そのメール、大丈夫？標的型攻撃メールの最新事例と企業が取るべき対策チェックリスト

情報資産は企業や組織にとって重要なリソースの一つです。情報資産は事業の根幹として利用されていることも多く、サイバー攻撃により事業活動の継続も脅かされる事態が起き得ます。そのため、ITシステムの構築や運用において、セキュリティ対策を欠かさず、脆弱性には迅速な対応を行うことがセキュリティ担当者には求められます。

しかし、万全を期したセキュリティ対策も標的型攻撃を受けることにより内側から崩されてしまう可能性があります。標的型攻撃はメールを起点とすることも多く、その文面の巧みさは生成AIの利用によりますます進化しているとされます。

本記事では標的型攻撃メールの最新事例と企業がとるべき対策について、具体的な文面やすぐに役立つチェックリストなどを用意して説明しています。

また、従業員のセキュリティ意識不足にお悩みのご担当者様必見。標的型攻撃メール訓練実施方法チェックリストを無料で配布しています。まずは流れをご確認ください。

標的型攻撃メールとは？ばらまき型との違い

​メール文面や事例に入る前に、あらためて標的型攻撃と標的型攻撃メールについて基本的な定義を確認しておきましょう。

​標的型攻撃（英：targeted attack）とは、攻撃者が機密情報の詐取など明確な目的を持って、特定の組織や個人を対象に行うサイバー攻撃です。無差別なウイルス感染を狙うような手口とは一線を画しており、価値の高い情報を保有する相手をターゲットとします。特に狙いすました攻撃によるフィッシングは、銛や水中銃による狩りを表す「スピアフィッシング」とも呼ばれます。また企業や組織の情報資産を狙ったランサムウェア攻撃やサプライチェーン攻撃の端緒としても利用されます。

標的型攻撃は価値のある対象を絞って攻撃を行う特徴から、もともとは手間のかかる大がかりなものであることが多い傾向にありました。背後に国家や国際機関が関わっている場合もあるとされます。Operation Aurora（オペレーションオーロラまたはオーロラ作戦）では、関連マルウェアが中国政府とつながりのある人物により作成されており、関与の可能性が指摘されました。近年ではMaaS（Malware as a Service）やRaaS（Ransomware as a Service）の登場や、生成AIなどの活用により技術的なハードルが下がり、中小企業や地方の組織などが狙われるケースも増えています。

標的型攻撃として送信されるメールを特に「標的型攻撃メール」と呼びます。

標的型攻撃メールについてもっと知りたい方は「業務連絡を装ったメールに注意！標的型攻撃メールの概要と対策」をあわせてお読みください。

ばらまき型との違い

メールを利用したサイバー攻撃として広く知られるものにフィッシングがあげられます。メールの内容にもよりますが、一般に無差別に利用者をねらいばら撒かれるケースが多く、このような攻撃はばらまき型と呼ばれます。ばらまき型では多くのターゲットの中の一部に攻撃が成功すればよく、利用者の特性などは考慮されない汎用的な文面が用いられます。

一方、標的型はメールの受信ターゲットを絞り、受信者のことを事前に調査して精度を高めていることに特徴があります。受信者の特性、業務、個人情報などを調査し、それに基づいたメールが送られてくるため、ばらまき型よりも被害の確率が高いとされます。

標的型攻撃の手口

​標的型攻撃の初期段階には、メールが多く用いられます。メールを取り掛かりとして、添付ファイルからのマルウェア感染、マルウェア感染に繋がるURLへの誘導、フィッシングサイトへの誘導などを行います。近年ではソフトウェアの脆弱性をついた侵入やバックドアなども端緒となります。

​マルウェアに感染させた後は、マルウェアが外部と通信を行い、ネットワークへの不正アクセスや社外への情報送信を行い、さらなる攻撃に繋がります。
フィッシングサイトに誘導された場合には、フィッシングサイトから重要な情報やパスワードが詐取され、さらなる被害に繋がってしまいます。

感染したマルウェアがランサムウェアだった場合には、データなどの情報資産が盾に取られて身代金を要求する脅迫が行われます。情報資産が暗号化されてしまうと、ITシステムの利用など通常の業務を行うことができなくなり、業務の停止に繋がるケースも多々見られます。

標的型攻撃と呼ばれる理由

​標的型攻撃と呼ばれる理由は、ターゲット（標的）についてあらかじめソーシャルエンジニアリング的手法などを用いて入念に調べ、業務内容など環境に合わせた攻撃を行うことがあげられます。ターゲットの業務内容や個人情報を把握した上で、業務に関連のありそうな内容、ターゲットの興味のある内容のメールを送信し、攻撃の精度をあげています。

