セキュリティ 2026年3月20日

標的型攻撃（APT）とは ― 中小企業も狙われる手口と実践的な防御策

「うちみたいな小さい会社を、わざわざ狙って攻撃する人なんているの？」

残念ながら、います。しかも増えています。標的型攻撃（APT: Advanced Persistent Threat）は、かつては大企業や政府機関だけの問題でしたが、サプライチェーン攻撃の踏み台として中小企業が狙われるケースが急増しています。

IPAの「情報セキュリティ10大脅威 2026」でも5位にランクインしている標的型攻撃について、手口の全体像と中小企業が取るべき対策を解説します。

標的型攻撃とは

標的型攻撃は、特定の組織や個人を狙い撃ちにするサイバー攻撃です。不特定多数にばらまくスパムメールとは異なり、ターゲットに関する入念な調査に基づいて、精巧に仕組まれた攻撃が行われます。

ばらまき型攻撃との違い

項目	ばらまき型	標的型攻撃
対象	不特定多数	特定の組織・個人
事前調査	なし	組織構造、取引先、業務内容を調査
メール文面	汎用的（「お荷物の配達」等）	ターゲットの業務に即した内容
成功率	低い（大量送付で補う）	高い（信じやすい内容）
目的	金銭（ランサム等）	機密情報の窃取、長期的な潜伏
攻撃の持続性	短期	長期（数か月〜数年）

なぜ中小企業が狙われるのか

サプライチェーンの入口: 大企業への攻撃の足がかりとして、セキュリティが手薄な取引先の中小企業を狙う
ニッチな技術情報: 製造業の中小企業が持つ設計図面、製造ノウハウ、金型データは高い価値がある
防御の薄さ: 専任のセキュリティ担当者がいない、EDRが導入されていない、ログを監視していない

攻撃の5段階

標的型攻撃は一般的に以下の5段階で進行します。

第1段階：偵察（Reconnaissance）

攻撃者はターゲット組織の情報を収集します。

収集される情報：

会社のWebサイト、SNS、プレスリリースから組織構成を把握
LinkedInや名刺交換サイトから担当者名・役職・メールアドレスを収集
取引先、使用しているシステム、採用情報から技術環境を推測
「情シス担当募集」→ セキュリティ体制が手薄と判断

中小企業でよくある情報漏洩源：

社員のSNS投稿（オフィスの写真にPC画面やホワイトボードが映り込む）
求人情報（「Fortinet VPN経験者歓迎」→ 使用VPN機器が判明）
展示会やセミナーでの名刺交換
ドメインのWHOIS情報

第2段階：初期侵入（Initial Compromise）

収集した情報をもとに、ターゲットに合わせた攻撃を仕掛けます。

代表的な手口：

標的型メール（スピアフィッシング）:

実在の取引先や社内の人間を装ったメールを送ります。

「先日のお打ち合わせの議事録です」（取引先を装い、マルウェア入りWordファイルを添付）
「来月の監査資料の確認をお願いします」（上司を装い、偽のクラウドリンクに誘導）
「請求書の金額に相違があります」（経理担当者を狙い、マクロ入りExcelを添付）

水飲み場攻撃（Watering Hole）:

ターゲットがよくアクセスするWebサイトを改ざんし、アクセスするだけでマルウェアに感染させます。業界団体のWebサイトや、取引先のポータルサイトが狙われます。

サプライチェーン経由:

ターゲットが使用しているソフトウェアの更新サーバーを侵害し、正規のアップデートに見せかけてマルウェアを配布します。

第3段階：権限昇格と横展開（Lateral Movement）

最初に侵入した端末から、組織内のネットワークを横方向に移動し、より高い権限を取得していきます。

最初に感染した端末から認証情報を窃取する
Active Directoryのドメイン管理者権限を狙う
ファイルサーバー、メールサーバー、基幹システムへアクセスする
複数の端末にバックドアを設置して永続的なアクセスを確保する

第4段階：情報窃取（Data Exfiltration）

目的の情報にアクセスできたら、外部に持ち出します。

設計図面、顧客情報、財務データなどをC2サーバーに送信
暗号化やステガノグラフィを使って通信を偽装
正規のクラウドサービス（OneDrive, Google Drive等）を経由して検知を回避
少量ずつ長期間にわたって持ち出す（一度に大量転送すると検知される）

