標的型攻撃メールとは？
特徴や見分け方、対策方法を解説

標的型攻撃メールは、特定の企業や個人を標的にし、巧妙に偽装された手法で機密情報の窃取を目的とするサイバー攻撃の一種です。一般的な迷惑メールとは異なり、受信者にとって違和感のない内容や差出人を装うことで、リンクをクリックさせたり、添付ファイルの開封を誘導します。

IPA (情報処理推進機構) の「情報セキュリティ10大脅威 2024」では、標的型攻撃メールは組織向け脅威の第4位にランクインしています。2016年以降9年連続で「10大脅威」に選出されており、組織を運営するうえで、継続的に対策しなければならない深刻な問題であることがわかります。

同ランキングの1～5位については、以下のとおりです。(注)

標的型攻撃メールは業務メールなどに似せて作られ、見分けがつきにくい場合が多いのが特徴です。巧妙にセキュリティをすり抜けて受信者のもとに届き、不審な点に気づかずに、添付ファイルやリンクを開いてしまうことで被害が発生します。

主な被害は、遠隔操作ウィルスへの感染、重要な機密情報の漏えい、不正アクセスによるシステム侵入などです。いずれも企業の信頼性に大きな影響を及ぼし、多大な損失を招くこともあります。

ランサムウェアは、コンピューターやネットワークに侵入して、デバイスをロックしたりデータを暗号化することで使用不可能にし、復元するために多額の金銭 (身代金) を要求するマルウェアです。
対して、標的型攻撃メールは企業や個人を狙い、機密情報の窃取や不正アクセスを目的とするサイバー攻撃の手段です。

ランサムウェアは従来、対象を絞らないばらまき型や無差別攻撃が主流でした。しかし、近年のセキュリティ対策強化傾向により、効率的に感染を拡大させることが困難になったため、VPNの脆弱性を悪用したり、特定の組織を狙ったフィッシングメールなど、ランサムウェアにも標的型攻撃の手法が採用されつつあります。

標的型攻撃メールには、不自然な日本語が含まれていることがあります。メール本文や件名に、「貴方さまのセキュリティは非常に危険です」「至急ご確認お願いいたします」といった、ぎこちない言い回しや誤った敬語、直訳的な表現が見られる場合は要注意です。送信元が日本の企業であるのにも関わらず、不自然な日本語のメールは、標的型攻撃メールの可能性があります。

日本語のメールで一般的に使用しない文字や記号が含まれている場合も、標的型攻撃メールの可能性があります。
これは、攻撃者がメールを作成する際に文字コードやフォント設定を正しく行わなかったり、翻訳ツールの影響で見慣れない表記が発生することがあるためです。

心当たりのない件名にも注意が必要です。例えば、「重要：アカウントのセキュリティ問題」や「Amazonのアカウント更新」といった、身に覚えのない件名で送られてくるメールは、詐欺メールである可能性があります。

このようなメールは、緊急性を強調する内容で受信者の不安を煽り、リンクをクリックさせることを目的としています。安易にリンクをクリックせず、送信元のアドレスや本文の内容を慎重に確認することが重要です。

フリーメールアドレス (例: @gmail.com、@yahoo.com) を差出人とするメールは、標的型攻撃メールの可能性があります。
企業の正規メールであれば通常は独自ドメイン (例: @example.com) が使用されるためです。

HTMLメールでは、表示されているURLと実際にリンク先として設定されているURLが異なることがあります。
例えば、メール上では「www.example.com」と表示されていても、クリックすると「phishing-site.com」に誘導されます。リンクをクリックする前に、URLをコピーしメモ帳に貼り付けて、実際のリンク先を確認する習慣を身につけることが重要です。

署名内容が誤っているメールには細心の注意が必要です。
例えば、「株式会社〇〇サポートセンター」など、一見すると正式な署名に見えても、調べてみると存在しない組織名だったという場合があります。受信したメールに疑問を感じた場合は、公式な企業名や連絡先を調べ、内容が一致しているかを確認することが重要です。

メールに「.lnk」拡張子のショートカットファイルが添付されている場合も危険です。
例えば、「invoice.lnk」のようなファイルをクリックすると、マルウェアがダウンロードされ、システムに侵入される可能性があります。心当たりのないショートカットファイルは開かず、無視するか削除するのが安全です。

