標的型攻撃メールとは？
巧妙な手口と対策のポイントをわかりやすく解説

標的型攻撃メールとは、特定の組織や個人を狙い、機密情報の窃取や業務の妨害を目的とする高度なサイバー攻撃のことです。不特定多数にばらまかれる一般的な迷惑メールとは異なり、ターゲットの業務内容や関係者を事前に調査した上で送られるため、受信者が騙されやすいのが特徴です。
以前は明らかに怪しいメールなど、誰もがすぐに見抜けるような単純なものも多かったのですが、近年は一見すると悪質な攻撃とは思えないものが増えています。そのため、気をつけていても被害に遭う可能性が高まっています。しかも目立たないように水面下で攻撃が行われるため、ウイルスに感染した後も気づかず、発覚したときにはもう手遅れという状態になっている場合も少なくありません。

狙われる中小企業とサプライチェーン攻撃

サイバー攻撃のきっかけとなっているものの多くはメールで、身代金を要求するマルウェア「ランサムウェア」も、メールを主な感染経路としています。さらに注目すべきは、攻撃対象の変化です。これまでは大企業や官公庁が主な標的でしたが、近年では中小企業や地方自治体にも攻撃が拡大しています。その背景には、セキュリティ対策が不十分な中小企業を「踏み台」として利用し、最終的に取引先の大企業や重要インフラを狙うという戦略があります。

AIによる巧妙化と脅威の拡大

特に2024年以降は、人工知能（AI）を活用した攻撃が急増しています。AIによって生成されたフィッシングメールは、従来型に比べて約350%も巧妙化しており、リンクのクリック率が50%を超えるという調査結果もあります。一見すると悪質なメールとは思えない自然な文面で作られているため、感染に気づかないまま被害が拡大する「APT（持続的標的型攻撃）」の入り口となるケースも増えています。
参照：IPA 独立行政法人 情報処理推進機構「情報セキュリティ10大脅威 2025」

代表的な手口は、ターゲットとなる企業の従業員に対して、取引先や知り合いのふりをして悪意のあるファイルやURLを含んだ巧妙な偽メールを送信します。そのファイルやURLを開くことで、パソコンやスマートフォンなどの端末がウイルスに感染し、企業の機密情報などが窃取されてしまいます。感染後、すぐに異常が表れるわけではなく、長期間にわたって潜伏しながら継続的に情報を盗み取る「APT（Advanced Persistent Threat：持続的標的型攻撃）」の入り口になるケースもあります。なかでも、AIを活用したフィッシングメールは以下のような点で従来の攻撃を大きく上回る精度を持っています。
ターゲットの個人情報や行動パターンをもとにパーソナライズされたコンテンツ

• 1.企業文化や専門用語を的確に反映した自然な文体
• 2.心理状態を突いた科学的な説得技術の活用
• 3.時事ネタや業界動向に合わせたタイムリーな話題の活用

こうした高度な攻撃は、従来のセキュリティ対策では検知が難しくなっており、AIを活用した新たな防御手法の導入が求められています。

標的型攻撃メールが中小企業にも広がっている背景には、以下の3つの要因があります。

1.セキュリティ格差の拡大

大企業や公的機関では、過去のサイバー攻撃をきっかけにセキュリティ投資が進み、防御体制が強化されています。一方、中小企業では「自社は標的にならない」という意識が根強く、予算や人材の制約から対策が後回しにされがちです。IPAの2024年度中小企業等実態調査によると、約6割の中小企業が過去3年間で情報セキュリティ対策に投資を行っておらず、約7割が組織的なセキュリティ体制を整備できていないことが明らかになりました。
参照：IPA独立行政法人情報処理推進機構「2024年度中小企業等実態調査結果」

2.サプライチェーンを介した攻撃戦略の進化

攻撃者は、大企業への直接攻撃が困難になる中で、セキュリティの甘い中小企業を「踏み台」として利用する戦略に移行しています。2024年の調査では、被害を受けた中小企業のうち、約7割が「自社のサイバーインシデントが取引先に影響を与えた」と回答しており、サプライチェーン全体のセキュリティ強化が重要課題となっています。

3.情報の価値に対する認識ギャップ

多くの中小企業が「うちは狙われる情報なんて持っていない」と考えてしまいがちですが、実際には取引先情報、顧客データ、個人情報、知的財産など、攻撃者にとって価値のある情報を多く保有しています。特に大企業と取引のある中小企業は、攻撃者から狙いやすい存在と見なされがちです。
これらの要因から、中小企業は「狙いやすく、攻撃の成功率が高い」コスト効率の良い攻撃対象と見なされており、標的型攻撃メールの対象として中小企業が含まれるケースが増加しています。

