標的型攻撃の対策はどう進める？攻撃の進行プロセスを踏まえた多層防御で最新の脅威から自社を守る

標的型攻撃は、特定の組織を狙って機密情報や知的財産を窃取する計画的なサイバー攻撃です。対象組織の業務実態やシステム環境を綿密に調査した上で侵入や攻撃が実行されるため、アンチウイルス（EPP）を中心とした侵入防止型のセキュリティ対策だけでは防ぎきれないケースが増えています。

最新の脅威を前提に、入口・内部・出口の各段階で防御層を構築する多層防御と、CSIRT（Computer Security Incident Response Team）や従業員教育を含めた実践的な対策を解説します。

標的型攻撃の概要を把握する

特定企業や組織を明確なターゲットとして入念に計画される脅威であり、独立行政法人 情報処理推進機構（IPA）が公表している「情報セキュリティ10大脅威^※1」にもランクインする深刻な問題です。不特定多数を狙う無差別攻撃とは異なり、対象組織の業務体制や人間関係を事前調査した上で実行されるため、防御が困難になる点が特徴です。

特定の組織を狙い撃つ手口を理解し、攻撃の特徴や進行の考え方を把握することが、効果的な対策を検討する第一歩となります。

特定の組織を狙い撃つ手口を学ぶ

特定の組織を狙い撃つ標的型攻撃は、攻撃者が明確な目的をもって長期間にわたり執拗に仕掛ける脅威です。

主な狙いは、機密情報や知的財産の窃取による金銭的・戦略的利益の獲得にあり、加えて業務妨害やシステム停止を通じて事業活動の継続に影響を及ぼすこと、すなわち事業活動や社会的信頼を損なわせる行為も含まれます。

攻撃者は企業における技術情報や顧客データ、官公庁における個人情報や業務情報といった価値ある資産を狙い、盗み出した情報を悪用して経済的損害を与えます。不特定多数を狙う通常のサイバー攻撃と異なり、ターゲットを絞り込んだうえで周到に準備されるため、一度狙われると継続的な脅威にさらされる点が特徴的です。

攻撃の分類だけでは、現在の脅威を十分に捉えきれない

サイバー攻撃は、無差別攻撃と標的型攻撃という分類で整理されることが一般的です。標的型攻撃は、特定の組織を狙って計画的に実行される点に特徴があります。

一方で、無差別攻撃のように広く対象に侵入が試みられるケースであっても、侵入後の活動を通じて価値の高い組織や情報資産がより深く狙われていくケースも少なくありません。そのため、攻撃を分類だけで理解するのではなく、どの段階でどのような行動が行われるのかという「進行プロセス」の視点で捉えることが重要です。この視点を前提にすることで、各段階に応じた対策を検討できるようになります。

現在のサイバー攻撃はどのように進行するのか

現在のサイバー攻撃は、特定の手法だけで完結するものではなく、複数の攻撃手段を組み合わせながら段階的に進行します。初期侵入の段階では、メールや脆弱性など比較的広い範囲を対象に侵入が試みられることが多く、その後、侵入に成功した環境の中から価値の高い組織や情報資産が選別され、攻撃が高度化していきます。

このように、近年の標的型攻撃では、最初から攻撃対象の内部状況を完全に把握したうえで始まるとは限らず、侵入後の活動を通じて対象組織の環境に応じた攻撃が最適化されていくケースも多く見られます。

以下では、標的型攻撃を含むサイバー攻撃全般が、実際にどのような段階を経て被害に至るのかを、一般的な進行プロセスとして整理します。

初期侵入は広く行われる

多くのサイバー攻撃では、最初から特定の組織だけを狙って侵入が行われるとは限りません。標的型攻撃に発展するケースであっても、初期段階ではメールや脆弱なWebサイト、公開されたシステムを通じて比較的広範囲に侵入が試みられることが一般的です。

この段階では、攻撃者は必ずしも最終的な標的を確定しておらず、侵入可能な環境を確保すること自体が目的となります。

侵入後に標的が絞り込まれる

攻撃者は侵入後、ネットワーク内部の調査を行い、保有されている情報資産やシステム構成、権限の高いアカウントの有無などを分析します。その結果、価値が高いと判断した組織やシステムに対して、横方向への侵入（ラテラルムーブメント）や権限昇格を行い、実質的に「標的型」の攻撃へと移行します。この段階に入ると、攻撃は組織固有の業務実態に合わせて最適化され、検知や封じ込めが一層困難になります。

