APT攻撃とは？他のサイバー攻撃との違いや有効な対策を紹介

近年、サイバー攻撃はますます巧妙化し、企業のセキュリティ対策をすり抜ける高度な攻撃が増えています。そのなかでも脅威とされるのが「APT攻撃」です。

APT攻撃は、特定の組織や個人を長期的に狙い、潜伏しながら機密情報を盗み出す精密な手法です。かつては国家機関や防衛産業を標的とするケースが中心でしたが、現在では一般企業や研究機関、地方自治体などにも被害が拡大しています。

本記事では、APT攻撃の仕組みや他のサイバー攻撃との違い、企業が取るべき有効な対策を解説します。自社のセキュリティ対策を見直す際の、参考にしてください。

APT攻撃（Advanced Persistent Threat）は、特定の組織や個人を標的にし、機密データの窃取や長期の情報収集を目的として継続的に実行される攻撃手法です。

標的型攻撃と共通する点として、攻撃対象や目的が明確に定められていることが挙げられます。

しかし、APT攻撃は事前の精密な調査や、長期間にわたる潜伏・横展開、持続的なデータ搾取に重きが置かれる点に違いがあります。そのため、発見が遅れやすく被害が拡大しやすいのが特徴です。

歴史的には国家レベルの標的（軍事施設や重要インフラ等）を狙うケースが多く報告されてきましたが、現在では企業や団体、個人を対象とする事例も増えています。無差別にマルウェアをばらまく攻撃よりも狙いが定まっている分、成功すれば被害の影響が大きい点に注意が必要です。

APT攻撃は、他のサイバー攻撃と比べて「持続性」と「隠密性」が際立っています。

たとえば、ランサムウェア攻撃は数時間から数日のうちに攻撃を拡散し、できるだけ多くの被害者から身代金を得ようとします。一方、APT攻撃は特定の標的に長期間潜伏し、数か月から数年をかけて機密情報を継続的に盗み取る点が違いです。

また、フィッシング攻撃はサイバー攻撃の入口となる手法のひとつであり、APT攻撃の初期段階で利用されるケースもあります。フィッシングは「侵入のきっかけ」であり、APT攻撃はその後の「長期的な活動全体」を指します。

DDoS（Distributed Denial of Service）攻撃は、多数のコンピューターから標的のサーバーに大量のトラフィックを送りつける攻撃です。APT攻撃は騒がしさよりも、静かに潜り込み、気づかれずに情報を奪うことを重視している点に違いがあります。

ここでは、APT攻撃により引き起こされる具体的なリスクを紹介します。

それぞれ詳しく見ていきましょう。

APT攻撃によって、企業の機密情報や顧客データ、知的財産などが漏えいするリスクがあります。

APT攻撃は長期間にわたって潜伏する特性をもち、被害に気づきにくいのが特徴です。そのため、検知されないまま数か月から数年にわたり、継続的に情報を持ち出されるおそれがあります。

万が一、個人情報が漏えいした場合は、個人情報保護法にもとづく報告義務が発生する可能性があります。被害内容によっては、企業の法的責任や社会的信用の失墜も避けられません。

APT攻撃では情報の窃取だけでなく、重要データの改ざんや破壊が行われるリスクもあります。

攻撃者は、システム内部に長期間潜伏しながらデータの完全性を損なうことで、企業の信頼性を低下させたり、誤った意思決定を誘発したりすることを狙う場合があります。

たとえば、財務報告データや顧客情報、設計図面などが改ざんされると、経営判断や製品品質に重大な影響を及ぼす可能性があるため注意が必要です。

APT攻撃を受けた場合、企業の基幹システムやインフラが停止するリスクがあります。システムの停止は、業務の中断や顧客サービスの停止など、事業継続に深刻な影響を及ぼします。

