特定の企業や組織を狙った「標的型攻撃」が後を絶たない。攻撃者は、標的とした企業・組織の従業員に対して、ウイルス(マルウエア)を添付したメールを送信。従業員がウイルスを実行すると、PCがウイルスに感染し、攻撃者に乗っ取られてしまう(図1)。そして、攻撃者はウイルスを使って社内ネットワークを調査し、機密情報を見つけて盗み出す。 つまり、攻撃者の狙いは企業や組織の機密情報だが、最初の“踏み台”にされるのは従業員のPCだ。攻撃者の手口は巧妙化の一途をたどっている。ただ、その手口の多くはほとんど知られていない。そこで本特集は、過去の事例や専門家への取材で判明した、脅威の手口の数々を紹介しよう。 「仕事用アドレス」は簡単に推測できる 標的型攻撃では、主にメールが使われる。従業員に送ったウイルス添付メールが攻撃の端緒となる。メールの宛先アドレスは、企業が従業員ごとに割り当てた、企業ドメインのメールアドレ