「APT攻撃」という言葉をニュースやセキュリティレポートで目にする機会が増えましたが、「標的型攻撃と何が違うのか」「自社のような中小企業にも関係があるのか」と疑問を持つ情シス担当の方は多いのではないでしょうか。APT攻撃は大企業や官公庁だけの話に見えて、近年はサプライチェーンの末端にある中小企業こそ踏み台として狙われやすい構図になっています。
不正アクセスに気づかないまま数カ月間にわたり情報を抜かれ続け、ようやく発覚した頃には顧客情報も設計資料もすべて持ち出された——APT攻撃の怖さは、こうした「長期間気づけない」点にあります。
この記事では、APT(Advanced Persistent Threat)攻撃の仕組み・標的型攻撃との違い・代表的な侵入経路を整理し、情シス1人体制の中小企業でも現実的に取り組める防御策まで解説します。侵入を前提とした多層防御の考え方と、明日から着手できるチェックリストまでカバーします。
APT攻撃とは?長期潜伏型のサイバー攻撃の正体
APT攻撃(Advanced Persistent Threat)とは、日本語で「高度で持続的な脅威」と訳される、特定の組織を狙って長期間にわたり執拗に行われるサイバー攻撃の総称です。単発のばらまき型攻撃と違い、明確な目的(機密情報の窃取・知的財産の奪取・破壊工作など)を持ち、数カ月から数年単位で活動を継続するのが特徴です。
多くの場合、攻撃者は国家の支援を受けたハッカー集団や、組織化された犯罪グループです。目立たないよう静かに侵入し、内部を偵察しながら権限を拡大し、目的達成のタイミングまで潜伏します。
・Advanced(高度): ゼロデイ脆弱性やカスタムマルウェアなど、検知されにくい高度な技術を使う
・Persistent(持続的): 一度侵入したら排除されにくいように、バックドアを複数仕掛けて長期間居座る
・Threat(脅威): 金銭目的の愉快犯ではなく、明確な戦略と動機を持った攻撃主体
代表的なAPT攻撃グループとしては、海外で「APT28」「APT29」「Lazarus Group」などが知られています。いずれも国家関与が疑われており、政府機関・防衛産業・インフラ事業者などを標的に継続的な活動を行っていると各国のCSIRTから報告されています。
APT攻撃と標的型攻撃の違い
「標的型攻撃」と「APT攻撃」は重なる部分が多く、ほぼ同義で使われることもありますが、厳密にはスコープが違います。標的型攻撃は「特定のターゲットを狙う攻撃手法」全般を指し、APT攻撃はその中でも「高度で、長期にわたり、明確な戦略的目的を持つ」ものを指します。
標的型メール1通で完結するフィッシング的な攻撃も「標的型攻撃」には含まれますが、APT攻撃と呼ぶには活動の継続性と技術の高度さが必要です。
| 観点 | 標的型攻撃 | APT攻撃 |
|---|---|---|
| 期間 | 短期(1回のメール送付で完結する場合も) | 長期(数カ月〜数年にわたり潜伏) |
| 技術レベル | 既知の手口の組み合わせも多い | ゼロデイ・カスタムマルウェアなど高度な技術 |
| 主体 | 個人〜組織化された犯罪者まで幅広い | 国家関与が疑われる組織・高度な犯罪集団 |
| 目的 | 金銭・情報・業務妨害など多様 | 機密情報窃取・知財奪取・長期的な諜報 |
| 検知難易度 | パターンが既知なら検知しやすい | 正規通信に紛れて潜伏、極めて検知困難 |
つまり「すべてのAPT攻撃は標的型攻撃だが、すべての標的型攻撃がAPT攻撃とは限らない」という関係です。実務では報道上どちらの言葉も使われるため、脅威の性質を見極めるには「活動の継続性」と「技術の高度さ」に注目するのがポイントです。
APT攻撃の典型的な流れ(キルチェーン)
APT攻撃は、米国Lockheed Martin社が提唱した「サイバーキルチェーン」というモデルで説明されることが多いです。7段階のフェーズに分けて攻撃の流れを可視化することで、どの段階で検知・遮断すればよいかが見えてきます。