ソーシャルエンジニアリングについては、こちらの記事も参照ください。

​無差別にメールをばら撒いて、引っかかった相手をターゲットとする手口とは一線を画すものです。

標的型攻撃の被害

標的型攻撃によりマルウェアに感染した場合、マルウェアの多くは感染端末の外部と通信を行います。企業などの組織内部のネットワークへ不正アクセスを行ったり、他端末へ感染を広げる振る舞いをしながら、継続的に情報を外部のサイバー犯罪者の元に送信し、情報が流出します。

組織内部の機密情報を盗まれたり、あらたなマルウェアへの感染、システムやデータの改ざん、破壊活動といったリスクがあります。
フィッシングにより情報を略取された場合にも、その情報を利用して被害が拡大してしまいます。

マルウェアがランサムウェアの場合は、情報資産の暗号化、情報資産を盾に取った脅迫などが行われ、通常の業務が成り立たない状況まで被害が広がるケースもみられます。

【手口別】標的型攻撃メールによる最新の被害事例

標的型攻撃メールについて、その事例を紹介します。

なお、標的型攻撃メールによる被害と公表する情報は少なく、実際に標的型攻撃を受けた場合にも攻撃者しか本来の攻撃の端緒を知ることはできないため、可能性について言及した事例を含めています。

Emotet（エモテット）による事例

標的型攻撃メールによりEmotetに感染した事例として、IPAが具体的なメールの本文とともに事例を紹介しています。

メールの送信者には受信者の取引先を装ったアドレスが設定され、タイトルは過去に自身が送ったメールのタイトルを流用、本文中には取引相手の署名のような記載も見られるため、本当に取引先からのメールと見間違うような精度が特徴です。

メールには添付ファイルがあり、Wordの文書形式です。他にもExcel形式の場合もあるようです。これらの添付ファイルにはマクロというプログラムが含まれており、実行してしまうとマルウェア（Emotet）に感染してしまう仕掛けとなっています。

ビジネスメール詐欺（BEC）による事例

東京大学

ビジネスメール詐欺（BEC）による被害事例として、2023年に東京大学の教員による学生の個人情報などの流出を公表したケースがあげられます。

報道によれば、対象の教員に対し講演依頼を装ったメールを送り、そのやり取りの中でクリックしたリンクからマルウェアに感染したとされています。学生、職員、卒業生の個人情報が2,400件以上流出する被害が発生しました。

日本年金機構

2015年、日本年金機構は125万人の個人情報の流出したことを報告しました。

2015年5月8日から18日の間に、業務用メールアドレスと職員個人の業務用メールアドレス宛に標的型攻撃メールが124通送られました。そのうち5通に対し添付ファイルを開いたり、URLへのリンクをクリックしてファイルをダウンロードしてしまったと報告しています。これが発端となり、サイバー犯罪者の侵入を許し、外部からの操作や不審な通信が行われる事態となりました。

​この攻撃における標的型攻撃メールでは、特定の拠点の職員を狙い、実在の職員の名前や業務に関係する内容を記載するなど、巧妙な手口が取られていました。

ランサムウェア攻撃、サプライチェーン攻撃の起点となった事例

ニコニコ動画

ニコニコ動画（運営：ドワンゴ）は、2024年にランサムウェア攻撃を受け、約2カ月間サービス提供ができない状況となり、25万人分の個人情報流出があったことを公表しています。契機は断定されていませんが、フィッシングによる従業員のアカウント情報詐取と推測されており、標的型メール攻撃がランサムウェア被害の起点となっている事例と考えられます。

また、この攻撃の際にはドワンゴと関係のあるKADOKAWAグループでも同様の被害が発生しており、サプライチェーン攻撃も同時に発生していると見られます。

なお、警察庁「令和５年におけるサイバー空間をめぐる脅威の情勢等について」によれば、ランサムウェア被害についての有効回答115件のうち、6件（5%）はメールやその添付ファイルを感染経路としていることが報告されています。