標的型攻撃メールには、どのような特徴があるのでしょうか。ここでは、2つの攻撃の手口を紹介します。

1.メールからのウイルス感染

標的型攻撃メールで最も般的な手口は、メールを通じたマルウェア感染です。この手法には、以下のような特徴があります。

• 精巧な偽装: 不特定多数へのばらまき型の迷惑メールとは異なり、取引先の社員名や実際の案件名など、信ぴょう性の高い情報を用いて非常にリアルな内容に仕立てられます。
• 心理的な揺さぶり: 「至急」「重要」「期限迫る」などの言葉で緊急性を演出し、受信者の冷静な判断を奪おうとする手口が見られます。
• SNSなどの事前調査: 攻撃前にSNSやWeb上の情報を収集し、それをもとに信頼性のあるメールに仕立てることで、受信者に疑念を抱かせにくくします。

感染したパソコンは、攻撃者によって遠隔操作され、社内ネットワークを通じて機密情報が盗まれてしまいます。
しかも、近年のマルウェアは検知回避機能を備え、業務に支障が出ないよう設計されているため、感染に気づかないまま情報を抜き取られてしまうケースも少なくありません。

2.感染後に加害者になるサプライチェーン攻撃

サプライチェーン攻撃とは、商品を製造販売する大企業に材料や部品を供給する中小企業を標的にしたサイバー攻撃です。この攻撃の特徴は下記の通りです。

• 「信頼の連鎖」の悪用: 長年の取引や日常的なやり取りにもとづく「信頼」を逆手に取り、正規のビジネスコミュニケーションを装って攻撃が仕掛けられます。
• 「踏み台」としての加害: マルウェアに感染した中小企業は、知らないうちに攻撃の「中継点」となり、結果的に取引先への攻撃の発信源になってしまいます。
• 被害の連鎖的拡大: 一度感染が始まると、サプライチェーンを通じてウイルスが次々に拡散し、被害が連鎖的に広がります。

サプライヤーとして材料や部品を製造する中小企業はセキュリティ対策が十分ではないことが多く、攻撃者にとって狙いやすい存在です。セキュリティの脆弱性を利用して標的型攻撃メールを送り、ウイルスを侵入させます。受信者は感染したことに気がつかないまま、関連する大企業にメールを転送することで、本当の標的である大企業へウイルスを侵入させるのです。正規のメールアドレスから送られることによって疑いを持たれにくく、結果的に大規模な情報漏洩へとつながる危険があります。また、中小企業自身が「攻撃の発信源」と見なされる可能性もあり、法的・社会的な責任が問われるリスクも生じます。だからこそ、サプライチェーン全体でのセキュリティ強化が急務なのです。

中小企業が標的型攻撃メールの標的となるのは、セキュリティに対する認識の低さが要因です。中小企業も上記のようなサイバー攻撃の対象になる恐れがあることを認識したうえで、会社で行うべき対策、社員個人が心がけるべき対策について知っておきましょう。

怪しいメールの見分け方

標的型攻撃メールでは特定のターゲットに送付するため、ビジネスメールと見分けがつかないものが多いのが現状ですが、以下のポイントに注意することで、不審なメールを見分けられる可能性があります。

タイトルや本文の日本語の言い回し

• 日本語の表現が不自然（機械翻訳の痕跡）、誤字が多い
• 過度に丁寧、または不自然にカジュアルすぎる文体
• 文脈に合わない単語や、文法の明らかな誤り

メールアドレスを確認する

• フリーメールアドレスの使用（取引先企業を名乗っているのに不自然）
• 表示名と実際のメールアドレスのドメインが一致していない
• 紛らわしいドメイン（例：company.co.jp → cornpany.co.jp）
• メールヘッダーやソースを確認して送信元の詳細を確認

URLのリンク先を確認する

• マウスオーバーで実際のリンク先を確認（表示URLとの不一致に注意）
• 短縮URLが使われている場合、本来のリンク先を隠している可能性あり
• 紛らわしい表記のドメイン（例：példa.com と pelda.com）
• 「http://」で始まるURL（特に情報入力を求める場合は要注意）

自社の業務フローや連絡ルールを明確にしておくことで、こうした不審点に気づきやすくなります。さらに最近では、「QRコードを使った誘導」や「正規サービスのリダイレクト機能の悪用」、そして「特殊文字や装飾文字を使ったURLのカモフラージュ」など、巧妙な新手の手口も増えています。こうした最新の手法についても、社内で継続的に情報をアップデートすることが重要です。