メールに「payment_invoice.exe」や「security_update.scr」といった形式のファイルが添付されている場合、ファイルを実行するとマルウェアやウィルスがシステムに侵入する可能性があります。

さらに、圧縮ファイル「.zip」内に実行形式ファイルが含まれている場合も注意が必要です。一見無害に見える圧縮ファイルでも、中に危険なプログラムが仕込まれていることがあります。

ファイル拡張子が偽装されている場合も注意が必要です。二重拡張子や空白文字を挿入して偽装された拡張子のファイルが添付されていることがあります。例えば、「document.pdf .exe」のように、一見PDFファイルに見えても、実際には実行形式ファイルであるケースです。ファイルを開くと、マルウェアがインストールされるなどの被害を受ける可能性があります。

2024年、国内の企業において、社員のサインイン情報が窃取され、その社員のアカウントが不正に利用されるインシデントが発生しました。原因は、社員が取引先を装ったメールに記載されたURLへアクセスし、IDとパスワードを入力したことで、同アカウントから約900通の標的型攻撃メールが外部に送信される事態となりました。
調査の結果、海外からの不正アクセスが確認され、企業はセッションのリセットとパスワード変更を実施することで、不正アクセスを遮断しました。また、当該アカウントから送られた攻撃メールにはリンクが含まれており、受信者に対し、リンクにアクセスしないことを呼び掛けています。
しかし、最終調査で、当該企業および関連企業、取引先の一部個人情報の漏洩が明らかになりました。企業では、関係者へ個別に謝罪するとともに、再発防止策として当該アカウントへの社外からのアクセス制限、全従業員への注意喚起を行っています。

標的型攻撃メールには、5つの対策方法があります。

標的型攻撃メールの訓練によって、社員のセキュリティ意識を向上させ、怪しいメールを見抜く力を養うことが可能です。
また、受信後の速やかな報告手順を練習することで、迅速な対応が可能となり、二次被害の防止にもつながります。

訓練では標的型攻撃メールの特徴を装ったメールを社員へ配信し、その反応を集計します。その後、集計結果を分析して今後の課題を明確化し、必要に応じて再訓練や研修の計画を策定します。このように課題を明確にしたうえで研修を実施することにより、社員一人ひとりのセキュリティ意識が向上し、結果として組織全体のセキュリティ強化につながります。

OSやアプリケーションを常に最新の状態に保つことで、新たに発見された脆弱性は修正され、セキュリティが強化されます。攻撃者は常にシステムの隠れた脆弱性を探しており、放置すればウィルスやマルウェアの侵入リスクが高まるため、OSやアプリケーションの更新を怠らないことが重要です。

また、自動更新機能を有効にすることで、重要なアップデートを逃さず適用でき、セキュリティリスクの軽減につながります。

セキュリティソフトを導入することは、既知のウィルスやマルウェアを防ぎ、不正アクセスを防止するための基本的な対策です。ファイアウォールや安全でないサイトの検知など多様な保護機能を備えています。

ただし、セキュリティソフトだけですべての脅威を防げるわけではない点に、注意が必要です。攻撃手法は日々進化しており、新たなマルウェアや未知の脆弱性を利用する攻撃が次々と生まれています。そのため、セキュリティソフトを過信せず、ほかの対策と組み合わせることが重要です。

ウィルス対策ソフトを活用して怪しいメールをあらかじめフィルタリングすることで、被害のリスクを大幅に低減できます。標的型攻撃メールのみならず、スパムメールやフィッシングメールなどの対策も可能です。

また、送信ドメイン認証技術 (SPF、DKIM、DMARCなど) を利用することで、なりすましメールを未然に防ぐことができます。
これらの対策によって不審なメールが社員に届くことを防ぐ仕組みを構築できれば、セキュリティを大幅に強化可能です。

日頃から社内におけるセキュリティ教育を徹底することが大切です。
例えば、不正アクセスや情報漏えいの被害事例を共有し、サイバー攻撃の動向などを学ぶことが挙げられます。
このような研修などを定期的に開催することで、社員一人ひとりのセキュリティ意識を向上させることが可能であり、このことがセキュリティ事故を防ぐ最も効果的な対策といえるのです。