標的型攻撃メールの代表的なテーマ・文面

本項では標的型攻撃メールのサンプルとして、メールのテーマや文面サンプルをご紹介します。

標的型攻撃メールのテーマの具体例

標的型攻撃メールでよく利用されるテーマには、下記の具体例があります。

標的型攻撃メールの文面の具体例

人事担当者に向けた採用応募者を装ったメール

標的型攻撃メールではメールの受信者を想定し、業務に関するメールを装うことがあります。

セキュリティに関する注意を装ったメール

IPAなどの機関を装い、注意喚起などに見せかけたメールが送られることもあります。

フィッシング対策協議会では最新のフィッシングメールの文面を収集し、緊急情報として周知しています。トレンドを掴む上で有効なためチェックしてみてください。

こうしたサンプルを、もっと詳細な解説付きのpdf資料で確認しましょう。

標的型攻撃メールの見分け方

前項のような文面・テーマの特徴から、標的型攻撃メールの見分け方としては下記が挙げられます。

標的型攻撃メールの見分け方については、「標的型攻撃メールの対策方法とは？特徴や事例などについても解説」で解説していますので、詳しくはそちらをご参照ください。

標的型攻撃メールの最新の動向

前記の標的型メールの見分け方については、近年では通用しないメールも増えているようです。
その理由として、生成AIを利用して作成することにより、文面がより自然で正確なものになっていることがあげられます。海外からの標的型メールでは、流暢でない日本語が見分けるポイントとなっていましたが、この点で見分けることは難しくなってきているといえます。

【実践編】見分け方のポイントチェックリスト

ここまでに挙げてきた標的型メール攻撃の見分け方から、実践編としてすぐに利用できるチェックリストを作成しました。ぜひ、不審なメールを見つけた際には、下記のチェックリストにあてはまる点がないか確認して被害発生を未然に防ぎましょう。

[ ] 送信者のアドレスは本物か？(info@lrm.co.jp と info@lrm.co.jp.net のような微妙な違いに注意)
[ ] 返信先(Reply-To)のアドレスが送信元と異なっていないか？
[ ] 件名や本文の日本語は自然か？(不自然な敬語、漢字、言い回しはないか)
[ ] 件名に【緊急】【重要】など、不必要に行動を煽る言葉はないか？
[ ] 添付ファイルの拡張子はexe,js,scrなど、実行形式ではないか？

企業で実施すべき標的型攻撃メールへの対策

企業や組織において、標的型攻撃メール被害を防ぐために実施すべき対策を、主導者別に紹介します。

【組織編】情報システム部門が主導すべき対策

情報セキュリティに関する仕組みによる対策は、専門的な知識が必要とされるため情報システム部門や担当者が主導して組織内に展開すべき内容となります。

セキュリティ対策ソフトの導入

標的型攻撃メールでは不正なメールがマルウェアへの感染や情報の不正な窃取につながります。
そして、外部からの不正アクセスや社外への情報漏えいへと発展します。

そうなってしまわないよう、セキュリティ対策ソフトの導入も一つの対策です。マルウェアを検知するソフトや不正なアクセス・動作を検知するソフトなど多様な種類があるため、自社に合ったものを選びましょう。

ただ、Emotetなど、セキュリティ対策ソフトの検知をすり抜けるマルウェアも近年少なくないため、注意は必要です。

メールフィルタの利用

メールフィルタを利用し、特定の差出人やドメインをブラックリスト(受信拒否リスト)/ホワイトリスト(受信許可リスト)に入れて、配信元を制限するという方法もあります。

攻撃者のメールアドレスが判明している場合や、業務上特定の相手としかメールのやり取りをしない場合においては、セキュアにメールを利用する手段として有効かもしれません。

ただし、送信元ドメインが不明な未知の攻撃者をブラックリストに入れてしまうことはできませんし、また、過剰にホワイトリストを絞ってしまうことで業務上必要なメールまで受信できなくなる可能性があります。

標的型攻撃メール訓練・教育の定期実施

つまるところ標的型攻撃メールは、受信した従業員が引っかからないことが基本的にして最大の対策になります。従業員が標的型攻撃メールを適切に見分けられるようセキュリティリテラシー・意識を醸成しましょう。

注意が必要なのは、従業員にとってセキュリティ対策にポジティブなイメージがないことが多く、特にセキュリティ意識を保っておくことは難しいことです。

そのため、標的型攻撃メール対策としては、従業員が実際に自分ゴトとして攻撃メールを体感できる標的型攻撃メール訓練の実施が有効です。定期的な実施をすればセキュリティ意識の維持にも効果が期待できます。

セキュアなネットワークの構築と定期的診断

企業や組織の持つネットワークやサーバーなどのインフラをセキュアな状態にしておくことは、情報システム担当の重要な職務です。外部からの侵入検知、防止、VPNを利用したリモートワークやクラウドサービス利用における安全性確保など強固なセキュリティ対策を施した環境が望まれます。

