標的型攻撃メールとは？事例や対策について徹底解説

標的型攻撃メールとは、特定の組織をターゲットに、不正プログラムが仕組まれたメールを送信し、機密情報を窃取するサイバー攻撃の手法の一つです。一般的なばらまき型攻撃メールとの違いは、取引先や顧客などを装って巧妙なメールを送るため、一見してサイバー攻撃と気づくのは難しい点です。

まずは、標的型攻撃メールがどのようなものかを理解し、どう対策すべきかを知ることが大切です。

本記事では、標的型攻撃メールの特徴や手口、事例や対策について詳しく解説します。年々巧妙化する標的型攻撃メールを回避するためにも、ぜひ参考にしてみてください。

標的型攻撃とは、民間企業や官公庁、団体など特定の組織を狙うサイバー攻撃のことです。組織の機密情報の窃取、業務妨害を目的としています。

標的型攻撃は、標的となる組織を徹底的に調べ、入念に準備してから攻撃するのが特徴です。取引先や顧客、従業員などを装ってメールを送信するため、真偽の判別が難しく、攻撃を受けてしまう可能性が高いといえます。

メールは標的型攻撃の手法の一つ

標的型攻撃メールは、標的型攻撃の代表的な手法の一つです。実際の取引先や顧客に巧妙に扮してメールを送信するため、従業員が不審に思わずに開封してしまうリスクが高まります。

また、メール以外によくある標的型攻撃に「水飲み場型標的攻撃」があります。水飲み場型標的攻撃は、特定のターゲットが頻繁に閲覧するWebサイトを改ざんして不正プログラムを組み込むことで、ウイルス感染やマルウェア感染を引き起こす攻撃手法です。

自然界でライオンが水飲み場で待ち伏せして獲物を狩る姿に似ていることから「水飲み場型標的攻撃」と呼ばれます。

普段閲覧しているWebページに知らぬ間にウイルスが仕込まれているため、メールと同様に判別が難しい攻撃の一つです。

標的型攻撃メールとビジネスメール詐欺との違い

ビジネスメール詐欺とは、取引先や自社の経営者などになりすまし、メールを使って指定口座への振り込みや口座変更の指示を促す詐欺です。「Business Email Compromise」を略して「BEC」とも呼ばれます。

どちらも企業をターゲットにメールを利用する犯罪行為ですが、標的型攻撃メールとビジネスメール詐欺の主な違いは、その目的にあります。

▼攻撃の目的▼

ビジネスメール詐欺は金銭を詐取すれば目的達成となりますが、標的型攻撃メールは窃取した機密情報を利用してさらなる攻撃を仕掛けるなど、他の犯罪行為に発展するリスクがあります。

なお、ビジネスメール詐欺では、以下のようなメールが送られてきます。

画像出典：IPA「ビジネスメール詐欺（BEC）の詳細事例６」

標的型攻撃メールの手口

標的型攻撃メールの手口は、実在する取引先や顧客、従業員などに偽装してメールを送信することです。

メールを受信した担当者が添付ファイルを開封したり、文中のサイトURLリンクをクリックしたりすることで、PCなどの端末がマルウェアに感染し、重要な情報を盗み出す仕組みです。

マルウェアに感染するとウイルスが社内ネットワーク内を横移動して、より重要なシステムや機密性の高いデータが狙われる可能性もあります。なお、マルウェアのこのような挙動を「ラテラルムーブメント」といいます。

標的型攻撃メールでは、攻撃者は事前にターゲット組織の取引先や顧客などの情報を詳細に調査し、巧妙になりすまして標的型攻撃メールを送信します。実在する組織や担当者になりすましてメールを作成するため、メール本文の内容に違和感がなく、担当者が見抜くのが困難な場合が多いのです。

IPA「情報セキュリティ 10大脅威 2025 組織編」によると、標的型攻撃は組織向けの情報セキュリティの脅威として、上位にランクインしています。

• ランサム攻撃による被害
• サプライチェーンや委託先を狙った攻撃
• システムの脆弱性を突いた攻撃
• 内部不正による情報漏えい等
• 機密情報を狙った標的型攻撃
• リモートワーク等の環境や仕組みを狙った攻撃
• 地政学的リスクに起因するサイバー攻撃
• 分散型サービス妨害攻撃（DDoS攻撃）
• ビジネスメール詐欺
• 不注意による情報漏えい等

