APT攻撃とは、特定の組織や個人を狙って行われる、計画的で継続的なサイバー攻撃のことです。入念な準備のもとに長期的に行われるケースが多く、世界中でさまざまな被害事例が報告されています。

本記事では、APT攻撃について詳しく解説します。組織の安全を脅かすAPT攻撃について学び、安全な運用を実現するための対策を取りましょう。

APT攻撃の概要と目的とは？

APT攻撃とは、ある特定の組織や個人をターゲットとして実行される攻撃のことです。APTは「先進的で（Advanced）、執拗な（Persistent）、脅威（Threat）」の頭文字を取った言葉であり、日本語で「高度標的型攻撃」と呼ばれることもあります。

高度標的型と呼ばれるように、APT攻撃は通常の標的型攻撃に比べ、より高度で巧妙な手口が特徴です。ターゲットから持続的に情報を窃取したり、データの改ざんを行ったりすることが主な目的です。

単に「標的型攻撃」と呼ばれる攻撃方法においては、取引先や関係者などを装ってマルウェアを仕込んだメールを送付し、ターゲットの端末を感染させて情報を盗み取ります。しかし、APT攻撃では1回きりの攻撃ではなく、複数の手法を用いて継続的に攻撃を試みるのが特徴です。

一般社団法人JPCERTコーディネーションセンターが公開している「高度サイバー攻撃（APT）」への備えと対応ガイド」によれば、APTの特長は下記のように定義されています。

出典：一般社団法人 JPCERT コーディネーションセンター│高度サイバー攻撃（APT）への備えと対応ガイド～企業や組織に薦める一連のプロセスについて（2016/03/31）

APT攻撃では、先進的なツールとテクニックを使用し、かつ複数の手法を組み合わせるケースが多く見られます。また、攻撃者は長期的に活動を継続するため、侵入に成功した組織への足場の構築・維持を図り、目立たないようなアプローチを仕掛ける点に特徴があります。

APT攻撃の手口

APT攻撃の手口には、主に「共通攻撃手法」と「個別攻撃手法」の2種類があります。

「共通攻撃手法」とは、ターゲットのシステムに侵入することを目的とした攻撃方法です。ターゲットのネットワークや端末に対し、マルウェアやスクリプトを送りつけるなどのサイバー攻撃を仕掛け、コントロール権を窃取し侵入する手法が用いられます。

一方の「個別攻撃手法」は、特定の端末を不正に制御し、情報資産の窃取や改ざんを目的とした攻撃手法を指します。事前にIDやパスワードなどのアカウント情報を盗み取り、不正ログインを行って情報資産を盗み取ったり、機密情報を意図的に漏洩させたりします。

「個別攻撃手法」はデータへ不自然に手を加えられることがないため、一見すると、不正操作が行われたことが分かりにくいという特徴があります。この特徴を悪用し、長期間不正ログインを継続し、有益な情報を搾取し続けるのが常習的な手口です。

APT攻撃と標的型攻撃との違い

先述のとおり、APT攻撃はその精度の高さから、一般的な標的型攻撃と区別し「高度標的型攻撃」と言われています。

APT攻撃と標的型攻撃の違いを、下記の表にまとめました。

	APT攻撃	標的型攻撃
準備期間	とても長い	長い
持続性	長期的・継続的に行われる	短期的に行われる
ターゲット	国家や組織 / 特定の個人	組織 / 特定の個人
目的	システムへの侵入、情報の窃取・改ざん（国家戦略やスパイ行為など大規模なもの）	システムへの侵入、情報の窃取・改ざん（情報搾取や金銭の要求など）
攻撃手法	独自ツールや手動で行われるケースもあるなど、多種多様な攻撃方法を用いる	「標的型メール攻撃」をはじめ、Webサイト改ざんやランサムウェアなど

両者の違いは「準備期間」や「継続性」、そして「攻撃の目的」などがあげられます。

APT攻撃は「大規模な機密情報」を盗むため、より高度かつ持続的に準備・攻撃が行われる点が特徴です。攻撃者は、標的の組織や個人について綿密な調査を行い、その脆弱性を突いた攻撃を仕掛けます。

標的型攻撃は、APT攻撃に比べて目的が限定的であることが多いです。例えば、競合企業の機密情報を盗むため、特定の個人を脅迫するため、といった具合です。APT攻撃に比べると手口が単純であるケースが多いものの、それでも標的のシステムへ侵入するため高度な技術を要するサイバー攻撃です。

