原因分析と再発防止策の検討・実施が欠かせません。

対応手順では、まずインシデントが発生した際の報告フローや初期対応の手順を明確にしておきましょう。

誰が、いつ、どのような判断で動くのかを事前に定めておけば、現場が混乱せず、速やかに対応を進めることができます。

また、セキュリティに関する専門部署がある場合は、他部署との連携方法や外部機関への通報・報告体制も含めておくと安心です。

対応後には、原因分析や再発防止策の検討も欠かせません。

こうした対応体制の整備は、実際に事が起きた際に組織の被害を最小限に抑えるための、非常に重要な備えといえるでしょう。

5.まとめ

標的型攻撃とは、特定の企業や組織をねらって事前に情報を収集し、巧妙な手口で社内に侵入しようとするサイバー攻撃のことです。

その代表的な手口には、標的型メール攻撃、水飲み場型攻撃、Webサイトの改ざん、ゼロデイ攻撃などがあり、いずれも発見が難しく、被害が深刻化しやすい特徴があります。

一度、社内ネットワークに入り込まれてしまうと、情報漏えいや業務停止などの大きな被害につながるおそれがあります。

こうした攻撃に備えるためには、情報セキュリティポリシーの整備や、従業員への教育、メールやWebフィルタリングの導入といった技術的対策が欠かせません。

合わせて、アクセス権限の最小化やログの監視体制、そして万が一のインシデントに備えた対応手順の整備など、組織全体での取り組みが求められます。

「私たちの会社は本当に標的型攻撃に対応できているのだろうか？」

「何を整備すればいいのか分からない」「今の対策で十分なのか不安」

そうしたお悩みをお持ちの方は、ぜひ認証パートナーまでご相談ください。

初めての方でも、現状に合わせた具体的な対策をご提案いたします。お気軽にご連絡ください。

ISO/Pマークの認証・運用更新を180時間も削減！
認証率100%の認証パートナーが無料問い合わせを受付中！

認証パートナーは8,000社を超える企業様の認証を支援し、認証率100%を継続してきました。

経験豊富なコンサルタントの知見を活かし、お客様のISO/Pマーク認証・運用更新にかかる作業時間を約90%削減し、日常業務(本業)にしっかり専念することができるようサポートします。

▼認証パートナーが削減できること(一例)

• マニュアルの作成・見直し：30時間→0.5時間
• 内部監査の計画・実施：20時間→2時間
• 審査資料の準備：20時間→0.5時間

認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

認証パートナーに無料で相談する