一方で、構築したセキュアな環境はサイバー攻撃の進化に合わせてアップデートする必要があります。定期的にペネトレーションテストなどの手法を用いてセキュリティ診断を行い、アップデートの必要性を確認して高い水準を保つことが重要です。

情報統制（ガバナンス）の強化

万が一標的型攻撃メールなどで従業員のシステムへのアクセス情報が漏れてしまっても、アクセス可能な情報が適切に制限されていれば被害は最小限に抑えることが可能です。

アクセス制限、権限設定の見直しおよび組織内の情報統制を強化することも対策の一つとなります。

【個人編】全従業員が徹底すべき対策

標的型攻撃メールへの対策は、組織主導の対策以外にも全従業員が個人レベルで徹底すべき対策があります。

• 標的型攻撃メールを認識する
  標的型攻撃メールの攻撃方法や事例、文面例などを知り、他人事ではなく自分の身の上にも発生しうる問題だと意識することが重要です。標的型攻撃メールによる訓練はその契機となりますが、その後も常に意識しておく必要があります。

• エスカレーションルート
  標的型攻撃メールがいつ届くかわからないという認識とともに、もし自分が受信し誤った対応をしてしまった場合にどのような対応をすべきかを知っておくことも必要です。詳しくは次項で記載していますが、少なくともまずはどこに報告・相談するべきかエスカレーションルートを把握しておきましょう。

• 情報管理
  業務上で扱う情報の管理も個人で行う必要があります。不要な情報を持たない、利用済みの情報を削除する、他社に盗み見られないように工夫するなど地道ですが、重要な対策といえます。

• PC、ソフトウェアの脆弱性対応（パッチ最新化）
  仕組みによるセキュリティ対策の多くは情報システム部門が主導して対策しますが、各従業員の利用するPCやソフトウェアについては、それぞれにパッチの適用などを行い最新の状態を保つ必要があります。脆弱性が見つかってから、すぐにパッチをあてておけば被害が起こるかもしれない期間を短くできます。

対策が自社で実施できているか不安な方は、専門家によるセキュリティ診断をおすすめします。

【重要】標的型攻撃メールを開封してしまった場合の対処法

もし、誤って標的型メールを開封してしまった、添付ファイルを開いてしまった、マクロを実行してしまったという場合には、まずは下記を行いましょう。その後は、情報セキュリティ部門などの指示に従って行動します。

オフライン化

まずはPC（またはタブレットなどの端末）をネットワークから切断し、オフラインの状態にします。有線LANで接続している場合には物理的な抜線、Wi-Fiを利用している場合には接続設定をOFFにします。

上長・担当部署への報告

問題が起きたことを上長や担当部署に報告します。標的型攻撃メールによるマルウェアに感染してしまった場合は、被害の拡大を食い止めなければなりません。普段からエスカレーションルートを把握しておき、速やかに報告を行います。

パスワードの変更

標的型攻撃メールにより誘導されたサイトなどにアカウント情報の入力をしてしまった場合には、パスワードの変更を早急に行い、実際に悪用されることを防ぎます。問題が発生した端末はオフライン化しているため、他の機器からの接続となります。

標的型攻撃メール訓練を実施する

「セキュリオ」はセキュリティ教育を自動で簡単にはじめられるクラウドサービスです。
標的型攻撃メール訓練機能を備えており、標的型攻撃メールに向けた従業員教育にも利用できます。
無料トライアルや相談からはじめていただけますので、まずはサービスページからご確認ください。

専門家による診断サービス

LRMでは企業や組織に向けたセキュリティコンサルティングサービスを提供しています。
専門家によるセキュリティ診断、ISMS認証取得/運用など、まずは相談から受け付けております。
LRMのセキュリティコンサルティングサービス

その他にも標的型攻撃メールの対策が知りたい方は「標的型攻撃メールの対策方法とは？特徴や事例などについても解説」をあわせてお読みください。

まとめ

標的型攻撃メールの精度はますます高まっており、メールの内容や送信元のチェック、添付ファイルやリンクを安易に開かないというメール受信者の対応の重要性も同様に高まり続けています。

標的型攻撃メールの手口・事例においては

• マルウェア感染や偽サイトでの情報窃取が常套手段
• メールのテーマや件名・本文に代表的な特徴があり、見分けることも可能
• 従業員が適切に見分けられるようリテラシー・意識の醸成が必要

といったことが考えられます。
代表例・具体例を押さえて適切な対策を取りましょう。