標的型攻撃とは

改めて簡単に「標的型攻撃」について、簡単にご説明します。標的型攻撃もAPT攻撃と同じく、特定の組織や企業を主な対象に、機密情報・データの盗み取りと改ざんを目的としたサイバー攻撃です。

標的型攻撃の一般的な手口として、以下のような例があります。

ターゲットのネットワークへ不正に侵入して端末を攻撃し、情報の窃取・破壊を行いますが、APT攻撃に比べると組織性が低く、特定の個人を狙って実行されることもあります。また、APT攻撃と同様に、攻撃開始までに入念な準備が行われるのも特徴です。

なぜAPT攻撃が危険視されているか

多くのサイバー攻撃は、標的型攻撃と同様に特定のユーザーを狙った攻撃が多く、ターゲットの機密情報を漏洩させて信頼を失わせたり、金銭的ダメージを追わせたりすることを目的としています。

一方のAPT攻撃は国家の指示や策略で仕掛けられるケースも多く、その目的も単純な金銭目的というよりは、とある国家の機密情報を盗み取ることであったり、特定組織の技術情報を搾取・改ざんすることであったり、特別な意図が関連していることが大半です。

企業や組織が持つ重要な技術情報を窃取・改ざんしたり、国の安全を守るための国防情報を盗み取ったりするなど、被害が拡大することで国民一人ひとりの安全が脅かされる可能性さえあるのが、APT攻撃が危険視されている理由です。

海外の組織が、企業の重要な技術情報を盗み取って自社の製品に転用したり、政府の機密情報を盗み取って国家戦略に活かしたりすることは、国益を損うことにもつながるため、APT攻撃から身を守るための対策が重要になります。

APT攻撃の流れ

前述の一般社団法人JPCERTコーディネーションセンターが公開している「高度サイバー攻撃（APT）への備えと対応ガイド」によると、APT攻撃は次の4つの段階を経て行われます。

▼APT攻撃の4つのフェーズ

第1段階	準備	攻撃者は標的組織への侵入の前に入念に調査し侵入の手筈を整える。
第2段階	潜入	攻撃者は標的組織のセキュリティ防御を破り侵入する。
第3段階	横断的侵害	攻撃者は組織内の侵害を広げ、目的とする重要資産に近づく。
第4段階	活動	攻撃者は重要資産に対しデータの窃盗、改ざんなどの行為を行う。

出典：JPCERT/CC│高度サイバー攻撃（APT）への備えと対応ガイド～企業や組織に薦める一連のプロセスについて（2016/03/31）

まずは侵入先となるターゲットの機密情報を収集し、適切な侵入方法の精査や、活動の侵害となりうる要素を極力排除するための入念な準備をおこないます。攻撃者は標的組織への事前調査により「組織にどういった防御体制」が敷かれ、「どのように回避するか」「組織内の誰を標的とするか」「ネットワークの構成」などを明らかにします。

また攻撃者は組織のネットワークに最初の足場を築いた後、別の手法なども用いながら、他の脆弱なシステムまで横断的に侵害。目的である重要な機密データへと近づきます。この「横断的な侵害」は一度感染したシステムで基盤を広げるため、通常の攻撃に比べ検知されづらいという特徴があります。

最終的に価値あるデータに到達した後は、それらの窃盗または収集を目的に活動を行います。

APT攻撃の具体的なイメージ例

APT攻撃の流れを具体的にイメージいただくため「自動車メーカー」を例にご説明します。

■APT攻撃のイメージ

ターゲット	国内の大手自動車メーカー
目的	「開発関連の情報」や「新車の設計図」など、企業価値に直結する機密情報を搾取すること。
攻撃までの流れ	1．調査フェーズ：まずは、攻撃者は大手自動車メーカーを選択肢に選びます。攻撃者はそのメーカーの社内ネットワーク環境、従業員情報、新製品開発の情報などをインターネット上で入念かつ執拗に調査します。 2．潜入フェーズ：標的組織の従業員宛に、攻撃メールを送信します。例えば、新製品開発に関わるエンジニア宛に、「最新のエンジン技術に関する重要な研究論文」と称するリンクを送信。エンジニアがリンクをクリックするとマルウェアがダウンロードされ、企業ネットワークへの攻撃が開始されます。 3．拡大フェーズ：一度ネットワークに侵入すると、攻撃者は他のPCやサーバーへのアクセス権を手に入れるため、内部で権限の拡張を試みます。最終的に、重要情報が保管されるデータベースやファイルサーバーへのアクセス権を得ることが、拡大の目的です。 4．活動フェーズ：攻撃者は不審な動きを警戒されないよう、ネットワーク内で静かに「盗み見るべき情報」を調査・収集します。 最後に盗み出した情報をネットワーク外部へ送り出し、自動車メーカーの競争力に影響を与える、あるいはその機密データを高く売りつけることで、収益を獲得します。

