「取引先から『セキュリティ対策の実施状況を教えてください』と問い合わせがあり、即答できなかった」
こんな経験はありませんか？

標的型攻撃は大企業だけの問題ではなく、むしろセキュリティが手薄な中小企業が「サプライチェーン攻撃の踏み台」として狙われています。

本記事では、標的型攻撃の基本から具体的な被害事例、限られた予算でも実践できる多層防御まで、情シス担当者が知っておくべき情報を分かりやすく解説します。

標的型攻撃とは？

今のビジネス現場では、ネットを通じた攻撃をいつ受けてもおかしくないのが当たり前になっています。

かつての攻撃は不特定多数に対して無差別にウイルスを送りつけるものが主流でしたが、近年では特定の企業や組織をピンポイントで狙う計画的なサイバー攻撃が急増しています。

その代表格が「標的型攻撃」です。

標的型攻撃は一般的なウイルスのようにランダムに拡散するのではなく、綿密な事前調査と長期的な計画のもとで実行されます。このため、従来のセキュリティ対策では防ぎきれないケースが多く、企業にとって最も警戒すべき脅威の一つとなっています。

この章では、標的型攻撃の定義や目的について分かりやすく説明します。

標的型攻撃の定義

標的型攻撃とは、特定の組織や個人を狙って行われる計画的かつ持続的なサイバー攻撃のことです。

一般的なウイルスやマルウェアが無作為に拡散するのに対し、標的型攻撃は「あなたの会社」を明確に狙って仕掛けられる点が最大のポイントです。

攻撃者は数週間から数ヶ月かけて標的企業の情報を収集し、その企業に特化した攻撃手法を準備します。

標的型攻撃の特徴は、一度の失敗で諦めることなく目的を達成するまで何度も手法を変えて攻撃を継続する「執拗さ」と、数ヶ月から数年という長いスパンで実行される「計画性」「持続性」にあります。

攻撃者はターゲットの業務内容や人間関係までを徹底的に調べ上げ、最も隙が生じやすい場所を狙って侵入を試みるという執念深い攻撃手法だと覚えておきましょう。

標的型攻撃の目的

標的型攻撃の主な目的は、機密情報の窃取です。

具体的には以下のような情報が狙われます。

• 技術情報：設計図、特許情報、研究データ
• 顧客情報：個人情報、取引履歴、契約内容
• 財務情報：経営計画、M&A情報、入札情報

製造業であれば長年かけて開発した製品の設計図が、サービス業であれば顧客データベースが標的となるケースが増えています。

また、近年では金銭的利益を目的とした攻撃も増えており、ランサムウェアと組み合わせてデータを暗号化し、復旧と引き換えに身代金を要求する手口や、支払わなければ情報を公開するという二重恐喝の事例もあります。

さらに、国家間の対立を背景としたスパイ活動として行われることもあります。

そして中小企業が最も注意しなくてはならないのは、大手企業へ侵入するための「踏み台（サプライチェーン攻撃）」としての利用です。

セキュリティが手薄な中小企業を侵入口として、その取引先である大手企業への攻撃を狙う手法が急増しています。

無差別攻撃との違い

無差別型攻撃は、不特定多数に向けて大量のウイルスメールをばらまく、数撃てば当たる戦略です。

一方、標的型攻撃は特定の組織をピンポイントで狙い、その企業に特化したカスタマイズされた攻撃を執拗に仕掛け続けます。

無差別型が短期間の一発勝負であるのに対し、標的型は数ヶ月から数年にわたって継続的に攻撃するという点でも大きく異なります。

一般的なセキュリティ対策ソフトは既知のウイルスのパターンを検知しますが、特定の会社向けにゼロから作成された攻撃コードや、生成AIで極限まで自然に装った偽装メールは、既存のソフトで検知するのは困難です。

また、侵入後も派手な動作をせず、数ヶ月間かけてゆっくりと社内ネットワークを探索するため、多くの企業が侵入に気づかないまま情報を盗まれ続けています。

標的型攻撃の流れ

標的型攻撃を正しく防ぐためには、攻撃者がどのようなプロセスを経て目的を達成するのかを知る必要があります。各段階を理解することで、どこで防ぐべきかが見えてきます。

特に重要なのは、攻撃は「入口」での侵入だけでなく、「内部」での拡散、「出口」での情報流出という一連の流れで進行するという点です。入口だけを固めても、内部や出口が無防備では意味がありません。