長期潜伏と目的達成に向けた活動

最終段階では、攻撃者は長期間にわたり組織内部に潜伏し、検知を回避しながら活動を継続します。機密情報の窃取、業務妨害、システム停止、外部への情報送信など、目的に応じた行動が静かに進められます。

このような攻撃に対しては、侵入を完全に防ぐことを前提とせず、侵入後の活動を捉えて被害を最小化する多層防御が不可欠です。

多層防御で対策を強化する利点

侵入を完全に防ぐ難しさを知る

標的型攻撃に対して完全な防御を実現することは極めて困難です。攻撃手法が日々高度化する中、侵入を完全に防ぐことを前提とした対策は現実的ではなく、むしろ侵入される可能性がある認識に立った対策が求められます。

入口での防御だけに依存せず、複数の防御層を組み合わせる多層防御の考え方が不可欠です。ファイルの暗号化やログ監視などの内部対策により、侵入後の不正活動を早期に検知する仕組みが重要です。

さらに外部通信を制御・監視するプロキシやファイアウォール（次世代ファイアウォール：Next Generation Firewall／NGFWを含む）などの出口対策を講じることで、万が一情報が窃取されても外部への流出を阻止できる可能性が高まります。

早期検知で被害を最小限に抑える

多層防御のメリットは、攻撃の各段階で検知機会を増やし、情報流出前に脅威を食い止められる点にあります。侵入を完全に防ぐことが困難な標的型攻撃では、早期に異常を発見して対処することが被害を最小限に抑える鍵です。

ファイアウォールをインターネット接続箇所に配置し、攻撃の侵入を阻止するとともに不審な通信を即座に検知します。さらに内部ネットワークにおける監視体制を強化することで、万が一侵入を許した場合でも攻撃者の横展開や機密データへのアクセスを早期に発見できます。

複数の防御層を段階的に配置することで、攻撃者が目的を達成する前に対応する時間的余裕が生まれ、結果として組織全体のリスクを低減できることがポイントです。

入口対策で侵入経路を遮断する

標的型攻撃の侵入経路として多用されるのがメールや公開システム、リモートアクセス環境などの外部と接続されたポイントです。なかでもメールは、攻撃者の初期のアクセス手段として依然として多く悪用されています。攻撃者の初期アクセスを阻止するには、入口での防御を強化することが必要です。

メールセキュリティの機能を高めることで不審な添付ファイルやURLを事前に排除し、エンドポイントでの監視を徹底することで端末レベルでの脅威検知を可能とします。

メールセキュリティの機能を高める

メールセキュリティを強化するには、複数の技術的対策を組み合わせることが効果的です。まず基本となるのがウイルス対策ソフトの導入で、組織全体のセキュリティ基盤として不可欠な要素です。

さらに添付ファイルの無害化技術により、悪意のあるコードを含むファイルを安全な形式に変換してから受信者に届ける仕組みも効果があります。サンドボックス検知では、疑わしい添付ファイルを隔離された仮想環境で実行し、実害が発生する前に脅威を判別できます。

加えて送信ドメイン認証技術であるSPF（Sender Policy Framework）、DKIM（DomainKeys Identified Mail）、DMARC（Domain-based Message Authentication Reporting and Conformance）を活用することで、実在する取引先や組織を装ったなりすましメールを技術的に検証し、受信段階での排除が可能です。多層的な対策を導入することで、メール経由での侵入リスクを低減し、標的型攻撃の初期段階での防御力を高められます。

エンドポイントでの監視を徹底

エンドポイントセキュリティは、企業のPCやスマートフォン、サーバなどの端末をマルウェア感染や不正アクセスから守る対策として欠かせません。中核となるのがEPPとEDRの技術です。EPPは「侵入前の防御」、EDRは「事後対策」として、それぞれ異なる役割を担います。

EPPは予防型の防御として機能し、シグネチャベース検知により既知のマルウェアパターンをデータベースと照合して脅威を特定します。ヒューリスティック検知ではプログラムの動作パターンを分析することで、未知の脅威も検出可能です。

一方EDRは検知・対応型の技術として、エンドポイント上のすべてのアクティビティをリアルタイムで監視し、異常な振る舞いを即座に発見します。端末上で不審な挙動が発生した際、EDRは詳細なログを記録し迅速な対応を可能にするため、侵入後の被害拡大を防ぐ重要な役割を担います。

内部対策で被害の拡大を阻止する

侵入を許した場合でも、内部対策により被害の拡大を食い止められます。攻撃者の横展開を防ぐにはネットワークを適切に分離し、重要システムへのアクセス経路を制限することが重要です。加えて特権アカウントの管理を厳格にすることで、攻撃者が管理者権限を奪取するリスクを低減できます。