上記のイメージでは、国内の大手自動車メーカーにある設計情報や最新技術情報を狙ったときの攻撃例を紹介しました。APT攻撃では入念な準備が行われる点が特徴であり、無計画に攻撃を行うことはほとんどありません。

APT攻撃の被害リスクを低減するには、組織のセキュリティ上の欠陥（脆弱性）を洗い出し、それぞれに適切な対処を行う必要があります。具体的な対策は、以降の段落で解説します。

APT攻撃の主な被害事例

近年では、国内外において、APT攻撃による多くの被害事例が報告されています。ここでは、アメリカ政府機関やIT企業へのAPT攻撃の事例と、組織へのAPT攻撃に有効な対策を紹介します。

アメリカ政府機関やIT企業へのAPT攻撃、最大18,000社に影響

2020年3月には、アメリカ政府機関やIT企業を対象としたAPT攻撃が行われ、過去10年で最も深刻ともいわれる情報漏洩被害が起こっています。

企業	アメリカ政府機関・IT企業
被害時期	2020年3月
攻撃対象のサービス	ネットワーク監視ソフトウェア
被害内容	ソフトウェアの脆弱性を狙って不正アクセスし、継続的な侵入のためのバックドアが仕掛けられる。最終的には、最大で約18,000組織の情報が窃取される被害に発展。

この事例では、アメリカの大手システムメーカーが開発・提供するネットワーク監視ソフトウェアの脆弱性を狙って、APT攻撃が行われました。
攻撃者はソフトウェアに「バックドア」のマルウェアを仕込み、自動更新時、約18,000社へとマルウェアが仕込まれた製品が配布されました。バックドアとは、コンピューターやシステムへ不正侵入する目的で、攻撃者が設置する隠された入り口のことです。

この事件ではバックドアを悪用し、アメリカの政府機関を含む約100の組織へと侵入、データの盗み取りや外部への転送が行われる被害へと発展しました。

組織のAPT攻撃に有効な７つの対策

組織がAPT攻撃の対策案として、知っておきたい7つの項目をご紹介します。自社で導入できているものはあるか、ぜひ皆さんもチェックしてみましょう。

1.ネットワークのセグメンテーション:社内ネットワークを分割することで、万一侵入された際も攻撃の拡大を抑止しましょう。

2.多要素認証の導入:多要素認証の導入は、APT攻撃の発端となる「不正アクセス」のリスク軽減に効果的です。ID/パスワードだけでなく、生体認証やスマートフォン等を使用した、複雑な認証方法を導入しましょう。

3.アンチウイルスソフトの導入と定期更新:マルウェアのエンドポイントにおける検知・防御対策として、アンチウイルスは有効なツールです。あらゆるマルウェア攻撃に対策できる高精度なソフトウェアの選定がおすすめです。また最新の脅威に対応できるよう、ツールは常に最新の状態へと更新しましょう。

4.メールのフィルタリング:APT攻撃でも頻繁に使用される、攻撃メールを防ぐため、フィルタリング機能を導入し不審なメールをブロックしましょう。

5.教育とトレーニング:従業員のセキュリティに関する知識不足やポリシーに反する行為が、APT攻撃の踏み台に利用されるケースは少なくありません。従業員へのセキュリティ教育やメール訓練、緊急時の対応などを行い、社員のリテラシーや機器察知能力を高めます。

6.ネットワークの脅威検知システムを導入:APTの攻撃者が侵入・潜伏するなど、ネットワークにて不審な活動が行われた際、速やかに検知してアラートを発する、NDRなどのセキュリティシステムの導入がおすすめです。

