標的型攻撃メールの特徴とは?手口・対策・被害事例を解説!

標的型攻撃メールの特徴とは?手口・対策・被害事例を解説!
2024.3.1

企業のセキュリティリスクの中で、根強く残っているものが標的型攻撃メールです。

取引先や社内のスタッフを装い、マルウェアに感染させようとする標的型攻撃メールを開封すると、甚大な被害が発生するリスクにつながります。 そして、被害の大きさに対して、適切な対策が取られていない企業が多いのが現状です。

本コラムでは、標的型攻撃メールの基礎知識をご紹介したうえで、対策について解説します。
そのほか、標的型攻撃メールを開いてしまったときの対策や見分け方についてもわかりやすく解説いたします。

セキュリティ無料相談

目次

標的型攻撃メールとは?基礎知識を解説

標的型攻撃メールという名前は聞いたことがあるものの、その特徴や手口を詳しくは理解していない方も多いはずです。
そこで本章では、標的型攻撃メールの基礎知識を初心者の方にもわかりやすく解説します。
ここで基礎知識を把握しておくことで、この後の内容も理解しやすくなります。

標的型攻撃メールとは

標的型攻撃メールとは、情報の窃取を主な目的とし、特定の組織や個人を標的に送られるメールのことです。
標的型攻撃メールに添付されたファイルを開いたり、URLをクリックするなど特定の行動をすることで、パソコン・サーバーなどがマルウェアに感染し、情報が盗み取られてしまいます。
なお、IPAが発表する「情報セキュリティ10大脅威 2024」では、標的型攻撃メールが組織向けの脅威として4位に入っており、これは9年連続9回目の選出です。
このように長期間継続して脅威とされていることから、企業でも優先的に対策が必要な攻撃です。

出典:IPA(独立行政法人 情報処理推進機構)「情報セキュリティ10大脅威 2024

標的型攻撃メールの特徴

標的型攻撃メールの特徴は「攻撃対象が明確化されている」点です。
件名や本文の内容が受信者に合わせて作られているため、攻撃メールと気付くのが困難です。
一方で、攻撃対象を絞らず、不特定多数にメールを送る手法を「無差別型」「ばらまき型」と呼びます。
従来は無差別型攻撃が主流だったものが近年では標的型になってきているため、より巧妙で騙されやすいメールが送りつけられている状況です。

標的型攻撃メールの手口

標的型攻撃メールでは、攻撃対象者が絞られているため、その人に関係のありそうな人物・組織を装ってメールを送りつけてきます。
例えば以下のとおりです。
・子会社・取引先を装うメール
・契約・手続き関連のメール
・関係省庁や政府機関からの連絡メール

上記のような関係のありそうな人物・組織からのメールを装い信用させ、以下のようなアクションを起こさせようとしてきます。
・開くとマルウェア感染する添付ファイルを開かせる
・クリックするとマルウェア感染するURLをクリックさせようとする
・フィッシング用のウェブサイトへ誘導し、個人情報を入力させる

標的型攻撃メールはこれらの手口を使い、組織や個人の情報の窃取を狙っています。

標的型攻撃メールに効果的な3つの対策

標的型攻撃メールを含むサイバー攻撃には、組織の守るべき資産を明確にし、リスク評価に基づいて1つだけでなく多層の対策が必要です。
本章では、標的型攻撃メールに効果的な対策を「入口対策」「出口対策」「監視体制・スタッフ教育」に分けてご紹介します。
複数の対策方法を理解・実践し、万全のセキュリティ対策を講じましょう。

入口対策

入口対策とは、悪意のあるプログラムなどの侵入を事前に防ぐための対策です。
標的型攻撃メールにおける、入口対策の例は以下のとおりです。
・UTMによるネットワークのセキュリティ
・ウイルス対策ソフトなどの導入
・OS・サーバーソフトウェアなどの脆弱性対策
・メールフィルタリングの設定・機能の実装

特に、ウイルス対策ソフトの導入は組織のセキュリティ対策としては基本となるため、安全な運用のために必ず導入しましょう。

出口対策

出口対策とは、万が一攻撃者の侵入を許してしまった場合に、社外への重要情報などの漏えいを防ぐ対策のことです。
標的型攻撃メールにおける、出口対策の例は以下のとおりです。
・外部ネットワークへの接続制限
・情報の暗号化

侵入・感染してもC2サーバからさらなるマルウェアをダウンロードすることを防いだり、機密情報を社外へ送信できないようにするネットワークフィルタ機能を持ったUTMやIT資産管理ツールが有効です。 また、重要情報は強力に保護するなどの対策が必要になります。
侵入されることを前提に、出口対策も講じておくことを強くおすすめします。

監視体制・スタッフ教育

標的型攻撃メール対策には、日頃からの監視・スタッフ教育が必須です。
すぐに異常が検知できるよう、常にネットワークやサーバーなどのログを監視・分析できる状態を整えておく必要があります。
また、ハード面の準備だけでなく、セキュリティポリシーの策定、万が一侵入があったときの危機管理体制の構築などのスタッフ教育も欠かせません。

標的型攻撃メールを開いてしまったらどうすべきか?