攻撃者の視点で各段階を見ていくことで、自社のセキュリティ対策の穴がどこにあるのかを把握しましょう。

①事前調査・準備

攻撃者はまず、標的企業の情報を徹底的に収集します。

企業の公式Webサイトから事業内容、組織図、プレスリリースを確認し、SNS（LinkedIn、Facebook、X）では社員の名前、役職、最近の活動、出張先、参加した展示会やセミナー情報を調べます。求人情報サイトからは使用しているシステムやソフトウェアを把握し、取引先情報からはパートナー企業や納入先を特定します。

この段階で数週間から数ヶ月かけて情報を蓄積し、攻撃の成功率を高めるための準備を整えます。

その後、仕入れた情報を使って、実在の人物や実際の業務を装った極めて自然なメールを作成します。

たとえば「営業部長の○○さんが先週△△展示会に参加した」という情報をSNSから入手すれば、展示会の主催者を装ったメールを送ることができます。

「当社ではSalesforceを使用」という求人サイトの記載を見つければ、Salesforceサポートを装って「緊急のセキュリティアップデート」と称したマルウェアを送りつけることも可能です。

このように、標的型攻撃は、下調べの段階から既に始まっているのです。

②初期侵入

事前調査で収集した情報をもとに、攻撃者は標的企業への侵入を試みます。

最も多い侵入経路は標的型攻撃メールです。

実在の取引先や上司を装い、業務に関連する極めて自然な件名と本文のメールを送信します。

事前に下調べした情報を元に「【○○展示会】アンケートのお願い」「先日の打ち合わせ資料」「請求書の件（○月分）」といった受信者にとって不自然さがない内容のメールを送りつけます。

受信者が、メールの添付ファイルを開いたり改ざんされたサイトを閲覧したりした瞬間に、マルウェアがPCにインストールされます。

もう一つの侵入経路が、水飲み場型攻撃です。

標的企業の社員がよく訪問するWebサイトを事前に特定し、そのサイトを改ざんしてマルウェアを仕込みます。社員が普段通りサイトを訪問しただけで、自動的にマルウェアがダウンロードされる仕組みです。

いずれの方法でも、マルウェアがPCに密かにインストールされますが、この時点では何も異常に気づかないことがほとんどです。画面には何も表示されず、ウイルス対策ソフトも検知できないことが多いため、社員は全く気づかずに業務を続けます。

③攻撃基盤の構築

侵入に成功したマルウェアは、次に「バックドア」と呼ばれる裏口を構築します。これは攻撃者が外部から自由に指令を送り、操作するための通信路です。

その後、感染したPCの管理者権限を奪取し、より多くの操作ができるようにします。さらに、既存のセキュリティソフトを無効化したり、検知を回避する仕組みを導入するなど、潜伏の準備を整えます。

重要なのは、この段階ではまだ「情報を盗む」段階ではないという点です。

攻撃者は焦らず、社内ネットワークの構造を静かに調査し、どこに重要な情報があるかを探ります。どのサーバーに顧客情報が保存されているか、どの部署が機密情報を扱っているか、誰が管理者権限を持っているかなどを少しずつ把握していきます。

この潜伏期間は数週間から数ヶ月間に及ぶこともあり、多くの企業はこの時点でも全く異常に気づいていません。

④ 内部侵入・拡散

拠点を確保した攻撃者は、感染した1台のPCを踏み台にして、隣接する他のパソコンやファイルサーバーへと感染を広げていきます。

これを「横展開（Lateral Movement）」と呼びます。共有フォルダ、ファイルサーバー、データベースサーバーなど、重要な情報がありそうな場所を次々と探索します。

特に狙われるのが、管理者権限を持つアカウントです。一般社員のPCから始まった感染が、最終的にはドメイン管理者の認証情報を盗み取ることに成功すれば、社内のあらゆるシステムにアクセス可能となります。