出典：IPA「情報セキュリティ 10大脅威 2025 組織編」

ここには、ビジネスメール詐欺もランクインしています。ビジネスにおいて日常的に使用されるメールは、こうした犯罪行為に悪用されやすいため、徹底した注意と対策が必要です。

標的型メール攻撃は減少傾向にあるが依然として脅威

少し古いデータになりますが、警察庁が令和元年に発表したデータでは、令和元年中の標的型攻撃メールの件数は5,301件でした。また、令和2年には4,119件の標的型攻撃メールが発生しています。

なお、令和元年を最新とした過去5年の標的型攻撃メールの発生件数は以下のとおりです。

出典：警察庁「令和元年におけるサイバー空間をめぐる脅威の情勢等について」　/　警察庁「令和２年におけるサイバー空間をめぐる脅威の情勢等について」

平成30年をピークに、標的型攻撃メールの発生件数は減少傾向にあります。しかし、近年は生成AIが進化したこともあり、標的型攻撃メールはより巧妙化しているのが新たな課題です。

データ上では標的型攻撃メールの発生件数は減少傾向にあるものの、手口が巧妙化していることで、企業もそこに対応できる対策が必要になってきています。

なお、警察庁「令和6年における サイバー空間をめぐる脅威の情勢等について」によると、令和6年におけるフィッシング報告件数は171万8,036件、インターネットバンキングに係る不正送金事犯の被害総額は約86億9,000万円でした。

このように、メールを悪用したサイバー攻撃に遭うリスクは依然として高いことがわかります。

ここでは、標的型攻撃メールの事例をご紹介します。

百万件以上の個人情報の流出

2015年、標的型攻撃メールにより百万件以上の個人情報流出が発生。始まりは職員のメールアドレスに届いた1通のメールでした。

職員がメール本文に記載されていたURLをクリックしたところ、マルウェアに感染。この時点でウイルス対策ソフトを更新するなどして一旦収束したかに思われました。

しかし、その後さらに約120名の職員のメールアドレスに不審なメールが届き、うち3名が添付ファイルを開いたところマルウェアに再び感染。最終的に27台のPCがウイルスに感染し、情報が漏えいしました。

なお、最初にメールを受信した職員は「メール本文には実際の業務に関係するキーワードが含まれていて、内容は一見、怪しいものではなかった」と語っています。

窃取されたアカウントで標的型攻撃メールを送信

2024年、大手メーカーにて、従業員1名のアカウント情報の窃取が判明。この窃取されたアカウントから多数の標的型攻撃メールが送信されました。

アカウントの乗っ取り被害に遭ったのち、標的攻撃の加害者となってしまった事例です。実在する従業員のアカウント情報を使用してメールが送信されていたため、真偽を判別しにくく、被害が拡大するリスクが高いといえます。

数百万人の個人情報が流出

大手旅行代理店にて、約680万人の個人情報が流出した事例が発生しました。取引のある航空会社系販売会社のドメインを偽装したメールをオペレーターの1人が開封したことで、マルウェアが作動。

このマルウェアはサーバー2台とPC6台に広がり、重要データを格納していたデータベースにアクセスしてCSVファイルを生成し、個人情報の窃取に至っています。

アカウント情報の詐取

2024年11月、某大学の職員に多数のフィッシングメールが送信された事例が発生。メールには同大の認証サイトに模したフィッシングサイトへのリンクが埋め込まれており、一部教員が認証情報を入力したことでアカウント情報が詐取されてしまいました。

幸い、情報セキュリティ担当者への通報が早く、迅速に初動対応できたことで窃取された情報は即日無効になり、被害の拡大は防げました。

標的型攻撃メールに遭うことは機密情報の窃取による業務妨害や二次犯罪の拡大だけでなく、企業の信頼性の低下にもつながる問題です。

年々手口が巧妙化している標的型攻撃メールを100％防御することは困難ですが、リスクを少しでも下げるための対策が不可欠です。標的型攻撃メールには、以下の2軸から対策に取り組む必要があります。

• 技術的対策
• 人的・組織的な対策

技術的対策

まず必須で行うべきは、技術的な対策です。主な技術的対策として、以下のようなものが挙げられます。

さまざまな技術的対策がありますが、近年生成AIの進化や新たな不正プログラムの増殖もあり、技術的対策だけでは防御が難しいケースも増えています。

たとえば、ウイルス対策ソフトを使用していても、ソフトが認識していない新たな不正プログラムが標的型攻撃メールに使用されている場合、検知できないことがあります。

また、ネットワーク監視を行っていても、標的型攻撃メールの不正プログラムは通常の通信ルートを使用して外部と通信を行うため、異常な動きを検知するのが難しいケースも珍しくありません。

