標的型攻撃(APT)とは?通常のサイバー攻撃との違い
標的型攻撃(APT:Advanced Persistent Threat)とは、特定の組織・個人を狙い、長期間にわたって継続的に侵入・潜伏を繰り返す高度なサイバー攻撃の総称です。単発的なマルウェア配布やフィッシングとは根本的に性質が異なります。
通常のサイバー攻撃が「不特定多数を対象に自動化された手法で大量展開する」のに対し、APTは次の3点で大きく異なります。
標的を絞り込む(Targeted) 攻撃者は事前に標的組織の業種・役員・取引先・ITインフラを徹底的に調査したうえで攻撃を開始します。組織固有の弱点を突くため、汎用的なセキュリティ製品だけでは検知が困難です。
高度な技術を駆使する(Advanced) ゼロデイ脆弱性の悪用、カスタムマルウェアの開発、正規ツールの悪用(Living off the Land:LotL)など、既存の防御をすり抜ける技術が組み合わさって使われます。
長期間潜伏する(Persistent) 一度侵入に成功した攻撃者は、数週間から数年にわたって内部に潜伏し続けます。情報窃取・スパイ活動・サプライチェーン汚染など、目的が達成されるまで活動を継続します。
APTの背後には国家機関や国家支援を受けたハッカー集団が存在することが多く、金銭目的のサイバー犯罪グループとは組織規模・資金力・技術水準が根本的に異なります。日本政府・防衛産業・重要インフラを標的にした事案では、攻撃グループの背後に特定国家の関与が疑われるケースが相次いでいます。
攻撃の流れ(キルチェーン:偵察→初期侵入→横展開→情報窃取→持続)
APTの攻撃手順は「サイバーキルチェーン」または「MITRE ATT&CK」フレームワークで体系的に整理されています。各フェーズを理解することが、適切な防御策を設計する第一歩です。
フェーズ1:偵察(Reconnaissance)
攻撃者はまず標的を調査します。LinkedInやX(旧Twitter)、企業サイト、求人票から従業員名・役職・使用技術スタックを収集します。WHOISや証明書透過性ログからドメイン・IPレンジを特定し、Shodan・Censysで外部公開されているサービスを把握します。
この段階では標的組織側にほぼ痕跡が残らないため、防御側が気づくことは困難です。
フェーズ2:初期侵入(Initial Access)
標的に特化した攻撃経路が選ばれます。代表的な手法は次のとおりです。
- スピアフィッシングメール:特定人物の名前・業務内容に合わせた偽メールで、悪意あるマクロ付きOfficeファイルや偽ログインページへ誘導します。
- サプライチェーン侵害:標的企業が使用するソフトウェアベンダーや下請け企業を先に侵害し、正規のアップデートや取引メール経由でマルウェアを送り込みます。
- VPN・リモートアクセス脆弱性:未パッチのVPN装置(Ivanti Connect Secure、Fortinet FortiOSなど)やEdgeデバイスを直接攻撃してフットホールドを確立します。
- ウォータリングホール攻撃:標的が頻繁に訪れるWebサイトを改ざんし、閲覧するだけでマルウェアが実行される「ドライブバイダウンロード」を仕掛けます。
フェーズ3:確立・持続化(Persistence)
初期侵入後、攻撃者は再起動後も活動を続けられるよう足場を固めます。レジストリRun Keys、タスクスケジューラ、WMIサブスクリプション、サービスの登録など、正規OS機能を利用した持続化が多用されます。バックドアとなるC2(Command & Control)通信はHTTPS・DNS・クラウドストレージ(OneDrive、Google Driveなど)を悪用して検知を回避します。
フェーズ4:特権昇格・横展開(Privilege Escalation / Lateral Movement)
内部に入った攻撃者は、より高い権限と広いアクセス範囲を求めて動きます。
- Pass-the-Hash / Pass-the-Ticket:Mimikatzなどで盗んだ認証情報を再利用してActive Directoryを乗っ取ります。
- Kerberoasting:サービスアカウントのTGSチケットをオフラインでクラックしてパスワードを取得します。
- 正規ツールの悪用(LotL):PsExec、WMI、PowerShell、RDPなど正規の管理ツールを使って横展開するため、EDRによる検知が難しくなります。
フェーズ5:情報収集・窃取(Collection / Exfiltration)
目的の情報(設計図・顧客データ・認証情報・外交文書など)を特定して収集し、外部へ持ち出します。データは暗号化・分割して正規のクラウドサービスや許可済みポートを介して送信されるため、DLPだけでは検知が困難です。
2026年国内事例(製造業・防衛関連・政府機関)
日本は2024〜2026年にかけて、国家支援型攻撃グループによる標的型攻撃の被害が顕在化しています。
製造業・サプライチェーン