もし標的型攻撃メールを開いてしまった場合、すぐに然るべき対応を取らなければウイルスなどが蔓延し、被害が拡大してしまう恐れがあります。 そこで本章では、標的型攻撃メールを開いてしまった場合の対応について解説します。

STEP1:ネットワークを切断する

万が一標的型攻撃メールを開いてしまった場合は、すぐに攻撃を受けたデバイスを社内ネットワークから切断しましょう。
被害を受けたデバイスを接続し続けると、よりウィルス感染が拡大してしまう可能性があります。
LANケーブルを接続している場合にはLANケーブルを抜く、Wi-Fi接続している場合には接続を切断しましょう。

ネットワークを切断する

STEP2:情報システム部門に連絡する

ネットワークを切断した後は、社内の情報システムを統括する部門に状況を報告しましょう。 また、併せて所属する部門の上司にも内容を報告します。
報告を行い、その後の対応は担当する部門・担当者に判断を仰ぎます。
この際「大丈夫だろう」と自己判断で報告をおろそかにするのは危険です。 なぜなら、万が一マルウェアなどに侵入されていた場合、時間が経過するごとに被害が拡大してしまう恐れがあるためです。
標的型攻撃メールを開いてしまった場合は、すぐに然るべき部門に報告しましょう。

STEP3:関係各所に連絡して専門家に対策を依頼する

ここからは管理者の対応となりますが、関係各所に連絡して専門家に対策を依頼することも必要です。
必要に応じて、関係企業・所管省庁などへ連絡を入れます。
また、情報セキュリティの専門家へ対策を依頼し、今以上に被害が拡大しないようにすることが必要となります。

標的型攻撃メールの6つの特徴・見分け方

標的型攻撃メールは巧妙ではあるものの、知識さえあれば見分けられる可能性もあります。
そこで本章では、標的型攻撃メールの特徴・見分け方を6つご紹介します。
特徴や見分け方を把握し、標的型攻撃メールに騙されないようにしましょう。

正規のものと似ているメールアドレス

標的型攻撃メールでは受信者を騙すために、正規のものに近いメールアドレスを使用している傾向があります。
IPAによると、メールヘッダーの「From:」を詐称するのは簡単で、実際に標的型攻撃メールが使用するドメインには、官公庁や独立行政法人が使用する「go.jp」が約半分を占めるとのことです。
普段関わりがある公的機関や企業でも、知らない人物から突然来たメールに関しては警戒すべきでしょう。

送信元がフリーメール

標的型攻撃メールでは、フリーメールのアドレスが使用されるケースも多くなっています。
標的型攻撃メールのほとんどは第三者のパソコンを踏み台にしてメールを送信していると考えられています。
しかし、第三者を詐称したメールを受信しないメールサーバーが増えてきているため、攻撃者がフリーメールアドレスを使用することがあるようです。
送信元がYahoo!メールやGmailのようなフリーアドレスの場合は、標的型攻撃メールの可能性を疑いましょう。

署名と送信元の名前が異なるメール

送信元と署名のメールアドレスが異なる場合は、悪質なメールの可能性を疑いましょう。
攻撃者がさまざまなアドレスでメールを送信する際、署名を含む本文の内容を使いまわしている可能性があります。
通常の業務メールでそのような間違いはほぼ起きないため、送信元と署名のメールアドレスが違う場合は注意しましょう。

不自然な文章やフォント

標的型攻撃メールは、日本だけでなく海外からも送られています。
そのため、日本語の文章・フォントが不自然な場合は、海外の攻撃者が日本の企業などを装ってメールを送っている可能性を疑いましょう。
攻撃者が海外を狙う際は翻訳ソフトなどを使用することがあるため、表現や漢字がおかしくなってしまうことがあります。
「文章表現に違和感がある」「日本語で使われることのない漢字が含まれている」と感じた場合は、警戒すべきでしょう。

