標的型攻撃とは｜手口・対策・事例

概要

標的型攻撃とは、不特定多数ではなく特定の組織や個人を狙い撃ちにして、機密情報の窃取やシステム破壊を目的に行われるサイバー攻撃です。攻撃者は事前に標的の業務内容・取引先・組織図などを徹底的に調査し、その相手だけに通用する巧妙な「だまし」を仕掛けてきます。

不特定多数にばらまく従来型のばらまき型攻撃と異なり、標的に合わせてカスタマイズされるため、受信者が攻撃と気づきにくいのが最大の特徴です。長期間にわたって潜伏し執拗に攻撃を続けるものはAPT（Advanced Persistent Threat：高度標的型攻撃）と呼ばれます。

詳細（手口・分類）

代表的な手口

手口	内容
標的型攻撃メール	取引先や上司、実在の業務を装ったメールで、ウイルス付き添付ファイルや不正リンクを開かせる。最も多い侵入経路。
水飲み場型攻撃	標的がよく閲覧するWebサイトを改ざんし、訪問しただけで感染させる（肉食動物が水飲み場で獲物を待つ様子が由来）。
やり取り型攻撃	問い合わせを装って何度かメールを往復し、信頼させてからウイルスを送りつける。
サプライチェーン攻撃	セキュリティの弱い取引先や委託先を踏み台にして本来の標的に侵入する。

攻撃の段階（サイバーキルチェーン）

偵察：標的の情報を収集する。
初期侵入：標的型メールなどでマルウェアに感染させる。
潜伏・内部活動：外部のC&Cサーバと通信しながら、内部で権限昇格や横展開を行う。
目的遂行：機密情報を外部に持ち出す（情報窃取）。

標的型攻撃は「特定の相手を狙う」点がポイント。ばらまき型（不特定多数）との違いと、メールが主な侵入口であることを押さえましょう。「内部に侵入されることを前提に被害を抑える」という多層防御の考え方も頻出です。

対策

標的型攻撃は「100%防ぐ」ことが難しいため、侵入を前提とした多層防御（入口・内部・出口対策）が基本となります。

入口対策（侵入させない）

メールフィルタリング、添付ファイルの無害化（サンドボックス検査）。
OS・ソフトの脆弱性を解消するパッチ管理、ウイルス対策ソフトの最新化。
標的型攻撃メール訓練による従業員の対応力向上。

内部対策（被害を広げない）

ネットワークのセグメント分割、最小権限の原則、特権ID管理。
EDRによる端末の不審挙動の検知と隔離。

出口対策（情報を持ち出させない）

外部への不審な通信（C&C通信）の監視・遮断、プロキシ・ファイアウォールでの制御。
ログ管理・SIEMによる異常検知と、CSIRTによる迅速な初動対応。

「入口・内部・出口」の3層で考えるのが標的型攻撃対策のセオリーです。1つの防御をすり抜けられても、次の層で食い止める——この発想が多層防御（Defense in Depth）です。

インシデント事例

日本年金機構の情報漏えい（2015年）

職員宛の標的型攻撃メールの添付ファイルを開いたことでマルウェアに感染し、約125万件の年金個人情報が流出した国内を代表する事例です。「業務に関係しそうな件名のメール」「組織内での感染拡大」「対応の遅れ」という標的型攻撃の典型を示し、組織のメール訓練やネットワーク分離の重要性が広く認識されるきっかけになりました。

防衛・重要インフラ関連企業を狙ったAPT

国家が背後にいるとされるAPT攻撃グループが、防衛・技術・インフラ関連企業を長期にわたり狙い、機微情報を窃取しようとする事例が報告されています。サプライチェーンの弱い部分を起点にする傾向が強まっています。

年金機構の事例は科目Aでも背景知識として頻出。「標的型メール → 添付ファイル開封 → 感染 → 情報漏えい」という流れと、再発防止策（教育・訓練、ネットワーク分離）をセットで覚えましょう。

試験での問われ方

「特定の組織を狙い、業務関連を装ったメールで侵入する攻撃はどれか」→ 標的型攻撃。
「水飲み場型攻撃の説明として適切なものはどれか」など手口の識別。
「標的型攻撃に有効な対策」として、多層防御・メール訓練・最小権限などを選ばせる問題。