最初は営業部の山田さんのPCだけだった感染が、1ヶ月後には経理部、総務部、そして役員のPCにまで広がり、攻撃者は社内のあらゆる情報にアクセスできる状態になっています。

この段階でも、社内ネットワーク内の正常な通信を装って移動するため、監視体制が不十分な環境では発見が非常に困難です。

⑤機密情報の窃取

ここまで来て初めて、攻撃者は本当の目的である情報窃取を実行します。

当初から狙っていた顧客情報や設計図、財務データなどを特定し、それらを小分けにして攻撃者の指令サーバーへと送信します。

一度にデータを大量送信すると検知される可能性があるため、正規の通信に紛れ込ませながら、少しずつ送信します。HTTPSなどの暗号化通信を使用するため、通信内容を検査することも困難です。

さらに問題なのは、情報窃取後も攻撃者はバックドアを残したまま、いつでも再侵入できる状態を維持している点です。数ヶ月から数年後、再び新たな情報を狙って侵入することも珍しくありません。

ここまでの一連の流れにおいて、一度も「異常」として検知されないまま、会社の大切な資産がすべて流出してしまうのが、標的型攻撃の特徴です。

標的型攻撃の代表的な手口

前章で標的型攻撃の全体像を見てきましたが、ここでは攻撃の起点となる「初期侵入」の手口を詳しく解説します。

IPA（情報処理推進機構）の調査によると、標的型攻撃の約9割は「メール」から始まるとされています。メール以外の手口も含めて、代表的な初期侵入の手法を理解しておきましょう。

標的型攻撃メール

標的型攻撃メールとは、実在の取引先や上司、知人を装い、受信者の警戒心を解いてウイルス感染やフィッシングサイトへの誘導を図るメールです。

業務に関連する「請求書の件」「会議資料の送付」といった件名が使われ、添付ファイルや本文内のURLをクリックさせるよう誘導します。

最近では生成AIが悪用されており、以前のような不自然な日本語やフォントの崩れが一切ない、プロが見ても判別不能なレベルの偽装メールが登場しています。

さらに、AIは企業の公開情報を学習し、その企業の文体や業界用語を完璧に再現したメールを作成できるため、見分けることがますます困難になっています。

水飲み場型攻撃

水飲み場型攻撃は、ターゲット企業の社員が日常的にアクセスするWebサイトをあらかじめハッキングして改ざんし、閲覧するだけでウイルスを感染させる手法です。

攻撃者はまず、標的企業の社員がよく訪問するWebサイトを特定します。業界団体のサイト、専門情報サイト、技術フォーラム、業界ニュースサイトなどが狙われやすい傾向にあります。

次に、そのWebサイトを改ざんし、マルウェアを埋め込みます。サイト運営者も気づかないうちに改ざんされているケースがほとんどです。標的企業の社員が普段通りサイトを訪問すると、裏では自動的にマルウェアがダウンロードされてウイルスに感染します。

業界団体のポータルサイトや専門情報のニュースサイトなど、社員が業務中に信頼して閲覧するサイトが狙われるため、不審なリンクを踏まないといった個人の注意だけでは防げません。利用者にとっては正規のサイトを訪問しているだけなので防ぎにくい点が特徴です。

ゼロデイ攻撃

ゼロデイ攻撃とは、OSやソフトウェアに発見された脆弱性がまだ公表されておらず、修正パッチが存在しない「無防備な期間」を狙った攻撃です。防御側に対策の猶予が一日もないため、ゼロデイと呼ばれます。

ゼロデイ攻撃は他の手口と組み合わせて使われることが多いです。たとえば、標的型攻撃メールでゼロデイ脆弱性を突くPDFファイルを送りつける、水飲み場型攻撃でゼロデイ脆弱性を突いたコードを仕込む、といった組み合わせがあげられます。

修正パッチを当てるという基本的な対策が通用しないため、通信の挙動を監視して異常を検知する高度なセキュリティシステムの導入が必要です。

中小企業が狙われる3つの理由

「うちは名前も知られていない小さな会社だから、標的型攻撃の対象にはならない」と考えているのであれば、それは非常に危険な思い込みです。

攻撃者にとって、中小企業は非常に魅力的で「コスパの良い」ターゲットとして認識されています。

以下では、中小企業が標的型攻撃で狙われる3つの理由を解説します。

セキュリティ対策が不十分

中小企業の多くは「ウイルス対策ソフトのみ」で止まっているのが現状です。ファイアウォールは導入しているものの、設定は購入時の初期状態のまま放置されており、実質的に機能していないケースもよくあります。

