APT攻撃 えーぴーてぃーこうげき
簡単に言うとこんな感じ!
ハッカーが「一度侵入したらバレないようにずっと居座り続ける」超しつこい攻撃のことだよ!普通の攻撃と違って、数ヶ月〜数年かけてじっくり情報を盗み続けるんだ。国家や大企業が標的になることが多い、かなりヤバいやつ!
APT攻撃とは
APT(Advanced Persistent Threat)攻撃とは、特定の組織や企業を標的に、長期間にわたって継続的にサイバー攻撃を行う手法のことです。「Advanced(高度)」「Persistent(持続的)」「Threat(脅威)」の3つの単語が示す通り、高度な技術を使って、バレないようにしつこく居座り続けるのが最大の特徴です。
一般的なサイバー攻撃が「無差別・短期間・即効果」を狙うのに対し、APT攻撃は特定のターゲットを定めて長期計画で情報収集や破壊工作を行います。政府機関・防衛産業・重要インフラ・先端技術を持つ企業などが主な標的となり、背後には国家機関や組織的なサイバー犯罪グループが関与しているケースが多いとされています。
被害に気づくまでに平均200日以上かかるともいわれており、発覚したときにはすでに機密情報が根こそぎ盗まれていた、というケースも少なくありません。「静かに、長く、深く」潜り込むのがAPT攻撃の恐ろしさです。
APT攻撃の構造と流れ
APT攻撃は、ランダムに攻撃するのではなく、ステージ(段階)を踏んで計画的に進行します。セキュリティ業界では以下のようなフェーズで整理されることが多いです。
| フェーズ | 呼び名 | やっていること |
|---|---|---|
| 1 | 偵察(Reconnaissance) | ターゲットの組織構成・人物・システムを徹底調査 |
| 2 | 初期侵入(Initial Access) | スピアフィッシングメールや脆弱性悪用で最初の足がかりをつくる |
| 3 | 足場固め(Establish Foothold) | バックドアやマルウェアを仕込み、再侵入できる環境を整える |
| 4 | 権限昇格(Privilege Escalation) | 一般ユーザー権限から管理者権限へレベルアップ |
| 5 | 横展開(Lateral Movement) | 社内ネットワークを横移動し、より重要なシステムへ到達 |
| 6 | 情報収集・持ち出し(Exfiltration) | 機密データを少しずつ外部に持ち出す |
| 7 | 長期潜伏(Persistence) | 検知されないよう痕跡を消しながら居座り続ける |
覚え方:「偵察→侵入→根を張る→昇格→横移動→盗む→居座る」
APTの怖さは「一つひとつの行動が地味で目立たない」点にあります。各ステップが慎重に行われるため、セキュリティ製品の検知をすり抜けやすいのです。
APTと一般的なサイバー攻撃の違い
| 比較項目 | 一般的な攻撃 | APT攻撃 |
|---|---|---|
| ターゲット | 不特定多数 | 特定の組織・人物 |
| 目的 | 金銭・愉快犯など | 情報窃取・破壊工作・スパイ活動 |
| 期間 | 短期(数時間〜数日) | 長期(数ヶ月〜数年) |
| 技術レベル | 低〜中 | 非常に高い |
| 背後にいる主体 | 個人・犯罪グループ | 国家・大規模組織 |
| 検知の難しさ | 比較的検知しやすい | 非常に検知しにくい |
歴史と背景
- 2003年〜2005年頃:米国防総省を標的にした「チタンレイン作戦(Titan Rain)」が後にAPTの先駆けとして認識される。中国系ハッカー集団による組織的な侵入活動とされた
- 2009年:Googleや30社以上の大企業を標的にした「オペレーション・オーロラ(Operation Aurora)」が発覚。Googleが公式に被害を認め、APTという概念が広く知られるようになる
- 2010年:イランの核施設を標的にした「Stuxnet(スタックスネット)」が発見される。物理的な産業設備を破壊した初のサイバー兵器として衝撃を与えた
- 2013年:セキュリティ企業Mandiantが「APT1」レポートを公開。中国人民解放軍との関与が疑われる組織の活動を詳細に記述し、国際的な注目を集めた
- 2014年:ソニー・ピクチャーズへの大規模攻撃(北朝鮮系ハッカー集団「Lazarus Group」との関連が疑われる)
- 2020年〜:SolarWinds攻撃が発覚。ソフトウェアのサプライチェーンを悪用し、米国政府機関を含む約18,000組織に影響を与えた超大規模APT事案として記録される
- 現在:APT集団は「APT28(ロシア系)」「APT41(中国系)」など番号で管理・追跡されており、50以上のグループが識別されている
APT攻撃の主な侵入経路と防御
APT攻撃では複数の侵入手口が組み合わせて使われます。どこから入ってくるかを知っておくことが対策の第一歩です。
主な対策の考え方
APT攻撃への対策は「入らせない」だけでなく「入られた前提で対処する」多層防御が基本です。
| 対策カテゴリ | 具体的な手段 |
|---|---|
| 予防 | 多要素認証(MFA)の導入、ゼロトラストアーキテクチャ、ソフトウェアの最新化 |
| 検知 | EDR(エンドポイント検知・対応)、SIEM(ログ統合監視)、脅威インテリジェンス活用 |
| 対応 | インシデントレスポンス計画の策定、ネットワーク分離・遮断手順の整備 |
| 教育 | 従業員へのフィッシング訓練、セキュリティ意識向上研修 |
関連する規格・RFC
※ APT攻撃そのものを定義する単一のRFCはありませんが、関連するセキュリティフレームワークや参考情報が存在します。
| 規格・ドキュメント | 内容 |
|---|---|
| NIST SP 800-61 | コンピュータセキュリティインシデント対応ガイド(米国国立標準技術研究所) |
| MITRE ATT&CK | APT集団の戦術・技術・手順(TTP)を体系化した知識ベース。業界標準として広く利用される |
関連用語
- スピアフィッシング — 特定の人物を狙い打ちにした巧妙なフィッシングメール攻撃
- ゼロデイ攻撃 — 修正パッチが存在しない未知の脆弱性を突く攻撃手法
- マルウェア — コンピュータに害を与えることを目的とした悪意あるソフトウェアの総称
- EDR — エンドポイントの脅威をリアルタイムで検知・対応するセキュリティ製品
- SIEM — 複数のシステムログを集約して脅威を一元的に分析・監視するシステム
- ゼロトラスト — 「社内ネットワークでも信頼しない」を前提にした現代的なセキュリティ設計思想
- サプライチェーン攻撃 — 取引先・委託先のソフトウェアや機器を経由して標的組織に侵入する攻撃手法
- インシデントレスポンス — セキュリティインシデント発生時の初動対応・調査・復旧の一連の手順