ネットワークを適切に分離する

ネットワークの適切な分離は、標的型攻撃による被害拡大を阻止する有効な手段です。基本となるのがネットワークのセグメント化で、一つの部門が感染しても他部門へ攻撃が広がらないよう隔離する仕組みを構築します。

ネットワークのセグメント化では、内部ネットワークと外部ネットワークを切り離すことにより、脅威の侵入経路を限定できます。機密データを扱う端末とインターネット閲覧用の一般端末を分離する方法などが効果的です。

分離方式には次の2種類があります。

分離方式	特徴
論理分離	仮想化技術を用いてインターネット接続用端末と業務用端末を仮想的に分ける
物理分離	インターネット接続環境と接続用端末、LANと業務用端末を完全に別々のハードウェアとして用意し管理

物理分離はコストがかかるものの最も確実な防御となり、組織の重要度に応じて適切な分離方式を選択することが求められます。

特権アカウントの管理を厳格にする

特権アカウントは攻撃者にとって最も価値の高い標的となるため、厳格な管理体制が不可欠です。特権IDとは、システムやアプリケーションの重要な変更や設定を行える管理者権限を指し、標的型攻撃で狙われやすい要素です。

権限が奪取されると、攻撃者は組織内のあらゆる情報やシステムにアクセス可能となり、被害が急速に拡大します。多要素認証の導入により、認証の強度を高めることが重要です。また権限の最小化原則に基づき、各ユーザには業務上必要な最小限の権限のみを付与すべきです。

加えて複数人での特権ID共有や、長期間同じパスワードを使用し続けることは避けなければなりません。特権アカウントの利用状況を常時監視し、不審なアクセスを即座に検知できる体制を整えることで、攻撃者による権限昇格のリスクを低減できます。

出口対策で情報の流出を食い止める

外部への不審な通信を検知する

外部への不審な通信を検知する仕組みは、情報流出を水際で食い止める最後の防御線です。攻撃者がマルウェア感染させた端末を遠隔操作する際に使用するのがC&Cサーバで、ボットネットと呼ばれる感染端末群に指令を送る中枢として機能します。

攻撃者はC&Cサーバを通じて「デバイスから収集した情報の送信」や「さらなる攻撃の実行」などを指示するため、通信を検知することが極めて重要です。出口対策では、C&Cサーバへの接続を識別してブロックするとともに、通常の業務ではあり得ない大量のデータ送信を監視します。

不審な通信パターンや既知の悪意あるIPアドレスへのアクセスを即座に遮断することで、攻撃者が盗んだ情報を外部へ持ち出す行為を阻止しなければなりません。

持ち出されるデータを暗号化する

データ暗号化やDLP（Data Loss Prevention）導入は、データの持ち出しの判別や、万が一情報が持ち出された場合でも内容の解読を防ぐ防衛策です。

DLPシステムは、あらかじめ設定されたポリシーに基づいてネットワーク上やPC内のデータを常時監視し、機密情報を検出した際にはアラートを発したり送信を自動的に停止したりします。特定のキーワードや正規表現を用いることで、クレジットカード番号や個人情報といった重要データの持ち出しを判別可能です。

さらにファイル自体を暗号化しておくことで、攻撃者がデータの窃取に成功しても、復号鍵がなければ内容を閲覧できません。

組織的な体制を整備する手順

技術的対策だけでなく、組織全体でセキュリティ体制を整備することが標的型攻撃への有効な防御です。まず現状のリスクを正確に把握し、自組織の脆弱性を明確にします。

次に適切なインシデント体制構築により迅速な対応を可能にし、従業員の教育を定期的に実施することで人的な防御力を高めます。

手順1 現状のリスクを正確に把握

組織的な体制整備の第一歩は、自社が抱えるリスクを正確に把握することです。まず保有する情報資産を洗い出し、顧客データや知的財産、業務システムなど守るべき対象を明確に整理します。

次に各資産の重要度を評価し、万が一流出や破壊された場合の影響度を判定することが重要です。現状のセキュリティ対策を棚卸しし、入口・内部・出口の各防御層でどのような隙が存在するかを分析します。

脆弱性診断やペネトレーションテストを実施することで、外部から見た弱点も客観的に把握できます。さらに過去のインシデント事例や業界動向を参考に、自社が標的となる可能性や想定される攻撃シナリオを検討しなければなりません。