また、セキュリティ専任担当者がおらず、総務や情シスの担当者が他の業務と兼務しているため、日々の運用や監視が行き届かない状況です。予算も人員も限られており、セキュリティ対策は重要だが後回しという企業が多いです。

大手企業に比べてセキュリティ対策が明らかに甘いため、攻撃者から見れば「コストパフォーマンスの良いターゲット」として認識されています。

大手企業への踏み台にできる

画像出典：情報セキュリティ10大脅威2026

 

IPAが2026年1月に発表した「情報セキュリティ10大脅威2026」によると、サプライチェーン攻撃は組織向け脅威の第2位にランクインしています。

サプライチェーン攻撃とは、最終的な標的である大手企業を直接攻撃するのではなく、その取引先である中小企業を経由して侵入する手法です。大手企業に比べて中小企業のほうがセキュリティ対策が手薄なため、侵入しやすい裏口として狙われる傾向にあります。

この手法の怖いところは、中小企業が「加害者」になってしまうことです。自社だけでなく、取引先にも被害を与えてしまい、損害賠償請求を受ける可能性があります。

取引停止や契約解除となれば、企業の存続にも関わります。また、長年築いてきたビジネス関係が一瞬で崩壊する可能性もあると覚えておきましょう。

 

参考記事：【5分で解説】サプライチェーン攻撃とは？自社が「踏み台」になる経営リスクと3つの必須対策

警戒心が低い

中小企業の経営者や従業員には「うちには盗まれる情報がない」という思い込みがあります。

しかし、どのような企業であっても、銀行口座情報や社員・顧客の個人情報、取引先リスト、技術情報やノウハウという価値ある資産を持っています。

「大企業ほど重要な情報を扱っていないから大丈夫」「今まで被害に遭ったことがないから、これからも大丈夫」「ウイルス対策ソフトを入れているから安心」といった油断が、攻撃者にとっては格好の標的となります。

また、中小企業では定期的なセキュリティ研修を実施していないところもあり、標的型攻撃メールの見分け方を知らない社員も多いです。セキュリティ意識の低い社員は、不審なメールでも簡単に開いてしまいます。

標的型攻撃を防ぐための多層防御とは

巧妙化する標的型攻撃に対して、一つの対策だけで100%防ぎ切ることは不可能です。

ゼロデイ攻撃のように、既存の対策では防げない攻撃が存在する以上、「侵入されない」ではなく「侵入されても被害を最小化する」という考え方に切り替える必要があります。これが「多層防御（Defense in Depth）」の基本思想です。

予算が限られる中小企業にとっては、何を優先すべきかを明確にすることが重要です。

ここでは、入口・内部・出口の3つの観点から対策を整理し、それぞれの段階で何ができるのか、どこまで防げるのかを解説します。

多層防御の基本概念

多層防御とは、1つの防御策だけに頼らず、複数の防御策を組み合わせる考え方です。

「完全に防ぐことは不可能」という現実を前提に、「侵入されても被害を最小化する」という発想で対策を組み立てます。

多層防御は「防御・検知・対応」の3本柱で構成されます。

防御とは攻撃を未然に防ぐ対策で、ファイアウォールやウイルス対策などがあげられます。検知とは、侵入や異常を早期に発見する仕組みです。ログ監視、IDS/IPSなどが該当します。対応とは、インシデント発生時に被害を最小化する体制です。インシデント対応計画、バックアップなどが必要です。

多層防御の考え方で重要なのは、被害を最小限に抑えることです。

完全に防ぐことは目指さず、「万が一侵入されても、機密情報の流出だけは阻止する」「被害を一部の部署に留める」「迅速に復旧できる体制を整える」といった現実的な目標設定が求められます。