社員一人ひとりのセキュリティ意識を高める

標的型攻撃メールの手口は、「なりすましメール」によって社員個人を攻撃するものがほとんどです。どのようなメールが送られてくるのか、利用されるパターンを共有しセキュリティに対する意識向上を図るようにしましょう。サイバー攻撃の手口は日々進化しており、「一度学べば終わり」ではありません。四半期に一度はセキュリティ研修を実施し、最新の脅威や詐欺の手口を社員に共有することが不可欠です。
実際に発生した攻撃事例やセキュリティ関連情報を定期的に共有することで、「他人ごと」ではなく「自分ごと」として捉える意識を育てましょう。また、不審な点に気づいた際にはすぐに報告できる環境と文化づくりも大切です。報告した社員を責めるのではなく、早期発見につながる行動として積極的に評価することで、組織全体のリスク感度が高まります。オフィス以外の場所で仕事をするテレワーク環境では、新たなセキュリティリスクが発生します。在宅勤務中に不安や疑問を感じたとき、すぐに社内の担当者や同僚に相談できる体制を整えることが重要です。リモートでも利用できるセキュリティに関する相談窓口を明確にし、アクセスしやすい仕組みを用意しておきましょう。
そして、万が一攻撃を受けた場合に備えて、初動対応の流れを明文化し、事前に訓練しておくことが被害を最小限に抑える鍵となります。攻撃を受けた際に「何を、誰が、どうするか」を具体的に決めておくことで、緊急時にも冷静に行動できます。必要に応じて、外部のセキュリティ専門家や関係機関（警察、IPAなど）と連携できるよう、連絡先や対応フローの確認も忘れずに行っておきましょう。

基本のセキュリティ対策を徹底する

大掛かりな対策は時間もコストもかかります。しかし、最も大切なことは基本のセキュリティを徹底することです。これだけでも標的型攻撃メールの対策になることを理解しておきましょう。以下は、基本的な対策のポイントです。

1.メールセキュリティの強化

メールはサイバー攻撃の主要な侵入経路であり、それに対する防御策は重要なセキュリティ対策の一つです。まず、送信元の正当性を確認するための認証技術（SPF、DKIM、DMARC）を組み合わせて導入しましょう。これらを設定することで、なりすましメールが届きにくくなります。
次に、メールフィルタリングの強化です。単なる迷惑メール対策にとどまらず、振る舞い分析やAIによる検知機能を持つソリューションを活用することで、より巧妙な攻撃も見逃さずに防げます。さらに、メールに添付されたファイルは、「サンドボックス」と呼ばれる仮想環境で事前に実行・検査する仕組みを取り入れることで、悪意のあるプログラムの感染リスクを大幅に減らすことができます。これらの対策を組み合わせることで、メール経由での感染リスクを大きく低減でき、安全な情報のやりとりを実現します。

2.エンドポイントセキュリティの強化

社内で使われるパソコンやスマートフォンといった「エンドポイント」のセキュリティも徹底しましょう。まずは、OSやソフトウェアを常に最新の状態に保ち、既知の脆弱性を放置しないことが基本です。加えて、従来のアンチウイルスソフトだけでは防ぎ切れない高度な攻撃にも備えるため、AIによる振る舞い検知などを搭載した「次世代型アンチウイルス」の導入が効果的です。さらに、万が一マルウェアに感染してしまった場合に備え、感染後の異常をいち早く検知し、迅速に対応できるEDR（Endpoint Detection and Response）の活用も有効です。複数のレイヤーで防御する「多層的な対策」を構築することが、いまの時代に求められるエンドポイントセキュリティです。

3.アクセス制御の徹底

社内の情報に対するアクセスは、厳密に管理する必要があります。まず基本になるのが「最小権限の原則」です。社員には業務に必要な範囲でアクセス権限を与え、それ以上の情報にはアクセスできないように制限しましょう。
さらに、パスワードだけに頼らず、スマートフォンや生体認証などを組み合わせた「多要素認証（MFA）」の導入によって、不正ログインのリスクを大きく減らすことができます。特に注意が必要となるのが、管理者権限を持つ「特権アカウント」です。これらはサイバー攻撃の格好の標的となるため、アクセス状況を常に監視し、不審な動きがあればすぐに対応できる体制を整えておくことが重要です。