第5段階：潜伏と持続（Persistence）

目的を達成した後も、組織内に潜伏を続けます。

複数のバックドアを維持して、発見されても別の経路でアクセス可能にする
正規のリモートアクセスツール（AnyDesk, TeamViewer等）を悪用
定期的にC2サーバーと通信して、新たな指示を受け取る

中小企業の多層防御策

標的型攻撃を「一つの対策で防ぐ」ことはできません。複数の防御層を組み合わせる「多層防御」が基本です。

第1層：人的防御（従業員教育）

標的型攻撃の多くはメールから始まります。技術的対策と並行して、従業員教育が不可欠です。

効果的な訓練方法：

標的型メール訓練: 実際の標的型メールを模した訓練メールを定期的に送付する
不審メール報告フローの整備: 「怪しいと思ったら報告」できるボタンや連絡先を用意する
実例ベースの教育: 「こんなメールが来た場合、どう判断するか」をケーススタディで学ぶ

見分けるポイント：

差出人のメールアドレスが微妙に違う（@company.com → @cornpany.com）
急かす文面（「至急」「本日中に」「重要」）
添付ファイルを開く・リンクをクリックすることを強く促す
普段のやり取りとは異なる文体やフォーマット

第2層：メールセキュリティ

Microsoft 365の場合：

Microsoft Defender for Office 365 の「安全な添付ファイル」と「安全なリンク」を有効化
なりすまし対策: SPF, DKIM, DMARCを正しく設定する
フィッシング対策ポリシー: 偽装保護（送信者のなりすまし検知）を有効化
攻撃シミュレーション: Defender for Office 365 Plan 2の攻撃シミュレーション訓練を活用

Google Workspaceの場合：

高度なフィッシングと不正なソフトウェアからの保護を有効化
DMARC の設定と「reject」ポリシーへの段階的移行
セキュリティサンドボックス: 添付ファイルを仮想環境で実行して検査

第3層：エンドポイント防御

ウイルス対策ソフトだけでは標的型攻撃を検知できません。EDR（Endpoint Detection and Response）の導入を強く推奨します。

EDRが標的型攻撃を検知できる理由：

既知のマルウェアだけでなく、不審な「振る舞い」を検知する
プロセスの異常な動作（PowerShellの不正利用、権限昇格の試み等）を検出
横展開（ラテラルムーブメント）の兆候を検知する
インシデント発生時の調査に必要なログを保存する

中小企業向けEDR：

Microsoft Defender for Business: M365 Business Premiumに含まれる（追加コスト低）
CrowdStrike Falcon Go: 中小企業向けプラン
SentinelOne Singularity: 管理が比較的容易

第4層：ネットワーク防御

DNSフィルタリング: 悪意のあるドメインへの通信をブロックする（Cisco Umbrella等）
ネットワークセグメンテーション: 重要なサーバーを一般端末から分離する
VPNの適切な管理: VPN機器の脆弱性を速やかに修正する
ゼロトラスト: ゼロトラストアーキテクチャの段階的導入を検討する

第5層：ログ監視と検知

攻撃が侵入した後に「気づく」ための仕組みです。

M365の監査ログを有効化して定期的に確認する
不審なサインイン（海外からのアクセス、深夜のアクセス等）をアラート設定する
ファイルの大量ダウンロードや外部共有をモニタリングする
ログ管理ツールの導入を検討する

標的型攻撃を受けた場合の対応

初動対応

感染端末をネットワークから隔離する（LANケーブルを抜く、Wi-Fiを切断）
上司とセキュリティ責任者に報告する
感染端末の電源は切らない（フォレンジック調査に必要な情報が消える）
他の端末に感染が広がっていないか確認する

調査・復旧

EDRやログから侵入経路を特定する
攻撃者が設置したバックドアを特定・除去する
窃取された可能性のある情報を特定する
影響を受けた全端末のパスワードを変更する
必要に応じて、警察やJPCERT/CCに報告する

詳細な対応手順はランサムウェアインシデント対応マニュアルも参考にしてください。

まとめ

標的型攻撃は「防ぐ」だけでなく「侵入された後にいかに早く気づくか」が重要です。完璧な防御は不可能ですが、多層防御によって攻撃者のコストを上げ、侵入されても被害を最小限に抑えることができます。

まず取り組むべきは、メールセキュリティの強化、EDRの導入、従業員教育の3つです。これだけで標的型攻撃の大部分を検知・ブロックできます。

標的型攻撃対策でお困りの方は、情シス365の無料相談をご利用ください。現状のセキュリティレベルを診断し、優先すべき対策をご提案します。