公開日：2025年12月23日

セキュリティ

標的型攻撃とは？主な手口や攻撃過程、有効な対策をわかりやすく解説

標的型攻撃は、取引先や業務関係者を装い、実際のプロジェクト名や請求書データなどを巧みに利用して、社内ネットワークへの侵入を試みる高度なサイバー攻撃です。例えば、経理担当者宛に送られた偽の請求書メールや、社外パートナーを装った業務連絡をきっかけに感染が広がるケースもあります。
近年は、クラウド利用の拡大やサプライチェーンの複雑化により、攻撃手法はさらに巧妙化しています。
本記事では、標的型攻撃の主な手口と攻撃過程、そして被害を最小化するための有効な対策について紹介します。

Contents

標的型攻撃とは

標的型攻撃は、標的となる企業の業務内容や担当者情報をもとに、「どのようなメールを送るか」「どの添付ファイルを仕込むか」「どの経路から侵入するか」といった攻撃手法を綿密に設計・準備して実行されます。ここでは、標的型攻撃の定義と目的、無差別型との違いや標的型攻撃が増加している背景について紹介します。

定義と目的

標的型攻撃とは、特定の企業・官公庁・関連団体を事前に調査したうえで、狙い撃ちにするサイバー攻撃のことです。攻撃者はメールやWebサイトを経由してマルウェア感染を誘発し、機密情報・顧客データ・研究成果などの特定情報を窃取することや、業務を妨害することを目的としています。

こうした攻撃の背後には、金銭目的の犯罪組織だけでなく、高度な技術力を持つ組織的な攻撃グループが関与しているケースも確認されています。近年では、標的となる組織だけでなく、その取引先や委託先を踏み台に攻撃を仕掛ける「サプライチェーン攻撃」も増加しており、組織の規模にかかわらず被害が広がりやすくなっています。

無差別型攻撃との違い

無差別型攻撃とは、特定のターゲットを定めず、不特定多数の個人や企業を対象に仕掛けられるサイバー攻撃です。広い範囲に影響を及ぼすことを目的としている点が特徴で、攻撃者はより多くの被害者を巻き込むための手法を用います。

標的型攻撃との違いは、攻撃の精密さと目的の明確さにあります。標的型攻撃は特定の組織や個人を綿密に調査したうえで、情報窃取や業務妨害を狙って計画的に行われます。攻撃内容は標的に合わせて巧妙に作り込まれ、既存の防御策をすり抜ける可能性も高いのが特徴です。

いずれの攻撃も被害拡大を防ぐため、継続的な警戒が欠かせません。

標的型攻撃が増加する背景と巧妙化

標的型攻撃が増加している背景には、攻撃技術の高度化と企業を取り巻く環境の変化があります。攻撃者は新たな脆弱性や社会情勢を巧みに悪用し、暗号化された通信を用いる方法や、少しずつ段階を踏んで侵入を進める「多段階侵入（APT攻撃）」などを常套手段として、マルウェア検知を回避します。

一方、DX推進によってクラウド利用や外部委託の利用が広がり、企業と社外の接点は増加しました。これにより攻撃者が狙える経路もさらに多様化し、取引先や委託先を踏み台とする「サプライチェーン攻撃」も目立っています。侵入の入口が増えたことで、被害の拡大につながりやすくなっている状況です。

このような技術面・環境面の変化を踏まえると、「侵入を完全に防ぐことは難しい」という前提に立つ必要があります。企業には、技術的対策と運用ルール、従業員教育を組み合わせた「多層防御」を実践し、早期発見と被害の最小化を図る体制づくりが求められています。

標的型攻撃の主な手口

標的型攻撃には様々な手法が確認されています。ここではその中でも代表的な3つの手口について紹介します。

標的型メール攻撃

標的型メール攻撃は、標的型攻撃の中でもよく利用されている代表的な手口です。攻撃者は特定の組織や個人を標的に、実在する企業や取引先を装ったメールを送信し、受信者に添付ファイルの開封や不正なURLのクリックを促します。メールにはマルウェアやウイルスが仕込まれており、実行されると端末が感染し、攻撃者による遠隔操作や情報窃取が行われます。

この場合の攻撃メールは、あたかも正規の業務連絡であるかのように作られています。件名・本文・署名まで精巧に再現され、受信者が偽メールと判断しづらくなっています。さらに、企業サイトの担当者名やニュースリリース、SNSの投稿など、誰でも閲覧できる公開情報を手がかりに信頼関係を装うケースも増えています。こうした情報を悪用することで、攻撃者はより自然な内容を作り込み、受信者をだましやすくしています。

水飲み場攻撃

水飲み場攻撃とは、標的となる組織の関係者が日常的に利用する正規のWebサイトに不正なプログラムを仕込み、アクセスした利用者を感染させる攻撃手法です。ライオンが水辺で獲物を待ち伏せする様子に似ていることから、「Watering Hole Attack（ウォータリングホール攻撃）」とも呼ばれます。