人的・組織的な対策

技術的対策だけでは防御が難しい標的型攻撃メールは、人的・組織的な対策も併用することが不可欠です。

標的型攻撃メールは受信しただけでは、何も起こりません。情報漏えいが発生するのは、メールに添付されたファイルを開いたり、本文に記載されているURLをクリックして情報を入力したりした場合です。

情報の窃取や漏えいを引き起こすマルウェアは、メールを開いた人が何らかのアクションを起こすことで感染します。

そのため、以下のようなポイントから従業員一人ひとりの警戒意識を高めることが必要です。

• むやみにメールの添付ファイルを開かない
• 不審なメールがきたら報告する
• 不審なメールの添付ファイルの開封や、URLをクリックした場合は組織のルールに従って行動する

まず重要なのは、不審なメールを「見分ける力」です。しかし、年々手口が巧妙化している標的型攻撃メールを見分けられず、何らかのアクションを起こしてしまう場合もあるかもしれません。

そうした場合でも、被害の拡大を防ぐには初動対応が大切です。標的型攻撃メールに関する対応ルールを策定し、それに従って迅速に行動できる状態が望ましいといえます。

ただし、ルールを知っているだけでなく、いざというときに実際に行動できるかが重要です。突如として送られてくる標的型攻撃メールにいつでも対応できる体制を整えるには、継続した教育・訓練が必要です。

詐欺メールの具体例を知っておくことも有効

標的型攻撃メールは、自社の従業員や取引先など、実在する関係者を装ってメールを送信する手口です。偽メールを見分けるには、実際にどのようなメールが送信されているのかを知っておくことも対策として有効です。

IPAの公式サイトでは、ビジネスメール詐欺の事例集を公開しています。ビジネスメール詐欺と標的型攻撃メールは、類似する攻撃であるため、ビジネスメール詐欺の具体例もチェックしてみてください。

IPA：ビジネスメール詐欺の事例集を見る

従業員一人ひとりの警戒意識を高めるための方法として、「標的型メール訓練サービス」があります。このサービスでは、攻撃メールを模擬した「訓練メール」を対象者に送信し、実際にどのようなメールが来るのかを体験してもらいながら対応を訓練できます。
標的型メール訓練を実施することで、従業員のセキュリティ意識が向上するほか、社内ルールの問題点や標的型攻撃メールに対する従業員の理解度・対応度がわかり、組織の潜在的なセキュリティリスクも把握可能です。

▼標的型メール訓練サービスの目的▼

標的型メール訓練実施の流れ

標的型メール訓練は、約2ヶ月の期間で訓練から報告完了までのプロセスを実施します。

ＪＢＣＣの訓練担当がお客様のクラウド環境に接続し、その中に構築した訓練システムを通して訓練対象者となる従業員にメールを送信。その後の状況について結果を報告します。

訓練結果をもとに改善計画まで提案し、標的型攻撃メールに対応できる体制構築を支援します。
詳しくはＪＢＣＣの「標的型メール訓練サービス」の紹介ページをご覧ください。

標的型メール訓練サービス

攻撃メールを模擬した訓練メールを送信し、実践形式でセキュリティ攻撃への対応を訓練します。

詳細を見る

本記事では、標的型攻撃メールの手口や事例、対策について解説しました。

標的型攻撃メールの発生件数は年々減少傾向にあるものの、近年は生成AIの発展により、より手口が巧妙になりつつあります。IPAが発表している情報セキュリティ10大脅威にも上位にランクインしており、企業にとって標的型攻撃メールは大きな脅威です。

標的型攻撃メールを対策するには、ウイルス対策ソフトやネットワーク監視といった技術的な対策とあわせて、人的・組織的な対策も必要です。

人的・組織的な対策の一つとして、ＪＢＣＣが提供する「標的型メール訓練サービス」が活用できます。攻撃メールを模擬した訓練メールを送信し、実際のケースを体験しながら訓練できます。

いざという時に迅速に行動するためには、体験型の訓練が有効です。標的型攻撃メールに備えて従業員の意識を高めたいという場合、ＪＢＣＣの「標的型メール訓練サービス」についてお気軽にお問い合わせください。

製品・サービス

標的型メール訓練サービス

攻撃メールを模擬した訓練メールを送信し、実践形式でセキュリティ攻撃への対応を訓練します。

詳細を見る