標的型攻撃メールは、特定の組織や担当者を狙い、業務メールを装って添付ファイルやURLを開かせる攻撃です。SG試験での見分け方と報告の判断を整理します。

sg sg-security-measures malware security_training

まず結論

標的型攻撃メールは、特定の組織や担当者を狙い、業務メールを装って添付ファイルやURLを開かせる攻撃です。

SG試験では、単に「怪しいメールを開かない」と覚えるだけでなく、業務上ありそうな内容に見える点と、開いた後は速やかに報告する点が問われます。

判断のポイントは、次の3つです。

  • 自分の業務に関係しそうな内容で送られてくる
  • 添付ファイルやURLを開かせようとする
  • 不審だと感じたら、開かずに報告する

不特定多数にばらまく迷惑メールよりも、相手に合わせて作り込まれている点が特徴です。

直感的な説明

標的型攻撃メールは、仕事のふりをして近づいてくるメールです。

たとえば、次のようなメールが届いたとします。

先日の会議資料を送付します。確認をお願いします。

請求書を添付しました。至急ご確認ください。

内容だけ見ると、普通の業務メールに見えることがあります。

しかし、実際には添付ファイルにマルウェアが入っていたり、本文中のURLから偽サイトや不正ファイルへ誘導されたりする場合があります。

標的型攻撃メールがやっかいなのは、日本語が自然で、業務内容にも合っているように見えることです。

そのため、SG試験では次のように考えると判断しやすくなります。

  • 明らかに怪しいメールだけが危険ではない
  • 知っている相手を装うことがある
  • 取引先や社内連絡に見せかけることがある
  • 開封後の報告も重要な対策になる

つまり、標的型攻撃メールは、技術だけでなく人の判断を狙う攻撃です。

定義・仕組み

標的型攻撃メールは、特定の組織や個人を狙って送られる攻撃メールです。

攻撃者は、受信者が信じやすいように、業務内容、取引先名、部署名、実在しそうな件名などを使ってメールを作ります。

基本的な流れは次のとおりです。

  1. 攻撃者が標的の組織や担当者を調べる
  2. 業務メールに見える文面を作る
  3. 添付ファイルやURLを開かせる
  4. マルウェア感染や認証情報の窃取につなげる
  5. 侵入後に内部調査や情報窃取を行う

IPAは、標的型攻撃メール訓練について、不審なメールを受信した場合や添付ファイルを開いてしまった場合に、被害拡大を抑えるため適切に対処する必要があると説明しています。
参考:組織における標的型攻撃メール訓練は実施目的を明確に - IPA

また、IPAのプラクティス・ナビでは、訓練時に添付ファイルやURLの開封率だけでなく、報告率も計測・分析する例が紹介されています。
参考:プラクティス・ナビ - IPA

SG試験では、この「報告率」がかなり重要です。

開かないことも大切ですが、もし開いてしまった場合でも、すぐに報告して被害拡大を防ぐことが組織の対策になります。

どんな場面で使う?

標的型攻撃メールは、SG試験では主に次の場面で出てきます。

  • マルウェア感染
  • 不審な添付ファイル
  • フィッシング
  • ランサムウェア
  • 情報漏えい
  • インシデント対応
  • 情報セキュリティ教育・訓練

受信した段階では、次のような対応が基本です。

  • 添付ファイルを不用意に開かない
  • URLを不用意にクリックしない
  • 送信元を確認する
  • 業務内容に心当たりがあるか確認する
  • 判断に迷ったら上司やシステム管理者に相談する
  • 組織のルールに従って報告する

すでに添付ファイルを開いたりURLをクリックしたりした場合は、対応が変わります。

  • 端末をネットワークから切り離す
  • メールやログを削除しない
  • 自分だけで判断して操作を続けない
  • 速やかに情報システム部門やCSIRTへ報告する
  • 組織のインシデント対応手順に従う

SG試験では、開く前の予防開いた後の初動対応を混同させてくることがあります。

選択肢では、状況が「受信しただけ」なのか、「開いてしまった後」なのかを先に確認すると切りやすくなります。

よくある誤解・混同

標的型攻撃メールでよくある誤解は、怪しい日本語や不自然な文面なら見抜けるという考え方です。

標的型攻撃メールは、受信者に合わせて作られるため、自然な日本語や業務に関係しそうな件名が使われることがあります。

混同しやすい用語は次のとおりです。

用語 判断基準
標的型攻撃メール 特定の組織・担当者を狙い、業務メールを装う
ばらまき型メール 不特定多数に大量送信される
フィッシング 偽サイトへ誘導し、IDやパスワードなどを入力させる
不審な添付ファイル 添付ファイルを開かせて感染させる
BEC 経営者や取引先を装い、送金などを指示する詐欺

特に、標的型攻撃メールとフィッシングは混同しやすいです。

  • 添付ファイルやURLでマルウェア感染を狙う → 標的型攻撃メール
  • 偽サイトで認証情報を入力させる → フィッシング

ただし、実際の攻撃では、標的型攻撃メールの中にフィッシングURLが含まれることもあります。

試験では、最終的に何をさせようとしているかで切り分けると安全です。

もう1つのひっかけは、開封した人を責めるだけの対策です。

SG試験では、個人の注意だけでなく、次のような組織的対策が重要になります。

  • 標的型攻撃メール訓練を行う
  • 不審メールの報告手順を整備する
  • 報告率や報告スピードを確認する
  • メールフィルタやマルウェア対策を導入する
  • マクロや添付ファイルの実行を制限する
  • インシデント対応体制を整える

選択肢で「利用者の注意だけで十分」と書かれていたら注意です。

まとめ(試験直前用)

標的型攻撃メールは、特定の組織や担当者を狙い、業務メールを装って添付ファイルやURLを開かせる攻撃です。

SG試験では、次の3点で判断します。

  • 業務メールを装い、自然な内容で送られることがある
  • 添付ファイルやURLを開かせ、感染や情報窃取につなげる
  • 開かない対策だけでなく、開いた後の報告手順も重要

迷ったら、誰を狙っているか、何を開かせたいか、開いた後にどう報告するかで切り分けましょう。

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る