2011年上半期の特徴として挙げた標的型メール攻撃は、特に東日本大震災の発生後に、震災や原発事故に関連する情報を装った不正なメールが、複数の企業・組織を対象に送信されていることを観測。こうしたメールには、震災に便乗した詐欺についての注意喚起を装ったり、放射線に関する情報を装うなどした文書ファイルが添付されており、このファイルを開くとOfficeやAdobe Readerの脆弱性が悪用され、マルウェアに感染させられる危険がある。
このほか、震災に便乗したメール以外にも、「日程表.xls」「会員.xls」といった業務に関連があるように見せかけた添付ファイルや、「中国軍衝突、第1列島線で攻勢.doc」などの時事問題に関連したファイル名、企業の取引状況や組織内部の人間でしか知りえないような情報に関連したファイル名を用いている事例も確認されたという。
東京SOCで確認された標的型メールのうち、68％はフリーメールアドレスが送信元となっていた。また、こうしたメールでは、従来は日本語環境ではあまり利用されない文字コード（中国のGB2312など）がよく使用されていたが、今期確認されたメールではUTF-8が46％、ISO-2022-JPが31％となっており、国内のウェブメールサービスからメールを送信するか、日本語環境のシステムを踏み台にして攻撃を行っていた可能性を示していると分析している。

また、2011年上半期には、Amazon EC2を送信元とする攻撃を中心として、クラウドサービスを悪用した攻撃も約2300件観測されており、クラウドサービスにも実環境と同等のセキュリティ対策が必要だとして、サービス選定にあたってはセキュリティ対策を検討材料とすることをユーザーに対して推奨している。

東日本大震災に便乗、標的型メール攻撃が増加、IBM東京SOCレポート - クラウド Watch