攻撃者は標的企業や業界団体など、関係者が頻繁にアクセスするサイトを特定し、脆弱性を悪用してマルウェアを埋め込みます。利用者がアクセスしただけで端末が感染し、ネットワーク内部への侵入や機密情報の窃取が行われる危険があります。外見やURLが正規のままのケースも多く、従来のフィッシング対策では検知が難しい点が特徴です。

ゼロデイ攻撃

ゼロデイ攻撃とは、ソフトウェアに本来あってはならない「思わぬ不具合（脆弱性）」が見つかったにもかかわらず、その修正プログラム（パッチ）が公開されていない段階で、その弱点を悪用して行われる攻撃のことです。修正プログラムが公開される日を「1日目」とすると、その前の期間は「0日目」という意味で「ゼロデイ」と呼ばれます。この段階で発見される弱点は、一般的な脆弱性と区別して「ゼロデイ脆弱性」と呼ばれます。企業側がまだ気づいていない弱点を突かれるため、危険性が非常に高い攻撃となります。

こうした弱点が残ったままの環境では、パソコンやサーバが気づかないうちに不正プログラムを送り込まれ、社内ネットワークに侵入される可能性があります。メールを開いただけ、または普段利用しているWebサイトへアクセスしただけで感染する場合もあり、従来の対策だけでは見逃してしまうことが問題点です。

その結果、社内ファイルの窃取や業務システムの停止、さらには身代金要求（ランサムウェア被害）など、企業にとって深刻な事態を招く恐れがあります。特に、日常的に利用されるソフトウェアが標的になることも多く、どの企業にも起こり得るリスクといえます。

ゼロデイ攻撃については以下の記事で詳しく解説しています。
関連記事：ゼロデイ攻撃とは？企業が知るべきリスクと対策について

標的型攻撃の攻撃過程・対策

攻撃者は標的型攻撃を行う際、どのような手順を踏んで攻撃を仕掛けるのでしょうか。ここでは、攻撃者が標的型攻撃を実行するまでの一般的な過程と、それぞれの段階で企業が取り得る対策について解説します。

ターゲットについての調査

標的型攻撃は、まず攻撃者が企業の「手がかり」を集めることから始まります。具体的には、公式サイト・SNS・採用情報・プレスリリースなど、誰でも見られる情報から「担当者名」「組織構成」「どのサービスを使っているか」などを調べ、最も侵入しやすいルートを探します。

企業側でできる対策としては、公開情報を定期的に見直し、業務に不要な情報を非公開にすることが有効です。また、「不審な問い合わせに対しては部署名・担当者名を気軽に答えない」など、身元確認のルール整備により攻撃に利用されるリスクを減らすことができます。

こうした取り組みにより、企業は「攻撃の材料として悪用される情報」を最小限に抑えられます。

初期侵入

攻撃者は集めた情報をもとに、社員の日常業務を装って侵入を試みます。

例えば、「取引先の請求書」「社内共有ファイル」などもっともらしい件名のメールを送り、添付ファイルやURLを開かせることで感染を狙います。

これを防ぐには、まず社員が「送信元の確認」「不審な添付ファイルは開かない」という基本的な習慣を身につけることが重要です。

加えて、メールのなりすましを防ぐ技術（SPF・DKIM・DMARC）や、メールを自動で検査するセキュリティツールを導入することで、危険なメールを事前に減らすことができます。

こうした入口の強化により、攻撃者が「最初の一歩」を踏み出すことを困難にできます。

段階的な侵入拡大

初期侵入を許してしまうと、攻撃者は感染した端末を起点に社内の別端末やサーバへ範囲を広げようとします。共有フォルダを探索したり他部署のパソコンへ接続を試みたりしながら、最終的には管理者権限の取得を狙います。

これに対抗するには、部門や業務ごとにネットワークを区切る「セグメンテーション」を行い、アクセスできる範囲をあらかじめ制限しておくことが効果的です。また、従業員のアカウント権限も業務に必要な最小限に抑えることで、不正侵入後の踏み台にされるリスクを大幅に減らせます。さらに、多要素認証（MFA）の導入により、万が一パスワードが盗まれても攻撃者がログインできない仕組みを構築できます。

こうした備えにより、内部到達された場合でも攻撃の広がりを早い段階で食い止めることが可能になります。

侵入後の標的選定

攻撃者は社内に入り込んだ後、価値の高い情報を求めて内部のシステムを継続的に調査します。最初は感染したパソコンや共有フォルダを確認しますが、目的のデータが得られなければ、基幹システムやデータベースといった組織の中枢へ狙いを移します。

