標的型攻撃とは、不特定多数ではなく特定の組織や個人を狙い撃ちにして、機密情報の窃取や業務妨害を目的に行われるサイバー攻撃です。取引先や官公庁になりすましたメール、業務で使うWebサイトの改ざんなど、標的の事情を下調べしたうえで巧妙に仕掛けてくるのが特徴です。IPA「情報セキュリティ10大脅威 2025(組織編)」でも「機密情報等を狙った標的型攻撃」が第5位に選出され、2016年以降10年連続でランクインしている、情シスにとって定番かつ息の長い脅威です。
この記事でわかること:
- 標的型攻撃の定義と、ばらまき型攻撃との違い
- 標的型メール・水飲み場型など代表的な手口
- APT(高度標的型攻撃)との関係
- 情シスが押さえるべき対策の考え方と公的な相談先
標的型攻撃とは何か
標的型攻撃とは、攻撃者があらかじめ狙いを定めた特定の組織・個人に対して、機密情報や知的財産の窃取、システムの破壊・業務妨害などを目的に行うサイバー攻撃の総称です。無差別に大量のメールを送りつける「ばらまき型(フィッシング等)」とは異なり、標的の組織構造・取引関係・使用製品などを下調べしたうえで、その相手に刺さるように攻撃を仕立てる点が本質的な違いです。
攻撃者は金銭目的の犯罪グループだけでなく、国家の支援を受けたとみられるグループの場合もあります。IPAは、おもに国家支援型と推定される高度な標的型攻撃を「APT(Advanced Persistent Threat=高度で持続的な脅威)」と位置づけています。
ばらまき型攻撃とどう違うのですか?
狙いを絞っているかどうかが最大の違いです。ばらまき型が「数を撃てば当たる」発想なのに対し、標的型攻撃は一つの組織に狙いを定め、業務メールを装うなど自然に見えるよう作り込むため、受け取った側が不審に気づきにくいのが厄介な点です。
なぜ情シスにとって重要なのか
標的型攻撃が長年脅威であり続けるのは、技術的な防御だけでは防ぎきれず、人の判断(メールを開く・添付を実行する)を突いてくるからです。侵入されると、正規のアカウントを乗っ取って社内を横移動(ラテラルムーブメント)し、長期間潜伏して情報を抜き取られることもあります。被害が表面化した時点ではすでに深く入り込まれている、というのが典型的なパターンです。
また、直接の標的が大企業ではなく、取引先である中小企業や委託先を「踏み台」として狙うケースも増えています。サプライチェーン全体の弱い部分が入り口にされるため、自社の規模が小さいからといって無関係ではありません。
代表的な手口
標的型攻撃で使われる侵入の入り口には、次のようなものがあります。
| 手口 | 概要 |
|---|---|
| 標的型攻撃メール(スピアフィッシング) | 取引先・官公庁・社内の担当者などになりすまし、マルウェアを添付したメールや不正サイトへのリンクを送りつける。業務に関係する自然な文面で油断させる。 |
| 水飲み場型攻撃 | 標的がよく訪れるWebサイトを事前に改ざんし、アクセスしただけでマルウェアに感染させる。標的が「安全だ」と思っている場所を逆手に取る。 |
| ネットワーク貫通型攻撃 | VPN機器やファイアウォールなど、境界に置かれた装置の脆弱性を突いて直接侵入する。近年IPA・JPCERT/CCが繰り返し警告している経路。 |
| ゼロデイ攻撃 | 修正パッチが提供されていない未知の脆弱性を悪用する。防御側が対応策を持たない状態を狙う。 |
使われるマルウェアは、感染後すぐ活動する「速攻型」と、長期間おとなしく潜伏してから動き出す「潜伏型」に大別されます。潜伏型は検知が遅れやすく、発覚までに数か月単位を要することも珍しくありません。
標的型攻撃メールはどう見分ければよいですか?
差出人名やアドレスの微妙な違い、心当たりのない添付ファイルや不自然な日本語、緊急対応を急かす文面などが手がかりです。ただし近年は精度が上がり「見分けられて当然」とは言えません。個人の目視に頼りきらず、フィルタリングや添付ファイルの無害化といった仕組みでの多層防御を前提にすべきです。
APT(高度標的型攻撃)との関係
APTは、標的型攻撃のなかでも特に高度・執拗で、長期間にわたって標的に居座り続けるタイプを指します。単発のメール一通で終わらず、侵入・潜伏・情報収集・持ち出しといった段階を、時間をかけて計画的に進めるのが特徴です。豊富な資金や技術を持つ攻撃者が関与するとみられ、防御側も「一度の防御で終わり」ではなく、侵入されている前提での検知・対応(EDRやログ監視など)が重要になります。
情シスはどうすべきか
標的型攻撃は「入口対策」だけでは防ぎきれないため、入口・内部・出口を組み合わせた多層防御と、侵入を前提とした検知・対応の両輪で考えるのが基本です。とはいえ、限られた人員で最新の手口すべてに個別対応するのは現実的ではありません。まずは公的機関がまとめた指針を軸に、自社の弱点から優先的に手当てするのが近道です。
- 中小企業の情報セキュリティ対策ガイドライン(IPA):まず全体像を押さえたい組織向け。
- 対策のしおり(IPA):従業員への啓発・教育に使える資料。標的型メールは人の判断が突かれるため、地道なユーザー教育が効きます。
- インシデント対応 机上演習教材(IPA):「感染したらどう動くか」を平時に訓練しておく。
そして、実際に標的型攻撃を受けた・受けた疑いがある場合は、抱え込まずに公的な相談窓口を活用してください。IPAは2014年7月に「サイバーレスキュー隊(J-CRAT)」を発足させ、標的型サイバー攻撃を受けている組織の対応を支援しています。標的型攻撃メールの受信やネットワーク貫通型攻撃の事例に関する情報提供・相談を受け付け、集約・分析した知見を官民で共有しています。
現場目線の所感
標的型メールの訓練を実施すると、毎回一定の割合で開封・クリックが発生します。これは「従業員の意識が低い」という話ではなく、業務メールに紛れた巧妙な一通を、日々大量のメールをさばく現場で完璧に見抜き続けるのは構造的に無理がある、ということだと感じます。だからこそ「開いてしまった人を責める運用」ではなく、「開いても被害が広がらない仕組み」「開いたらすぐ報告できる空気」を作るほうが実効性があります。誰が踏んでもおかしくない前提で、報告のハードルを下げておくことが、結果的に初動を早め被害を小さくします。
まとめ
- 標的型攻撃とは、特定の組織を狙い撃ちにして機密情報の窃取などを狙う攻撃で、IPA「10大脅威2025」でも5位・10年連続選出の定番脅威。
- 手口は標的型メール・水飲み場型・ネットワーク貫通型・ゼロデイなど多様で、潜伏型マルウェアは発覚が遅れやすい。侵入を前提とした検知・対応が要る。
- 入口対策だけに頼らず、IPAの公的指針で弱点を優先対処し、被害時はJ-CRATなど公的窓口を早めに活用する。