1. 偵察(Reconnaissance)
公開情報・SNS・会社プレスリリースなどから、標的組織の人事・取引先・使用システムを洗い出します。LinkedInで特定部署のエンジニアを特定し、攻撃に使うメール文面を設計するケースも珍しくありません。
2. 武器化・配送(Weaponization / Delivery)
マルウェアを仕込んだPDF・Word・圧縮ファイルを、業務メールや取引先を装った連絡として送付します。取引先のアカウントを乗っ取って正規の返信スレッドに紛れ込ませる手口(スレッドハイジャック)も増えています。
3. 侵入・インストール(Exploitation / Installation)
開かせたファイルが脆弱性を突いて内部にマルウェアを展開し、バックドア・C2通信用のエージェントをインストールします。ここまで来ると、端末1台は完全に攻撃者の支配下に入ります。
4. C2通信・侵害拡大(Command & Control / Lateral Movement)
外部のC2サーバーと通信し、次の指示を受けて内部ネットワークを偵察。ドメイン管理者の認証情報を奪取し、他のサーバー・PCへ横展開(ラテラルムーブメント)していきます。正規のリモート管理ツール(PsExec・RDP・WMI)が悪用されるため、通常業務に紛れて検知が難しくなります。
5. 目的実行(Actions on Objectives)
機密情報を圧縮・暗号化し、分割してC2サーバーに送信。最終段階でランサムウェアを展開して破壊工作を行う「二重恐喝型」のケースもあります。ここで初めて異常に気づくことが多く、その時点で情報はすでに流出済みという厳しい現実があります。
APT攻撃の代表的な侵入経路
APT攻撃の入口は、特別な技術だけとは限りません。むしろ日常業務の延長線上にある「当たり前の経路」を巧妙に悪用するケースが大半です。防御を考える上では、次のような入口を優先的にふさぐことが重要です。
・標的型メール(Spear Phishing): 取引先や上司を装った文面で、添付ファイルやURLを開かせる
・水飲み場型攻撃: 標的が日常的に閲覧するWebサイトを改ざんし、アクセスしただけで感染させる
・サプライチェーン経由: 取引先や関連会社を経由して本命組織に侵入する
・VPN・リモートアクセス機器の脆弱性: 未パッチの境界機器を突破口にして内部に侵入
・正規アカウントの悪用: 過去のリーク情報や認証情報売買サイトから調達したアカウントでログイン
特にサプライチェーン経由の攻撃は、中小企業こそ狙われやすい入口です。本命の大企業を直接攻めるより、セキュリティ体制が手薄な取引先から入り込んだ方が成功率が高いと判断されるためです。「ウチは小さいから狙われない」という感覚は、APT攻撃の文脈ではむしろ逆——小さいからこそ踏み台として選ばれる可能性がある、と捉えるのが正確です。
APT攻撃への現実的な防御策:侵入を前提とした多層防御
APT攻撃は入口対策だけでは防ぎきれないため、「侵入されることを前提に、被害を最小化する」という発想が必要です。ゼロトラスト・最小権限・可視化の3つを柱に、多層的に守るのが基本です。
1. 入口対策を固める(侵入の確率を下げる)
・メールセキュリティの強化: SPF・DKIM・DMARCの設定に加え、添付ファイルのサンドボックス検査を導入
・境界機器の迅速なパッチ適用: VPN装置・ファイアウォール・公開Webサーバーは脆弱性公開後48時間以内を目標に
・MFA(多要素認証)の義務化: 管理者アカウントは絶対、一般ユーザーも原則MFA必須
・従業員訓練: 年1回以上の標的型メール訓練で、不審メール対応の筋肉を維持
2. 内部横展開を止める(侵入後の被害を抑える)
・最小権限の徹底: 管理者権限は必要な時だけ使用、共有アカウント・常用管理者権限は廃止
・ネットワーク分離(マイクロセグメンテーション): 部署単位・サーバー単位でアクセス制御を設計
・EDRの導入: 端末の挙動を継続監視し、不審なプロセス起動や認証情報奪取の試みを検知
