近年，標的型攻撃が増えている．標的型攻撃とは，標的とする組織や個人を絞り込み，ソーシアルエンジニアリングによってユーザを巧みに騙してプログラムをダウンロード・実行させたり，未知の脆弱性を悪用したりといった手口で標的固有のマルウェアを組織内部の端末へ感染させることにより，機密情報の窃取などを行なうことを目的とした攻撃である．対策としては，これまで行われてきたような，侵入自体を防ぐための入口対策に加え，仮に入口対策が突破され，侵入されてしまった場合であっても情報漏洩の被害を防ぐための出口対策の強化が指摘されている．本論文では，入口対策と出口対策の中間にあたる，標的内部の情報システムにおける攻撃者の活動を検知することを目的として，ファイルサーバ上に 「おとり」 となる，ファイルやフォルダを配置しておき，おとりへのアクセスを基に標的型攻撃を検知する方式を提案する．提案方式では，おとりへアクセスしたユーザの挙動が標的型攻撃における一連の事象と照らし合わせて，おとりへのアクセスが標的型攻撃によるものかどうかを判断する．これにより，重大な被害がでる前に，標的型攻撃への対策をとることができるようになる．Recently, a targeted attack is increasing. The targeted attack is one that seeks to breach the security measures of a specific individual or organization. Usually the initial attack, conducted to gain access to a computer or network, is followed by a further exploit designed to cause harm or, more frequently, steal data. Countermeasures for the targeted attack are prevention of intrusions at entrance of network, and prevention of information leakage from network exit. In this paper, we propose a countermeasure which uses decoys of file or folder on a fileserver. In our method, we decide whether the targeted attack is occurring or not, by user's illegal actions who accessed to the decoy. From this reason, we are able to take another countermeasure before serious damage comes out.