7.脆弱性の診断と管理:ソフトウェアやネットワークの脆弱性を定期的にチェックし、パッチを適用したり弱点の要因を改善することで、APT攻撃の被害リスクを低減することが可能です。脆弱性の確認が組織内で困難な場合は、プロのベンダーが提供する「脆弱性診断」の利用がおすすめです。

また、組織がAPT攻撃から組織や機密データを守るためには「ゼロトラスト」という概念にのっとり、「侵入されることを前提」とした「多層防御」を用いた対策を行う必要があります。

ゼロトラストとは「何も信用しない」という考え方です。社内や社外といった従来の概念を捨て去って、自社の情報資産にアクセスするものは全て検閲し、安全性を確かめることによって脅威を回避することを目的としています。

複雑な戦略を仕掛けるAPT攻撃では、従来のピンポイントかつ防ぐだけのセキュリティ対策では、その脅威に対応しきることは困難です。ぜひ上記で紹介した対策手段を複合的に取り入れ、あらゆる脅威の可能性を想定したセキュリティ体制の構築を目指しましょう。

APT攻撃対策ならLANSCOPE プロフェッショナルサービスにお任せください

ここまで「APT攻撃」について解説しましたが、その巧妙な犯行から自組織を守るためには、セキュリティのプロフェッショナルを活用することも1つの手段です。

あらゆるサイバー攻撃への対策支援を行う「LANSCOPE プロフェッショナルサービス」では、丁寧で高品質なセキュリティサービス・製品を提供しています。

1．システムやネットワークの脆弱性を洗い出す「セキュリティ診断」

1つ目にご紹介するのが、自社のネットワークやアプリケーションのセキュリティ課題を明らかにする「セキュリティ診断（脆弱性診断）」です。

APT攻撃などのサイバー攻撃を仕掛けられた際、自社のネットワークやシステムにセキュリティの脆弱性があれば、感染や不正アクセスを容易に受けてしまいます。セキュリティ診断を受けることで、組織のセキュリティ上の課題や欠陥を洗い出し、必要な対策を打つことができます。

また、実際にAPT攻撃を受けた場合を想定し模擬テストを行う、APT対応の「ペネトレーションテストサービス」も有効な手段です。

ペネトレーションテストとは、セキュリティ専門家が攻撃者の視点でシステムやネットワークに対する疑似攻撃を仕掛け、セキュリティの脆弱性を発見する手法です。

APT攻撃の手口を想定したペネトレーションテストを行うことで、未知の脆弱性や新たな攻撃経路・APT攻撃に有効な対策を見つけ出すことができます。

2．クラウドサービスへの不正アクセスを防止「クラウドセキュリティ診断」

2つ目に紹介するのが、Microsoft 365 やAWS といったクラウドサービスの設定不備を見直し、不正アクセスや情報漏洩の要因を無くす「クラウドセキュリティ診断」です。

知識豊富なベンダーがご利用中のクラウドサービスにて、管理設定上の不備を洗い出し、第三者から攻撃を受ける際のリスクの有無などを確認。共有設定や認証設定などを正しく見直すことで、APT攻撃などサイバー攻撃による、攻撃者の侵入リスクを低減します。

3．ネットワークに侵入した脅威をリアル検知「Darktrace（ダークトレース）」

3つ目にご紹介するのが、社内ネットワークの通信状態を監視し、不正なアクティビティやインシデントを早期に検知・対応する、NDR「Darktrace（ダークトレース）」です。
仮にAPT攻撃によってネットワークへの不正アクセスを受けた場合も、NDRにてネットワーク全体を監視することで、あらゆる脅威へリアルタイムで駆除や隔離といった対処が行えます。
「ファイアウォール」や「IDS/IPS」など、ネットワークの入口出口では検知しきれなかったマルウェアであっても、AI学習機能を搭載したDarktraceなら、すり抜けた脅威をしっかりと検知し、攻撃被害を最小限に食い止めることが可能です。

まとめ

凶悪なサイバー犯罪として注目され続ける「APT攻撃」をテーマに解説しました。

企業や国家を狙って行われる高度なサイバー攻撃の「APT攻撃」は、入念な事前準備のもとに実行され、甚大な被害をもたらします。

APT攻撃から身を守るためにも、社内外からアクセスする全てのものを信頼しない「ゼロトラスト」の考え方を意識し、強固なセキュリティ体制を築いていきましょう。また組織のセキュリティ環境を見直す相談役として、ぜひLANSCOPE プロフェッショナルサービスもご活用ください。