警察が把握した標的型メールの件数は、2011年下半期が509件、2012年上半期が552件、2012年下半期が457件で、増減を繰り返した。


　標的型メール攻撃に使用された不正プログラムなどによる通信の接続先は、約26％が米国、約21％が中国、約20％が日本だった。

　さらに、最初から標的型メールを送付するのではなく、不正行為に関する告発や採用希望を装うなどして、業務との関連を装った通常のメールのやりとりを何通か行い、より自然な状況を装ったあとに、標的型メールを送付する「やりとり型」の手口もあったという。

　また、政権交代や尖閣諸島などの国内外の情勢を捉えた標的型メールが複数の民間業者などに対して送付されたという。

　警察庁では標的型メール攻撃の実例として、以下のようなパターンを挙げている。

「やりとり型」の標的型メール攻撃事案その1

　最初から標的型メールを送付するのではなく、11月、まずは不正行為に関する告発を装ってウェブサイトに公開されているメールアドレスに問い合わせを行い、これに回答した担当者のメールアドレスに対し、同日、告発に関する文書の送付を装って標的型メールを送付してきた。

　不正プログラムを仕込んだファイルは圧縮されてパスワードロックされており、展開（解凍）して生成される画像ファイルはRLO機能を利用してWordファイルに偽装されていた。RLO機能とは、アラビア語等に対応するため、ファイル名を右読みから左読みに変える機能で、たとえばファイル名「fdp.exe」は、RLO機能により「exe.pdf」と表示されるため、実行ファイルをPDFファイルに偽装することができる。

　攻撃者は、架空の日本人名でフリーメールに登録し、当該メールアドレスを利用して、一連のメールを送付していたが、当該メールアドレスから他の重要インフラ事業者等にも標的型メールが送付されていたことから、当該事業者等に注意喚起を行った。

「やりとり型」の標的型メール攻撃事案その2

　最初から標的型メールを送付するのではなく、11月、まずは採用希望者を装ってウェブサイトから問い合わせを行い、これに回答した採用担当者のメールアドレスに対し、履歴書等の送付を装って標的型メールを送付してきたもの。

　不正プログラムを仕込んだファイルは圧縮されてパスワードロックされており、当初、パスワードが分からなかった採用担当者が送信者にパスワードを尋ねるメールを送付したところ、パスワードを教示するメールが返信されて来るなど、複数回のやりとりが行われていた。

　採用希望者を装って標的型メールを送付する事例は他にも見られ、添付ファイルを開くと、実際の履歴書を装った文書が表示される一方で、コンピュータが不正プログラムに感染する事例も把握。