・管理通信の制御: PsExec・RDPなどは必要最小限に絞り、すべてログを残す
3. 可視化と検知を高める(潜伏を早期に発見する)
・SIEM/ログ統合管理: 複数機器のログを1カ所に集約し、相関分析で異常を洗い出す
・通信の振る舞い検知: 業務時間外の外部通信・普段通信しない国への接続をアラート化
・定期的な侵害調査: 半年〜1年に一度、第三者による脅威ハンティングを実施
・インシデント対応計画の整備: 侵害検知時に「誰が・何を・どの順番で」やるかを明文化
Linuxサーバーの具体的なログ監視・権限管理の実装については、姉妹サイトLinuxMaster.JPでchown・SELinux・auditdの設定手順を詳しく解説しています。
中小企業でも今日からできるAPT対策チェックリスト
予算と人員が限られる中小企業の情シスでも、コストをかけずに始められる対策は多くあります。以下の順番で着手すると費用対効果が高いです。
・管理者アカウントのMFAを全部有効化(無料): Microsoft 365・Google Workspace・VPN装置の管理者は最優先
・VPN・境界機器のファーム最新化(無料): 未パッチの境界機器は最も狙われる入口
・不要な共有アカウント・退職者アカウントの棚卸し(無料): 四半期に1回は必ず実施
・Windows Defender / 標準EDR機能の有効化(無料〜低コスト): Microsoft Defender for Businessは中小企業向け価格
・標的型メール訓練の実施(低コスト): 外部サービスを使えば従業員1人数百円/年で実施可能
・バックアップの3-2-1ルール適用(低コスト): ランサムウェア型APTに対する最後の砦
・インシデント時の連絡体制整備(無料): 社内連絡網・外部CSIRT窓口・警察相談窓口の一覧化
よくある誤解と注意点
APT攻撃については、情シス現場でも誤解されやすいポイントがいくつかあります。ここを正しておくと、経営層への説明や対策予算の確保がスムーズになります。
・「ウイルス対策ソフトを入れていれば防げる」: 従来型AVはシグネチャベースで、未知のカスタムマルウェアは検知できないケースが多い。EDRとの併用が前提
・「ウチは狙われるような情報はない」: 本命の大企業への踏み台として狙われる。取引先情報・VPN認証情報自体が攻撃者にとって価値ある情報
・「ファイアウォールがあれば内部は安全」: 境界突破後の横展開こそがAPT攻撃の本質。内部も信用しないゼロトラストの考え方が必要
・「検知できなければ攻撃されていない」: 検知できていないからこそ潜伏されている可能性がある。定期的な脅威ハンティングが必要
不正アクセスに関する法律(不正アクセス禁止法)や被害発生時の届出義務については、個別の事案ごとに法律の専門家や所轄の警察・IPA等にご確認ください。
本記事のまとめ
APT攻撃は「高度・持続的・戦略的」という3つの特徴を持つ、長期潜伏型のサイバー攻撃です。標的型攻撃との違いは、活動の継続性と技術の高度さにあり、国家関与が疑われる組織が関わるケースも少なくありません。
完全に防ぐのが難しい脅威である以上、情シスに求められるのは「侵入を前提に被害を最小化する」発想です。入口対策・横展開対策・可視化の3層で守り、MFA義務化・VPNパッチ・最小権限・ログ統合・バックアップといった基本対策を積み上げていくことが、結果として最も費用対効果の高い防御になります。
中小企業こそサプライチェーンの踏み台として狙われやすい時代です。「ウチには関係ない」ではなく「ウチが踏み台にされないために何ができるか」という視点で、今日できる対策から一つずつ着手していきましょう。
APT攻撃の時代に、社内のセキュリティをどう底上げしますか?
高度化する脅威に対して、情シス1人体制でも実践できる現実的な防御策を体系的に学びたい方へ。
正しいセキュリティ知識を体系的に身につけたい方へ、メルマガで実践的なセキュリティ対策ノウハウをお届けしています。
コメント