また、重要インフラを標的とするAPT攻撃では、システムの停止自体が攻撃の主要目的となる場合もあるため注意が必要です。

ここでは、APT攻撃で使用される具体的な手口と手法について、下記の2つを紹介します。

手口・手法を理解して、適切な対策を講じるヒントにしてください。

共通攻撃とは、ターゲットとなる企業や個人の使うシステムへの侵入を目的とした、攻撃手法のことです。

たとえば、マルウェアを送るサイバー攻撃を仕かけることで、システムの管理者権限を奪い侵入します。

ほかにもシステムに侵入させたウイルスと攻撃者間で通信できるようにしたり、インターネット環境でウイルスが拡散するようにしたりするものがあります。

APT攻撃の手口のひとつとして、個別攻撃手法があります。共通攻撃手法がシステムの侵入を目的とするのに対し、個別攻撃手法は情報の搾取・改ざんが目的です。

ターゲットの端末を制御し、情報資産の窃取や改ざんなどを実施します。サイバー攻撃を仕かける前に、IDやパスワードなどのアカウント情報をリサーチし、正規ルートで不正ログインを試みる場合もあります。

データを盗まれる場合と比べて、不正アクセスされたことに気づきにくいのが特徴です。そのため、長期間にわたり不正ログインを継続されるリスクもあります。

ここでは、実際に発生したAPT攻撃の被害事例を紹介します。

自社への対策に活かせる部分を探しながら、読み進めてみてください。

2020年に発生した大手IT企業へのゼロデイ攻撃は、史上最大規模のAPTのひとつとして知られています。

攻撃者は、対象企業が提供する正規のソフトウェアアップデートにバックドア（不正侵入口）を仕込むという手口を用いました。このソフトウェアは多くの政府機関や大手企業のネットワーク監視システムで利用されていたため、攻撃は連鎖的に拡大。

ユーザーは通常どおり信頼できるアップデートを適用しただけで感染してしまい、攻撃者は広範な組織の内部ネットワークへの長期的なアクセス権を獲得しました。

結果として、政府関連機関・大手テクノロジー企業・防衛産業など多数の組織の機密情報が流出したと報告されています。

2016年に発生した大手旅行会社へのAPT攻撃では、実在する取引先を装った標的型メールが侵入経路となり、顧客の個人情報や取引先情報が大量に漏えいしました。

攻撃者は事前に同社の取引先や関連企業の情報を詳細に調査し、本物と見分けがつかないほど精巧なメールを作成。メールの件名や本文も実際の業務連絡に近い内容で構成されていました。

その結果、子会社の従業員が添付ファイルを開封し、マルウェアへの感染が発生。感染後、攻撃者は数週間にわたって社内ネットワークに潜伏し、権限を拡大しました。最終的に、顧客の氏名・パスポート番号・住所などの機密データへ不正アクセスしました。

日本国内の政府機関や報道機関、民間企業、学術研究機関などを標敵とした高度な標的型攻撃グループによるAPT攻撃事例が確認されています。

この攻撃グループは2019年12月頃から活動を継続しており、主に日本や台湾などのアジア地域を中心に標的を絞っていました。

本件の特徴は、ファイルレス型マルウェアが使用されていた点です。

ファイルレスマルウェアは、従来のマルウェアのようにディスク上に実行ファイルを保存せず、メモリ上で直接コードを実行します。そのため、ウイルス対策ソフトなどのファイルベース検知では発見が極めて困難です。

この手法により、攻撃者は長期間にわたって標的組織のシステムに潜伏し、内部の通信ログや認証情報、機密文書などを継続的に窃取していたとみられます。

ここでは、APT攻撃に対する有効な対策を紹介します。

被害に遭わないためにも、以下で紹介する対策を実施してみてください。

APT攻撃への効果的な対策は、侵入を完全に防ぐのではなく、侵入を前提とした「多層防御」を実施することです。単一のセキュリティ対策に依存せず、複数の防御層を組み合わせて、攻撃の各段階で検知・遮断・被害の最小化をはかります。

APT攻撃者は高い技術力と持続的な攻撃能力を持っているため、ひとつの防御策だけでは突破される可能性が高くなります。そのため、ネットワーク層・アプリケーション層・データ層など、複数のレイヤーで防御を構築することが重要です。