2025年に国内大手精密機器メーカーのグループ会社が標的型攻撃を受け、設計データが数カ月にわたって持ち出されていたことが判明しました。侵入経路は海外子会社のVPN機器の脆弱性であり、本体ネットワークへの横展開を経て機密図面が窃取されました。製造業ではCAD/CAM系システムや生産管理システムがセキュリティ投資の優先度が低いまま放置されがちであり、こうしたギャップが狙われています。
防衛・宇宙・重要インフラ
JAXAは2016年以降も継続的に標的型攻撃を受けており、2024年には関連企業を含むネットワークへの不正侵入が確認されました。防衛省・防衛産業各社に対する攻撃も後を絶たず、警察庁・内閣サイバーセキュリティセンター(NISC)が注意喚起を繰り返しています。
政府機関・地方自治体
2025年に国内複数の省庁において、職員を偽装したスピアフィッシングメールによるマルウェア感染が報告されました。Emotetの再流行と組み合わせたAPT手法も確認されており、感染後に長期潜伏して内部調査を行うケースが増えています。
これらの事例に共通しているのは、「侵入を許してからの検知・対応が数カ月単位で遅延している」という点です。侵入防止だけでなく、侵入後の早期検知・封じ込めが不可欠です。
主要APT攻撃グループの動向(中国・北朝鮮・ロシア系)
中国系グループ
APT10(Stone Panda) は日本を重点標的とするグループとして知られており、警察庁が2021年に公式に帰属認定しました。MirrorFaceとも呼ばれ、2026年においても日本の政府機関・防衛産業・研究機関への攻撃が継続しています。スピアフィッシング経由でLODEINFO、ANEL等のカスタムマルウェアを配布し、長期潜伏しながら機密情報を窃取します。
Volt Typhoon は米国CISAが警戒を呼びかけた重要インフラ狙いのグループで、LotL(Living off the Land)手法を多用し、検知を極めて困難にします。日本の電力・通信・水道インフラへの事前侵入(プレポジショニング)が懸念されています。
北朝鮮系グループ
Lazarus Group(APT38) は金融機関・仮想通貨取引所への攻撃で有名ですが、防衛産業や航空宇宙分野へのスパイ活動(Operation Dream Job等)も展開しています。求人オファーを装ったスピアフィッシングで侵入し、カスタムマルウェアで長期潜伏します。日本の仮想通貨交換業者が被害を受けた事案も確認されています。
Kimsuky は政府・シンクタンク・大学等の研究者を標的にした情報収集型APTで、信頼性の高いなりすましメールによるフィッシングが特徴です。
ロシア系グループ
APT29(Cozy Bear) は外交・政府・防衛分野を標的とし、正規クラウドサービスをC2通信に悪用する技術が高度です。APT28(Fancy Bear) はNATOおよびNATO加盟国の政府・軍事組織への攻撃で知られ、欧州での活動が活発ですが、日本のNATO接近に伴い関与リスクが高まっています。
企業の防御策(多層防御・EDR・ネットワーク分離・脅威インテリジェンス)
APTは単一の製品・対策では防ぎきれません。複数の防御層を組み合わせた「多層防御(Defense in Depth)」が基本戦略です。
1. アタックサーフェスの最小化
- 外部公開サービス(VPN、RDP、管理画面)のインターネット直接公開を廃止し、ゼロトラストアクセス(ZTNA)へ移行する。
- 不要なアカウント・権限・サービスを棚卸しして削除する。
- ソフトウェア・ファームウェアの定期的なパッチ適用を自動化する。Edgeデバイス(ファイアウォール・VPN装置)は特に優先度を高く設定する。
2. EDR / XDRの導入と運用
エンドポイント検知・応答(EDR)ツールは、マルウェアの実行・横展開・データ収集などの挙動をリアルタイムで検知します。CrowdStrike Falcon、Microsoft Defender for Endpoint、SentinelOneなどの主要製品は、AIベースの挙動分析でLotL攻撃にも対応しています。
EDRを導入しただけでは不十分で、アラートを24時間監視・トリアージするSOC(セキュリティオペレーションセンター)との連携が不可欠です。自社でSOCを構築できない場合はMSSP(マネージドセキュリティサービスプロバイダー)への委託も有効です。
XDR(Extended Detection and Response)は、エンドポイント・ネットワーク・クラウド・メール等のテレメトリを横断して相関分析するため、より広範な攻撃キャンペーンの把握が可能です。
3. ネットワーク分離とマイクロセグメンテーション
APTが内部に入った後の横展開を阻止するため、ネットワークをセグメント化します。
- 本番系・開発系・管理系ネットワークを分離し、相互通信を最小化する。
- Active Directoryサーバーは専用のティア0ネットワークに隔離し、アクセス可能な端末・アカウントを厳格に制限する。
- 工場・OT(運用技術)ネットワークはITネットワークと物理的・論理的に分離し、データダイオードやジャンプサーバー経由のみ通信を許可する。
4. 特権アクセス管理(PAM)と多要素認証(MFA)
