標的型攻撃とは？狙われやすい企業の特徴と対策｜APT・侵入経路・多層防御を解説

標的型攻撃とは？バラマキ型との違いとAPTの脅威

標的型攻撃とは、特定の企業や組織を明確なターゲットとして定め、その組織が持つ機密情報や知的財産、金銭の窃取などを目的に、執拗かつ巧妙に行われるサイバー攻撃です。無差別にマルウェアを拡散する「バラマキ型」とは異なり、ターゲットを事前調査し、セキュリティの穴をピンポイントで狙ってきます。この攻撃は、事前準備・偵察・潜伏・拡散・目的達成までの一連のプロセスが緻密に設計されており、従来の防御策では検知が困難です。

明確な攻撃目的

標的型攻撃の動機は明確であり、主に以下の3点に分類されます。いずれも、ターゲット企業に深刻な経営ダメージを与えることを目的としています。

• 情報窃取: 機密情報、知的財産、個人情報などを盗み出し、売買や脅迫に利用する。
• 金銭要求: ランサムウェアでシステムを暗号化・停止させ、復旧と引き換えに高額な身代金を要求する。
• 業務妨害: 競合他社や国家背景の攻撃者が、システムの破壊や事業停止そのものを狙う。

長期間潜伏する「APT (Advanced Persistent Threat)」

標的型攻撃は、しばしば「APT（Advanced Persistent Threat：高度で持続的な脅威）」と同義で語られ、攻撃が一度きりで終わらないことを意味します。ターゲットに合わせてカスタマイズされたマルウェアや高度な手口を用いて侵入し、一度侵入したら目的を達成するまで、数ヶ月、場合によっては数年単位でネットワーク内部に潜伏し続けます。

IPA「情報セキュリティ10大脅威 2025」に見る脅威の実態

独立行政法人情報処理推進機構（IPA）が発表した「情報セキュリティ10大脅威 2025(組織編)」では、標的型攻撃が10年連続でランクインしており、企業が常に対峙すべき脅威であることがわかります。また、1位の「ランサムウェア」や2位の「サプライチェーン攻撃」の多くは、その発端として標的型攻撃の手法（巧妙な侵入）を用いているケースが非常に多く、「5位だから大丈夫」という油断が最も危険です。

出典：IPA「情報セキュリティ10大脅威 2025 [組織]」を基に作成
https://www.ipa.go.jp/security/10threats/10threats2025.html

あなたの会社は大丈夫？標的型攻撃に狙われやすい企業の特徴

攻撃者は、闇雲にターゲットを選んでいるわけではなく、「攻撃が成功しやすく、実入りが大きい」企業を狙っています。自社のビジネスやセキュリティ体制が、以下の特徴に当てはまっていないか確認しましょう。特に中堅・中小企業は「狙われにくい」と誤解されがちですが、実際には攻撃者にとって侵入しやすい経路として利用されることが多く、標的になりやすい傾向があります。

標的型攻撃の主な侵入経路

最も多い侵入経路：「標的型攻撃メール」

今なお、標的型攻撃の侵入経路として最も多用されるのが「標的型攻撃メール」（スピアフィッシング）です。これは、不特定多数に送られるバラマキ型とは異なり、ターゲットを徹底的に事前調査した上で実行されます。

• 特徴: ターゲット企業の業務内容、実在の取引先、同僚、公的機関（税務署、保健所など）を巧妙になりすまします。
• 手口: 業務連絡と信じ込ませ、本文中のURLリンクのクリックや、添付ファイル（Word, Excel, PDF, Zipなど）の開封を促します。
• 結果: 受信者がファイルを開く（またはリンクをクリックする）ことでマルウェアに感染し、攻撃者に侵入の足がかりを与えてしまいます。

この手口は、従業員の心理を突くため、技術的対策だけでなく教育・訓練が不可欠です。

ターゲットが閲覧するサイトを改ざんする「水飲み場攻撃」

「水飲み場攻撃」は、ターゲットが信頼している場所（＝水飲み場）で待ち伏せする手口です。

• 特徴: 攻撃者は、ターゲット企業の従業員が頻繁に閲覧するWebサイト（業界団体のニュースサイト、関連企業のブログなど）を事前に特定します。
• 手口: 事前に特定したWebサイトを改ざんし、マルウェアを仕掛けておきます。
• 結果: ターゲット企業の従業員が、信頼しているそのサイトにアクセスするだけでマルウェアに感染してしまいます。防御側からは通常のWeb閲覧にしか見えないため、検知が困難です。

この攻撃は、WebフィルタリングやURL監視だけでは防ぎきれないため、EDR（Endpoint Detection and Response）などの振る舞い検知が有効です。