入口対策：社内への侵入を阻止する

入口対策の目的は、攻撃者の侵入を水際で防ぐことです。

標的型攻撃メールや不正なWebサイトからのマルウェア侵入を阻止するために、スパムフィルターで怪しいメールを自動で隔離し、サンドボックス機能で添付ファイルを仮想環境で実行して安全性を確認します。

また、ネットワークの境界線にはファイアウォールやIDS/IPS（侵入防止/検知システム）を設置し、不正な通信パターンを遮断します。

さらに、これらを一括で管理できるUTM（統合脅威管理）やWebフィルタリングを導入することで、社内ネットワークへの入口を守り、侵入を阻止します。

しかし、入口対策には限界があります。

高度に巧妙化された標的型攻撃メールは見抜けないことがあり、ゼロデイ攻撃は検知できません。社員が「安全だ」と判断して開いてしまうメールは防げないため、内部対策と出口対策が必要不可欠となります。

内部対策：拡散を防ぐ

内部対策の目的は、侵入されたことを前提に、被害の拡大を防ぐことです。

1台のPCが感染しても、他のPCやサーバーへの拡散を阻止し、重要な情報へのアクセスを制限します。

拡散を防ぐためには、まず、ネットワークの分離が重要です。社内ネットワークを複数のセグメントに分割し、一般社員エリア、経理エリア、サーバーエリアなどで分離します。

また、社員に与えるアクセス権限を必要最小限に限定し、特権アカウントを適切に管理することも重要です。パスワードポリシーの徹底（複雑なパスワード、定期変更）と多要素認証（MFA）の導入も効果的です。

加えて、各端末の挙動を監視するEDRを導入したり、定期的にシステムログを監視したりすることで、侵入後の不審な動きを早期に発見し、隔離・対処する体制を整えます。

内部対策の重要性は、入口を突破されても、内部で食い止められれば被害は最小限に抑えられる点にあります。また、早期発見・早期対応が可能になり、被害の拡大を防ぐことができます。

出口対策：外部への情報流出を防ぐ

出口対策の目的は、侵入を100%防ぐのは困難という前提に立ち、盗まれた情報が「外部へ送信される」のを遮断することです。

仮に侵入され、情報を盗まれたとしても、外部への送信を阻止することで「最悪の事態」を防ぎます。

マルウェアは情報を盗む際、必ず攻撃者の指令サーバー（C&Cサーバー）と通信しようとします。この異常な外部通信を検知・遮断できれば、たとえ侵入を許していても、情報の流出という実害を防げます。

UTMの出口対策機能や、情報の不正な持ち出しを検知するDLP（データ・ロス・プリベンション）などを活用し、社内から外部への通信を厳格に管理することが、標的型攻撃対策の鍵となります。

 

参考記事：多層防御とは？仕組みや必要性・導入のメリットなどを解説

UTMが標的型攻撃対策に有効な理由

多層防御の重要性は理解できても、「複数のセキュリティ製品を導入・管理するのはコスト面でも人員面でも厳しい」という中小企業がほとんどではないでしょうか。

そこで注目されているのがUTM（統合脅威管理）です。

1台で入口対策と出口対策の両方をカバーし、運用負荷も大幅に軽減できるため、予算と人員が限られた中小企業にとって、現実的かつ効果的なセキュリティ対策の選択肢となっています。

ここでは、UTMの機能と、なぜ中小企業に最適なのかを詳しく解説します。

UTM（統合脅威管理）とは

UTM（Unified Threat Management）は、ファイアウォール、IDS/IPS、アンチウイルス、Webフィルタリング、アンチスパムといった複数のセキュリティ機能を、1台の専用機器に統合したものです。

従来はバラバラの製品を導入して管理しなければならなかった高度な機能を、一つの窓口で一括して運用できる「オールインワン型セキュリティ機器」ともいえるでしょう。

従来のようにファイアウォール、IPS、アンチウイルスなどを個別に導入すると、管理画面が複数あり、設定も複雑で機器間の連携が難しく、導入・運用コストが高くなる傾向にあります。

UTMではすべてを1台で実現するため、運用を一元管理できるようになり、コストを抑えられます。

 