手順2 適切なインシデント体制構築

インシデント発生時に迅速かつ的確に対応するには、事前に明確な体制を構築しておくことが不可欠です。中核となるのがCSIRTの設置で、セキュリティインシデントに専門的に対処する組織横断的なチームを編成します。

CSIRTには情報システム部門だけでなく、法務・広報・経営層など多様な部門の担当者を含め、各々の役割と責任範囲を明確に定めます。緊急連絡網の整備も重要で、異常検知時に誰がどのような手順で報告・判断・対処するかをフローチャート化し、全従業員が理解できる状態にしておかなければなりません。

さらに外部の専門機関や取引先との連携体制も事前に確立し、必要に応じて支援を受けられる関係を構築します。

手順3 従業員の教育を定期的に実施

標的型攻撃では技術的な脆弱性だけでなく、人間の心理的な隙が狙われるため、従業員教育も重要です。定期的なセキュリティ研修により、最新の攻撃手法や被害事例を共有し、組織全体の意識を高めることが基本です。

特に効果的なのが標的型攻撃メール訓練の実施で、実際の業務環境で疑似的な攻撃メールを送信し、従業員の反応を検証します。訓練を通じて不審なメールの見分け方や、添付ファイルを開く前の確認手順を体験的に学べます。

訓練結果は個人を責めるのではなく、組織全体の課題として分析し、改善点を明確にすることが必要です。さらに日常的な注意喚起として、社内ポータルでのセキュリティ情報発信や、インシデント事例の共有を継続的に行います。

最新のセキュリティ動向に備える

標的型攻撃の手法は日々進化しており、アンチウイルスや境界防御を中心とした対策だけでは不十分となるケースが増えています。最新のセキュリティ動向に対応するには、ゼロトラストの考え方を取り入れて境界防御に頼らない体制を構築し、外部の専門家の知見を有効活用することで組織内部では得られない情報や技術を補完することが重要です。

ゼロトラストの考え方を取り入れる

ゼロトラストは「誰も信頼しない」ことを前提としたセキュリティフレームワークです。ネットワークの内外を明確に分け、内部を信頼する前提に立った境界防御モデルでは、組織の内部ネットワークは安全である前提に立ち、外部からの侵入を防ぐことに重点を置いていました。

標的型攻撃の高度化により、内部への侵入を完全に防ぐことが困難となった現在、内部ネットワークを安全とみなす前提に立った考え方では、十分な対策とは言えません。ゼロトラストでは、ネットワークの内外を問わず、すべてのアクセスを信頼せず常に検証するアプローチを採用します。

ユーザやデバイスが正当であるかを毎回確認し、アクセスするリソースごとに認証・認可を実施します。また必要最小限の権限のみを付与し、アクセス状況を継続的に監視することで、万が一内部に侵入されても被害の拡大を防ぐことも特徴です。

外部の専門家の知見を有効活用する

標的型攻撃への対策を自社リソースだけで完結させることは、技術面・人材面の両方において容易ではありません。外部の専門家の知見を活用することで、組織内部では得にくい高度な知識や最新の脅威情報を補完できます。

例えば、専門サービスを利用することで、ネットワークやシステムの監視を継続的に行い、異常を早期に検知・対応する体制を構築することが可能です。また、専門家は複数の組織に対する支援経験を持つため、業界横断的な攻撃トレンドや新たな脅威に関する知見を対策に反映できる点も大きなメリットです。

さらにセキュリティコンサルティングを活用することで、自社の脆弱性を客観的に評価し、対策の優先順位を専門的な視点から整理することができます。加えて、インシデント発生時にはフォレンジック調査や復旧支援など専門的な技術サポートを受けられることで、被害の最小化と迅速な業務再開につなげることが可能です。

標的型攻撃への対策は多層防御と組織体制で実現する

標的型攻撃への対策は、技術的な防御と組織体制で実現することが不可欠です。巧妙化する攻撃手法に対して、入口・内部・出口の各段階で防御層を重ねる多層防御により、攻撃者の侵入や情報流出を段階的に阻止できます。

技術だけでは限界があり、CSIRTの設置や従業員教育など組織体制の整備が、人的要因による脅威への耐性を高めます。さらに脅威は日々進化するため、一度対策を講じれば終わりではなく、継続的な見直しと改善が求められます。

ゼロトラストのような最新のセキュリティフレームワークを段階的に取り入れ、専門企業の監視サービスやコンサルティングを活用することで、自社だけでは得られない高度な知見を補完できます。標的型攻撃への理解を深めて、外部サービスの活用も視野に入れて対策を進めましょう。

参考情報

※1 情報セキュリティ10大脅威 2026 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構