4.バックアップと復旧計画

サイバー攻撃、特にランサムウェアによる被害を受けた場合でも、事業を継続するためにはデータのバックアップと復旧計画が欠かせません。データは定期的にバックアップを取り、「3-2-1ルール」（3つのコピー、2種類の媒体、1つはオフサイトに保管）に従って実施しましょう。加えて、ランサムウェア対策として、バックアップデータをオフラインで保存したり、読み取り専用に設定したりするなど、感染を防ぐ工夫も重要です。そして、実際に被害に遭った場合に備え、復旧の手順を明文化しておくことも欠かせません。手順は定期的にテストし、必要なときに迅速に復旧できる状態を維持することで、事業への影響を最小限に抑えられます。

5.送信ドメイン認証（SPF/DKIM/DMARC）の導入

なりすましメール対策として非常に効果的なのが、送信ドメイン認証技術（SPF/DKIM/DMARC）の導入です。

• SPF（Sender Policy Framework）: 送信元のIPアドレスが正当なものかどうかを判別する仕組みです。DNSに送信許可IPの情報を記載することで、不正な送信元からのメールを検知できます。
• DKIM（DomainKeys Identified Mail）: 電子署名を使ってメールの内容が改ざんされていないかを検知します。秘密鍵と公開鍵のペアを生成し、メールサーバと連携させて設定します。
• DMARC（Domain-based Message Authentication Reporting and Conformance）: SPFとDKIMの認証結果にもとづいて、なりすましメールをどのように扱うかのポリシーを設定するものです。DNSにDMARCポリシーを追加し、まずは監視モードでレポートを収集。その後、問題がなければ段階的に隔離や拒否のモードへ移行するのが一般的な運用方法です。

しかし、基本のセキュリティ対策を行っていても完全に標的型攻撃メールを防ぐことは困難です。社員全員に同じレベルでセキュリティ教育をするには時間がかかります。専門スタッフを配置するだけの人的余裕もないかもしれません。こうした課題を解決するために、サクサでは製品やサービスを提供しています。

サクサが提供する「UTM（統合脅威管理アプライアンス）SS7000Ⅲ」は、サイバー攻撃によるウイルス感染や情報の流出など、セキュリティ対策のためのオールインワンツールです。被害による信頼低下を防ぎ、攻撃メール訓練によりセキュリティ意識を向上させる工夫も満載です。専門知識を持つスタッフがいなくても、自動で最新のファームウェアに更新するほか、保守サポートで管理も安心です。そのほか、具体的な機能についても紹介します。

• 高性能エンジン搭載のアンチウイルス: 最新のウイルスも検疫できます。新たな脆弱性が見つかり、まだ修正プログラムが提供されていない状況下でのゼロデイ攻撃にも対応し、社内ネットワークを安全に保ちます。
• スパム・迷惑メールからの不正Webサイトのリンクを検知: スパム、フィッシングメールをはじめ、メール本文内の不正Webサイトへのリンクも検知します。また、スパムやフィッシングメールの件名に「SPAM」タグを付与し、自動で振り分けることもできるため、迷惑メール対策を自分で行うなどの無駄な作業から解放されます。

標的型攻撃メールは年々手口が巧妙化し、特に近年はAIを悪用した高度な攻撃が急増しています。かつては大企業が主な標的とされていましたが、いまや中小企業も例外ではありません。すべての企業が対策を講じるべき時代に入っています。
効果的な対策には、「人」と「技術」の両面からのアプローチが欠かせません。人的対策としては、社員への継続的なセキュリティ教育と訓練を通じて、最新の脅威への対応力を高めることが重要です。技術的な対策では、送信ドメイン認証（SPF/DKIM/DMARC）を実装し、多層的な防御体制を構築することが求められます。
さらに、UTM（統合脅威管理アプライアンス）やAIを活用した検知・防御ツールの導入も有効です。経営層がセキュリティに主体的に関与し、明確なセキュリティポリシーの策定・徹底を行うとともに、サプライチェーン全体を視野に入れた取り組みが必要不可欠です。
クラウドベースのAIセキュリティソリューションは、従来の検知方法では見逃されがちな新種の攻撃を、異常パターンとして検出できる可能性を秘めています。
そして何よりも大切なのは、「完璧な対策は存在しない」という前提に立ち、「検知」「対応」「復旧」までを含めて、平時から備えておくことです。セキュリティ対策は一度で終わるものではなく、最新の脅威に応じて継続的に見直し・改善していくことが求められます。「いま被害に遭っていないから大丈夫」ではなく、「いまのうちに備える」ことが、事業継続と信頼の鍵を握っているのです。