参考記事：UTM製品の比較ポイント｜ケース別のおすすめタイプも紹介

中小企業にUTMが適している3つの理由

中小企業にUTMが適している第一の理由は、運用負荷の軽減です。複数の製品を個別に管理する必要がなく、一元的な管理画面でネットワーク全体の状況を把握できるため、専任のセキュリティ担当者がいない環境でも高度な防御体制を維持できます。

第二に、圧倒的なコストパフォーマンスの高さが挙げられます。機能ごとに個別製品を揃えるよりも初期費用を大幅に抑えることができ、月額課金モデルを活用すれば予算計画も立てやすくなります。

そして第三に、多層防御を実現できる点です。これ一台で「入口対策」から「出口対策」までを同時にカバーできます。既知の脅威だけでなく、不審な外部通信までを幅広く網羅できるため、標的型攻撃の各段階に対して効率的に防御できます。

UTMで防げる攻撃、防げない攻撃

UTMは複数のセキュリティ機能が組み込まれた便利な機器ですが、万能ではありません。
UTMで防げる攻撃、防げない攻撃を理解することが重要です。

UTMが防げる攻撃は、添付ファイルのマルウェア検知や改ざんサイトへのアクセス遮断、そしてC&Cサーバーへの不正な外部通信といった通信ベースの攻撃です。

一方で、生成AIを駆使した極めて巧妙なフィッシングメールのように、最終的に人間が騙されて自ら情報を入力してしまうようなケースや、未知の脆弱性を突く高度なゼロデイ攻撃、物理的な内部犯行などは防ぎきれない場合があります。

UTMは万能ではありませんが、中小企業が限られた予算で最大の効果を得るための有効な選択肢の1つです。UTMによる技術的対策に加えて、定期的なメール訓練などの人的なセキュリティ意識を向上するための取り組みが重要です。

特に、高度に作りこまれた標的型攻撃メールには技術的な対策だけでは限界があるため、従業員が「怪しいメールを見抜く」「疑わしい場合は開かずに報告する」という人的対策が不可欠です。社員のセキュリティ意識を高め、実際の攻撃時の被害を最小化できます。

このように、技術と人による両面からの対策を組み合わせることが、標的型攻撃に対する最も効果的な防御となります。

まとめ

標的型攻撃は、特定の組織を狙った計画的かつ持続的なサイバー攻撃であり、「うちは中小企業だから大丈夫」という考えは極めて危険です。むしろセキュリティが手薄な中小企業こそが、サプライチェーン攻撃の踏み台として集中的に狙われています。

標的型攻撃への対策としては、もはや完全に防ぐことは不可能という前提のもと「侵入されても被害を最小化する」という多層防御の考え方が重要です。入口対策だけでなく、内部対策と出口対策を組み合わせることで、侵入されても情報流出という最悪の事態を防げます。

中小企業が限られた予算で多層防御を実現するには、UTM（統合脅威管理）がおすすめです。1台で入口と出口の両方をカバーし、運用負荷も大幅に軽減できます。

「FLESPEEQ UTM」は、アンチウイルス、Webフィルタリング、不正侵入を検知・防御するIDS/IPSなど、標的型攻撃対策に不可欠な複数のセキュリティ機能を1台に集約しています。機能を一つにまとめることで、導入コストを抑えられるのはもちろん、日々の運用管理にかかる負担も大幅に軽減。リソースが限られた組織でも、大手企業並みの強固なネットワーク環境を構築することが可能です。

さらに、単なる製品の提供に留まらず、導入時の支援から稼働後の保守、万が一のトラブル対応まで、専門知識を持ったスタッフが幅広くサポートいたします。

「何から手をつければいいか分からない」「今の対策で十分か不安だ」という情シス担当者様は、ぜひお気軽にご相談ください。貴社の環境に最適なセキュリティ対策を共に考え、大切な情報資産とビジネスの信頼を守るお手伝いをいたします。

日本通信ネットワークは、企業ごとに、企画立案から構築・運用までワンストップで、ICTソリューションサービスを提供しています。
IT担当者様が、ビジネス拡大や生産性向上のための時間を確保できるよう、全面的に支援します。
お問い合わせ・ご相談・お見積りは無料ですので、お気軽にお問い合わせください。