企業を狙う「標的型攻撃」とは？ 被害を防ぐための対策

標的型攻撃とは

標的型攻撃は、特定の企業、部署、担当者、業界を狙い、業務に合う文面や差出人名、添付ファイル、共有リンクを使って侵入や情報窃取につなげるサイバー攻撃です。警戒の中心は「不審メールを開くかどうか」だけではありません。認証情報の窃取、端末感染、継続侵入、取引先への波及まで見込み、メール、認証、端末、初動対応をまとめて見直しておかなければ足りません。

MITRE ATT&CK では、標的化したスピア・フィッシングを、電子的なソーシャルエンジニアリングの一種として整理しています。特定の個人・企業・業界を狙う手口として扱っており、IPAの「情報セキュリティ10大脅威 2026」でも「機密情報を狙った標的型攻撃」は組織向け脅威の5位で、2016年から11年連続で挙げられています。

標的型攻撃と一般的なフィッシングの違い

一般的なフィッシング詐欺は、不特定多数に同じ文面を送る形でも成立します。これに対して標的型攻撃は、受信者の役割、所属組織、取引関係、利用中のサービスに合わせて偽装の精度を上げ、開封やクリックの確率を高めます。初期接触にメールが使われることは多いものの、狙いは端末感染や認証情報の窃取だけで終わらず、侵入後の継続的なアクセス手段の確保にまで及びます。

主な侵入経路

メールと共有リンク

IPAは、添付ファイルや本文中のリンクを開かせてマルウェア感染を狙う手口を示しています。MITRE ATT&CK でも、添付ファイル型、リンク型、第三者サービス経由、音声を使う手口を別々の下位分類として扱っています。既存のメールスレッドへの割り込み、個人向けWebメール、SNS、クラウドストレージ経由の連絡も対象に含まれます。

Webサイト改ざん

標的組織の従業員がよく使うWebサイトを改ざんし、アクセスした利用者を感染へ導く水飲み場攻撃もあります。不審メールを開かなかったとしても、日常業務で利用するサイトが悪用されれば侵入の起点になり得ます。

脆弱性や認証情報の悪用

IPAは、クラウドサービスやWebサーバー、VPN装置などの脆弱性や、流出した認証情報を使った不正アクセスによる侵入も挙げています。標的型攻撃をメール対策だけの論点として扱うと、この経路を見落とします。

侵入後に起こる被害

IPAの2026年版解説書では、侵入後に追加の認証情報の窃取、不正アカウントの作成、バックドアの設置により、永続的なアクセス手段を確保する流れが示されています。窃取した認証情報を使い、正規の経路から再侵入される場合もあります。

被害は情報漏えいだけにとどまりません。組織内部に潜伏して長期間活動されたり、サプライチェーンに属する関連組織への攻撃の踏み台に使われたりするおそれがあります。端末1台の感染で終わる前提は危険です。

2025年に確認された事例

IPAの2026年版解説書では、日本などを標的とするMirrorFace（別名 Earth Kasha）の事例が紹介されています。2025年3月頃に確認された攻撃では、OneDriveのリンクを埋め込んだスピア・フィッシングメールを送り、最終的に ANEL の展開につなげたとされています。警察庁と国家サイバー統括室は2025年1月にMirrorFaceへの注意喚起を公表しており、日本国内の組織、事業者、個人を標的とする継続的な攻撃キャンペーンとして評価しています。

企業が優先して進めたい対策

標的型攻撃への備えは、教育だけ先に強めても足りません。優先順位を付けるなら、認証、メール、端末実行制御、報告経路、対応体制、委託先管理の順で穴を減らす方が、侵入前後の両方を押さえやすくなります。

1. 認証を見直し、パスワード依存を減らす

認証情報が窃取された後の被害を抑えるには、IDとパスワードだけに依存しない構成へ移らないと抑え切れません。CISA はフィッシング耐性の高い多要素認証を最上位に置いており、例としてFIDO2やPKIベースの方式を示しています。IPAもAiTM攻撃への対策例としてFIDO2やデバイス認証を挙げています。まずはメール、VPN、高権限アカウントから適用範囲を広げるのが妥当です。

2. メールは受信側と送信側の両方を固める

受信側で不審メールを減らすだけでは片手落ちです。IPAは、自社ドメインを使ったなりすまし対策として送信ドメイン認証の導入を挙げており、具体例としてDMARC、SPF、DKIMに言及しています。自社名義の偽メールが取引先に届く事態を減らす観点でも確認しておきたい項目です。

3. 端末での不正実行を抑える

CISAは、Officeマクロを既定で無効化することや、許可したアプリケーションだけを実行できる構成を推奨しています。添付ファイルを開かれた後の実行を端末側で止められなければ、認証基盤やファイルサーバーまで被害が広がりやすくなります。

4. 不審な兆候を報告しやすい連絡経路を作る

CISAは、不審なフィッシング活動の報告を、組織防御の効率的な方法の1つとしています。連絡先の掲示だけで終わらせず、誰が受け付け、どの部門が端末隔離、メール検索、アカウント確認を担当するかまで決めておくべきです。報告先が曖昧なままだと、同じ文面が社内に残り続けます。

5. インシデント対応体制と訓練を整える

IPAは、経営者層に対してインシデント対応体制の整備と予算確保を、セキュリティ担当者には定期的な訓練や継続的な情報収集を挙げています。教育だけを単独施策として扱わず、報告、判断、隔離、復旧までを一続きの手順として整えておく方が、実際の被害抑制に結び付きます。

6. 委託先・取引先を含めて確認する

標的型攻撃では、本命企業の周辺組織が先に狙われることがあります。委託先や取引先については、認証方式、メール対策、報告窓口、インシデント時の連絡条件を確認し、自社側だけ整備して終わる状態を避けます。

教育の位置付け

社員教育は外せませんが、単独では防ぎ切れません。MITRE ATT&CK が示すように、標的型攻撃はメール、第三者サービス、音声など複数の経路で行われます。教育の役割は、技術対策と運用手順を機能させることにあります。不審な連絡を報告する行動と、報告を受けた側が隔離や調査に移る手順がつながっていなければ、教育の効果は限定的です。

まとめ

標的型攻撃は、特定の組織や担当者に合わせて偽装を調整し、認証情報の窃取や継続侵入につなげる攻撃です。確認点は、メールの見分け方だけでなく、侵入後の活動をどこで止めるかにもあります。

優先順位を付けるなら、メール・VPN・管理画面の多要素認証、送信ドメイン認証、端末での実行抑止、報告経路の明確化、インシデント対応体制、委託先管理の順で確認すると、対応項目を整理しやすくなります。教育はこの全体を補完する位置付けで組み込む方が、単発の注意喚起で終わりにくくなります。

FAQ