このような行動を防ぐには、社内のどのデータが重要情報に当たるのかを事前に明確化し、それぞれに適切なアクセス制御を行うことが欠かせません。特権アカウントの利用を厳格に管理したり、使われていない古いアカウントを削除したりすることで、攻撃者が踏み台として悪用できるポイントを減らせます。また、日常的にアクセスログを確認しておくと、普段とは異なるアクセス傾向にいち早く気づけるため、異常の早期発見につながります。

これらの取り組みによって、万が一侵入されても重要なデータに到達されるまでの時間を稼ぎ、被害を最小化できます。

情報窃取と痕跡隠ぺい

攻撃者は目的の情報にたどり着くと、気づかれないよう少量ずつデータを外部へ送信します。一例として、通常業務の通信に紛れる形でファイルを小分けにして送信する方法や、深夜帯に転送して痕跡を目立たなくする方法が用いられます。こうした手口は巧妙で、利用者が異変に気づきにくいことが特徴です。

さらに、操作履歴やアクセスログを削除・改ざんし、侵入の痕跡を消そうとするケースもあります。ログが残っていないと、被害範囲の特定や原因調査が困難になります。

対策としては、機密情報の所在やアクセス権限を整理し、不自然な通信量や深夜のアクセスを検知できる仕組みを整えることが重要です。また、ログを専用サーバに自動保存するなど、改ざんされにくい管理も有効です。

こうした体制を整えることで、不正な情報持ち出しの兆候を早期に発見し、被害拡大を防ぐことができます。

標的型攻撃への対策

ここまで標的型攻撃の手口や流れを解説してきましたが、被害を防ぐためにはどのような対策を講じるべきでしょうか。ここでは、特に重要となる4つの主要な対策について紹介します。

セキュリティパッチの適用

標的型攻撃を防ぐうえで最も基本的かつ効果的な対策は、OSやソフトウェアを常に最新の状態に保つことです。古いバージョンには既知の脆弱性が残っており、攻撃者に悪用されるリスクが高まるためです。

このため、更新情報を定期的に確認し、OSやソフトウェアの提供元からセキュリティ通知を受け取った際には、速やかに適用できる体制を整えることが推奨されます。また、IT資産管理ツールを活用して更新状況を可視化し、自動更新機能を利用することで、手作業による漏れを防ぐことができます。

こうした取り組みを継続的に実施することで、脆弱性を突く攻撃の多くを事前に遮断し、安全なシステム環境を維持することが可能になります。

セキュリティツールの導入

標的型攻撃の多くは、従来のウイルス対策だけでは防ぎきれません。そこで効果的なのが、入口・内部・出口の3層で防御を行う「多層防御」の考え方です。

まず、メールの内容を自動でチェックして危険な添付ファイルやリンクを隔離する「メールフィルタリング」や、開封前にファイルを仮想環境で実行して安全性を確認する「サンドボックス」を用いて、侵入を未然に防ぎます。次に、ネットワーク上の不審な通信を監視する仕組みや、端末上の不審な挙動を検知する「EDR（Endpoint Detection and Response）」で「ふるまい検知」を行い、異常な動きを早期に発見します。さらに、データ流出防止（DLP）などの出口対策を導入することで、被害拡大を抑止できます。

これらのツールは導入後も運用ルールや検知基準を定期的に見直し、最新の攻撃手口に対応できる状態を維持することが重要です。

従業員へのセキュリティ教育の実施

標的型攻撃は、システムの脆弱性だけでなく、従業員の油断や操作ミスを突くケースも少なくありません。そのため、従業員一人ひとりのセキュリティ意識を高める教育が不可欠です。

具体的には、攻撃メールの特徴や不審な添付ファイルの見分け方、誤ってクリックした際の初動対応を定期的な研修で周知しましょう。さらに、実際の標的型メールを模した訓練を実施することで、従業員の判断力と対応力を強化できます。

教育は一度きりではなく、最新の事例や脅威動向を共有しながら継続的に行うことが重要です。こうした取り組みを続けることで、組織全体に「人」を守るセキュリティ文化が根づき、被害を未然に防ぐ力が高まります。

マネージドサービスの活用

標的型攻撃は年々巧妙化しており、企業が自社だけで24時間体制の監視や即時対応を行うのは容易ではありません。そこで有効なのが、専門家による運用支援を受けられるマネージドセキュリティサービス（MSS）の活用です。

MSSでは、ログを一元管理して脅威の兆候を分析する「SIEM」や、端末上の不審な動きを検知する「EDR」、メールを自動で検査するセキュリティサービスなどを統合し、ログ分析・脅威検知・封じ込めまでを一貫して支援します。最新の脅威インテリジェンスを活かした迅速な対応が可能となり、セキュリティ人材の不足や運用負担を大きく軽減できます。

これにより、自社リソースを維持しながら高度な防御体制を効率的に構築でき、継続的な安全運用を実現します。