関連記事：今さら聞けない「EDR」とは？基本的な役割と導入後の運用課題をわかりやすく解説

リモートワーク環境（VPN・RDP）の脆弱性を突く侵入

外部から社内への接続口は常に攻撃者に狙われています。特に、セキュリティパッチが適用されていないVPN機器の脆弱性を悪用されるケースが後を絶ちません。また、リモートデスクトップ（RDP）のポートがインターネットに公開されており、簡単なパスワードが設定されている場合、総当たり攻撃によって容易に侵入されます。

侵入後の脅威：潜伏と内部拡散（ラテラルムーブメント）

侵入は「攻撃の始まり」に過ぎない

標的型攻撃メールやVPNの脆弱性を突いて、一台のPCへ侵入したとしても、そのPCに重要な情報があるとは限りません。攻撃者の最終目的は、社内の機密情報が保管されている「重要サーバー」や、ネットワーク全体を管理する「管理者権限（特権ID）」を奪取することです。

潜伏期間中の内部偵察と情報収集

攻撃者は、侵入が発覚しないよう、まずは静かに潜伏します。そして、数週間から数ヶ月、場合によっては年単位の時間をかけて、以下のようにネットワーク内部を偵察します。

• Active Directory（AD）サーバーはどこか
• ファイルサーバーの構成はどうか
• バックアップはどこに保存されているか
• 管理者のアカウント情報は盗めないか

この偵察フェーズでは、ログイン履歴やアクセス権限の調査、ネットワーク構成の把握など、極めて静的かつ巧妙な活動が行われます。

最終目的（情報窃取・ランサムウェア展開）の実行

十分な情報を収集し、管理者権限を奪取すると、ネットワーク内部を自由に移動しながら、機密情報が保管されているサーバーにアクセスし、データを外部に転送します。あるいは、ネットワーク全体にランサムウェアを展開し、一斉にデータを暗号化して身代金を要求します。この段階で初めて、企業は攻撃を受けていた事実に気づくのです。
つまり、標的型攻撃は「静かに始まり、突然爆発する」タイプの脅威であり、早期検知が極めて重要です。

標的型攻撃から企業を守る実践的な対策（多層防御）

巧妙な標的型攻撃を100%防ぐことは不可能です。「侵入はあり得る」という前提に立ち、「予防」だけでなく「検知」「対応」を組み合わせた「多層防御」と、セキュリティ運用の体制構築が不可欠です。

入口対策：多要素認証、標的型攻撃メール訓練、パッチ管理

まずは、侵入経路をできる限り防ぐ「予防」対策です。

• 多要素認証（MFA）: VPNやRDP、クラウドサービスへのアクセスには、ID/パスワードだけでなく、MFAを必須とし、不正ログインを防ぎます。
• 標的型攻撃メール訓練: 定期的に疑似メール訓練を実施し、従業員のセキュリティリテラシーを向上させます。
• パッチ管理: OSやソフトウェア、特にVPN機器などの脆弱性をなくすためのセキュリティパッチを迅速かつ確実に適用します。

内部対策：EDR/XDRによる侵入後の「不審な動き」の可視化

従来のアンチウイルス（EPP）が「既知のマルウェア」を防ぐのに対し、EDRはPCやサーバーの「振る舞い」を常時監視します。さらにXDR（Extended Detection and Response）は、EDRの情報に加え、ネットワーク機器やクラウドのログも相関的に分析し、より高度な脅威検知を実現します。EDR/XDRは、侵入後の“静かな活動”を可視化し、早期に異常を検知するための中核技術です。

関連記事：XDRとは？攻撃の全体像を可視化する次世代セキュリティをわかりやすく解説

出口対策：SOC/MDRによる24時間監視と迅速なインシデント対応

EDR/XDRを導入するだけでは対策は完了しません。これらのツールが発する大量のアラート（警告）を、24時間365日体制で専門家が分析し、それが本当に危険な攻撃なのかを判断し、即座に対応（端末の隔離など）する必要があります。この高度なセキュリティ運用体制を自社で構築・維持するのは困難です。

そこで、専門家が監視・分析・対応を代行する「SOC（Security Operation Center）」や「MDR（Managed Detection and Response）」サービスの活用が、現実的かつ効果的な「出口対策」となります。

まとめ：標的型攻撃対策は「侵入前提」＋「継続的な監視体制」の構築が鍵

標的型攻撃は、特定の企業を狙い、巧妙かつ執拗に仕掛けられる深刻な脅威です。特に本記事で挙げた「狙われやすい企業の特徴」に当てはまる企業は、自社が常にターゲットであると認識し、従来のセキュリティ対策を見直す必要があります。「侵入はあり得る」という前提に立ち、入口対策を徹底するだけでなく、EDR/XDRによる「早期検知」と、SOC/MDRによる「迅速な対応」を組み合わせた「継続的な監視体制」の構築を進めましょう。