攻撃者が最初に狙うのは管理者権限です。PAM(Privileged Access Management)ツールで特権アカウントのパスワードを自動ローテーションし、セッションを記録・監査します。すべての特権操作に対してMFAを必須化し、Pass-the-Hash攻撃への耐性を高めます。
5. 脅威インテリジェンスの活用
APT攻撃グループが使用するIPアドレス・ドメイン・マルウェアハッシュ・TTPs(戦術・技術・手順)を、MITRE ATT&CKやISAC(情報共有・分析センター)、NISC提供のIOCフィードから取得してSIEM・EDRに連携させます。自組織の業種・規模に関連するAPTグループの最新動向を定期的に把握することで、先手を打った対策が可能になります。
6. メールセキュリティの強化
スピアフィッシングは依然として最多の初期侵入経路です。
- DMARC・DKIM・SPFを正しく設定し、なりすましメールをブロックする。
- メールセキュリティゲートウェイで添付ファイルをサンドボックス解析する。
- 定期的なフィッシング訓練で従業員の疑わしいメールへの対応能力を高める。
7. 定期的なペネトレーションテストとレッドチーム演習
APT手法を模倣したレッドチーム演習(アドバーサリーシミュレーション)により、実際の侵入経路・横展開経路・検知ギャップを把握できます。年1回以上の外部ペネトレーションテストと組み合わせることで、防御体制の実効性を継続的に検証できます。
感染後の対応(フォレンジック・根絶・再発防止)
APTに感染した(または感染が疑われる)場合、拙速な対応はかえって証拠を損傷させ、攻撃者に気づかれるリスクがあります。次のステップで体系的に対処します。
ステップ1:初動対応と封じ込め
まず影響範囲の把握を優先します。感染端末をネットワークから切り離す際は、すべてのインタフェース(有線・無線・VPN)を同時に遮断します。ただし電源はオフにせず、メモリ上の揮発性証拠(プロセス情報・ネットワーク接続・暗号化キー)を保全するためにメモリダンプを取得します。
ステップ2:デジタルフォレンジック調査
専門のインシデントレスポンスチームが次の作業を行います。
- ディスクイメージ取得:元の端末・サーバーに手を加えずフォレンジックコピーを作成します。
- ログ解析:Windows イベントログ、Sysmon、EDRテレメトリ、ネットワークフローログからタイムラインを再構成します。
- マルウェア解析:検体を静的・動的解析してIOC(侵害指標)を抽出し、他の感染端末のサーベイに活用します。
- 横展開経路の追跡:どのアカウント・どのサーバーを経由して内部を移動したかを特定します。
ステップ3:根絶(Eradication)
フォレンジック調査が完了してから根絶作業を開始します。途中で攻撃者を刺激すると証拠の隠滅や破壊行為(ワイパーマルウェアの実行)につながるリスクがあります。
- 確認されたすべてのマルウェア・バックドア・不正アカウント・永続化メカニズムを除去します。
- Active Directory全体のセキュリティ評価(Tier0アカウントの整理・Kerberoastingリスクの排除)を実施します。
- VPN・Edgeデバイスのファームウェアをクリーンな状態に再構築します。
ステップ4:復旧と再発防止
- 侵害を受けていないことが確認されたバックアップから環境を復旧します。
- 攻撃者が侵入に利用した脆弱性・設定ミス・プロセスの不備を根本的に修正します。
- 対応のタイムライン・判断記録・改善事項を文書化してポストモーテム(事後検証)を実施します。
- 対外報告が必要な場合(個人情報保護法の漏えい報告、NISC等への情報共有)は規定の期限内に対応します。
AEVUSのAPT対策支援・ペネトレーションテスト
AEVUSは、標的型攻撃・APTに対する包括的なセキュリティ支援を提供しています。
APTシミュレーション型ペネトレーションテストでは、実際のAPT攻撃グループが使用するTTPs(MITRE ATT&CK準拠)を用いて、貴社ネットワークへの侵入・横展開・情報窃取を模擬します。「どこから侵入されるか」「侵入後どこまで到達されるか」「既存のEDR・SIEMで検知できるか」を可視化し、優先順位付きの改善提案を提供します。
主なサービスメニュー
- 外部ネットワーク・Webアプリケーションペネトレーションテスト
- 内部ネットワーク・Active Directoryペネトレーションテスト
- レッドチーム演習(アドバーサリーシミュレーション)
- フィッシングシミュレーション
- インシデントレスポンス支援・フォレンジック調査
- 脅威インテリジェンスレポート(業種別APT動向)
「自社がAPTの標的になっているか不安」「現状の防御体制で実際に侵入を防げるか確認したい」というご要望がある場合は、まずは無料相談からご連絡ください。貴社の業種・規模・現状の対策状況をヒアリングしたうえで、最適なアプローチをご提案します。
本記事の情報は2026年6月時点のものです。APT攻撃の手法・グループの動向は急速に変化するため、最新情報については公的機関(警察庁・NISC・IPA)の発表および当社のブログ最新記事もあわせてご参照ください。
