特定の企業や団体を狙うサイバー攻撃。機密情報を盗んだり、システムを破壊したり停止させたりする。不特定多数を対象にした攻撃とは異なり、攻撃者が対象組織の内情や応対を研究し、攻撃が成功しやすいように手口を変える。攻撃期間は長く、数カ月から数年に及ぶこともある。米ファイア・アイの調査によれば標的になった組織が侵入に気付くまでの期間は平均で200日を超えるという。
典型的な例では、ウイルスを添付したメールを標的に送り付けることから攻撃を始める。対象組織の人間の興味を引きやすいように、送信元や件名、文面、添付ファイル名やアイコンなどを偽装する。ウイルスはWordやPDFなどの文書ファイルが多い。
標的型攻撃で使われるウイルスは、PCにある脆弱性を突いて、管理者権限などを乗っ取る。未知の脆弱性を悪用する「ゼロデイ攻撃」を利用されると、感染回避が非常に難しい。最近は、脆弱性を突く必要の無い、実行形式ファイルを添付する攻撃が増えている。
感染したPCのウイルスは、外部からの通信を受け付ける「バックドア」を開き、攻撃者が操る「C&C(コマンド&コントロール)サーバー」にアクセスして、遠隔操作ツールやほかのウイルスなどをダウンロードする。攻撃者は遠隔操作ツール経由でディレクトリーサーバーなどを攻撃しつつ、標的のネットワークに感染を広げ、目的を達成する。
攻撃者は単独ではなくグループで活動するケースが多い。組織化・分業化が進んでおり、脆弱性や遠隔操作ツール、盗んだ情報の売買などが行われている。セキュリティ製品の裏をかく技術を開発するセンターもある。