たとえば、アプリケーション層では多要素認証やアクセス権限の最小化を実施し、データ層では暗号化や定期的なバックアップの取得を徹底します。

ネットワーク層では、ファイアウォールやIDS/IPS（侵入検知・防止システム）を導入し、外部からの侵入を早期に検知できる仕組みを整えるのが効果的です。

ウイルス対策ソフトを常に最新の状態に保つことは、APT攻撃をはじめとするサイバー攻撃への基本かつ重要な対策のひとつです。

攻撃者は既知の脆弱性を悪用して侵入を試みるため、定期的にセキュリティパッチを適用し、ソフトウェアを最新版にアップデートすることが欠かせません。

更新作業を手動で行うのは手間がかかるため、自動更新機能を有効化しておくと効率的です。自動更新を設定しておくと、担当者の負担を軽減しつつ、常に最新のセキュリティ状態を維持できます。

迷惑メールフィルターを導入することも、APT攻撃の対策として有効です。

攻撃者は事前に標的組織を調査し、取引先や同僚を装った非常に巧妙なメールを送信します。そのため、悪意のある添付ファイルやリンクなどはあらかじめ仕分けできるようにしておくと、従業員が誤って開封するリスクを抑えられます。

可能であれば、添付ファイルをサンドボックス環境（隔離された領域）で実行して検査する機能をもつ、メールセキュリティーゲートウェイの導入を検討してください。

社内ネットワークを分割することは、万が一APT攻撃を受けた場合でも、被害を最小にするための対策として効果的です。

攻撃者は最初に侵入した一台の端末から、ネットワーク内の他のサーバーやパソコンへ横展開し、より価値の高い情報や管理者権限を求めて活動範囲を広げます。一般的なネットワークでは、一度侵入されると攻撃者は内部を自由に移動できてしまいます。

しかし、ネットワークを分割することで各区間の通信を制御し、業務に必要な通信のみの許可が可能です。内部のネットワークであっても安易に信用せずに、アクセスを制御してください。

定期的に脆弱性診断を実施することも、APT攻撃の対策として有効です。自社のシステムやアプリケーションに存在する脆弱性を発見・修正することで、APT攻撃者に侵入の機会を与えません。

脆弱性診断を実施することで、攻撃者が悪用する前に自社システムの弱点を発見し、パッチ適用や設定変更によって対処できます。

脆弱性診断には、自動スキャンツールを使用する脆弱性スキャンと、セキュリティーの専門家が実際に侵入を試みるペネトレーションテストの2種類があります。自社の状況に合わせて、実施方法を選択してください。

もし脆弱性が発見された場合は、深刻度と自社への影響を評価して、優先順位をつけて対処することが重要です。

マルウェアの脅威検知システムを導入することで、APT攻撃による侵入や情報漏えいのリスクを低減できます。

脅威検知システムであれば、既知のウイルスだけでなく、未知のマルウェアや不審な通信パターンも分析・検出し、リアルタイムで警告を発します。早期に脅威を検知し迅速に対処することで、被害の拡大を防止可能です。

従業員へのセキュリティー教育は、APT攻撃に長期的に対応できる組織をつくるための重要な施策です。

どれほど高度なセキュリティ技術を導入しても、従業員が不審なメールの添付ファイルを開いたり、偽サイトに認証情報を入力したりすれば、攻撃者に侵入のきっかけを与えてしまいます。

そのため、技術的対策とあわせて「人」のリテラシーを高める教育が不可欠です。

たとえば、実際の攻撃を模した疑似フィッシング訓練を実施し、メールの開封率やリンクのクリック率を測定。クリックした従業員には即座にフィードバックを行い、「なぜそのメールが危険だったのか」「どこで見抜けたのか」を具体的に解説します。

このような実践的な教育を継続することで、従業員一人ひとりが攻撃を受けた際にも冷静に対応できる体制を構築できます。

APT攻撃は特定の組織を狙い、長期間にわたって潜伏しながら機密情報を窃取する高度なサイバー攻撃です。

通常の攻撃と異なり、複数の手法を組み合わせて侵入し、発見されにくい特徴があります。侵入されると、機密情報の漏えいやシステム停止など、企業に深刻なダメージを与えます。

ウイルス対策ソフトの更新や迷惑メールフィルターの導入、ネットワークの分割など、いくつかの対策を組み合わせることが重要です。

定期的な脆弱性診断と、従業員へのセキュリティー教育も実施しましょう。

なお、企業のセキュリティー対策に不安のある方は、ぜひ富士フイルムビジネスイノベーションまでお気軽にご相談ください。