不自然なフォント

開封を促す件名・メール本文

標的型攻撃メールは、リンクをクリックさせたり、ファイルを開かせたりすることで情報を窃取することが目的です。 そのため、思わずクリック・ダウンロードしてしまうような内容で送られてくるケースが多くなっています。
例えば、以下のような内容です。
・【至急】【必読】などが件名に入ったメール
・新聞社・出版社などからの取材依頼
・求人関係の問い合わせ
・製品・サービスに関するクレーム・問い合わせ

受信者の業務内容や興味のあることを調べて巧妙にメールを作成している可能性もあるため、標的型攻撃メールと判断するのが難しいケースもあります。
判断に迷った場合は、上司や周りの従業員に相談することをおすすめします。

「exe」などの実行ファイルが添付されたメール

メールで添付ファイルのやり取りをする機会は多いと思いますが、知らない相手から実行形式の拡張子のファイルが送られてきたときは注意が必要です。
実行することで、マルウェアのプログラムが起動する可能性があります。
実行形式ファイルの拡張子の例は以下のとおりです。
・exe
・scr
・cpi

ほかにも「ink」などのショートカット形式のファイルもマルウェア感染の危険性があるため、安易にクリックしないことをおすすめします。

また、近年ではメールフィルタリングなどのセキュリティシステムを突破するため、悪意のあるサイトのURLをQRコードにして送りつけるクイッシングという手法もあるため、注意が必要です。
参考コラム:そのQRコード危険かも?QRコードフィッシング(クイッシング)の手口とその対策。

手軽かつ効果的な対策なら「ALSOK 標的型攻撃メール訓練」にお任せ

「標的型攻撃メールの対策をしたいが、何をすればよいかわからない……」
「わざわざ対策を実施するのであれば、効果的な方法で行いたい……」
このようにお悩みであれば、弊社の「ALSOK 標的型攻撃メール訓練」の利用をご検討ください。

ALSOK 標的型攻撃メール訓練では、擬似の標的型攻撃メールを送信し、開封率やメールアドレスごとの結果を報告書にまとめてご提供します。
これにより、従業員の現在のリテラシーやセキュリティ教育の効果を確認可能です。

また、訓練を行うためのシステム構築は不要で最低限の運用負担で利用できるため、ご担当者様に大きな手間は発生しません。

効果的かつ手軽な対策をお考えであれば、お気軽にお問い合わせください。

標的型メールに関するよくある疑問・質問

最後に、標的型攻撃メールに関するよくある質問にQ&A方式で答えていきます。
よくある質問をチェックし、不明点を減らしておきましょう。

標的型攻撃メールを開いたらどうなる?

標的型攻撃メールに添付されたURLやファイルを開いてしまった場合、マルウェアに感染してしまう可能性があります。

マルウェアに感染することで、データの改ざんが行われたり、情報が盗まれたりといったことが起こってしまうのです。
また、パソコンを使用不能にして、復旧する代わりに金銭を要求するケースもあります。

万が一標的型攻撃メールを開いてしまった場合は、被害が拡大することを防ぐため、すぐに攻撃を受けたデバイスを社内ネットワークから切断し、システム管理などの部署に報告しましょう。

標的型攻撃メールとフィッシングメールの違いは?

標的型攻撃メールとフィッシングメールの違いは、ターゲットを絞っているか否かです。
どちらも情報を窃取することが目的で行われますが、標的型攻撃メールは攻撃対象が明確である一方、フィッシングメールは必ずしも攻撃対象を絞っているわけではありません。
そのためフィッシングメールのうち、攻撃対象を絞ったものが標的型攻撃メールと考えてもよいでしょう。

まとめ

標的型攻撃メールは、特定の組織や個人を狙ったメールのことです。
URLをクリックしたり、ファイルを開いてしまったりするとマルウェアに感染し、情報漏えいなどが起こってしまう可能性があります。

近年の標的型攻撃メールは件名・本文などがより巧妙になっているため、企業としてはセキュリティソフトの導入・従業員教育など、より対策に力を入れる必要があるといえます。
手口や特徴をきちんと理解したうえで対策を講じ、被害を受けないようにしましょう。

もし、標的型攻撃メールの対策方法をご検討中であれば「ALSOK 標的型攻撃メール訓練」の利用をご検討ください。
実際の状況に近い体験を通して、従業員・管理者がさまざまな気づきを得られるきっかけになるはずです。

セキュリティ無料相談