APT（高度持続型脅威）攻撃とは？特徴や手口、対策を実際の事例を踏まえて解説

APT攻撃とは、先進的な技術力と豊富なリソースを持つ攻撃者によって実施される、高度かつ持続的なサイバー攻撃のことです。

近年では、政府機関や重要インフラ、大手民間企業などを標的としたAPT攻撃が世界各地で報告されており、その脅威は年々深刻化しています。

本記事では、APT攻撃の特徴や代表的な手口、目的、典型的な攻撃の流れについて解説するとともに、日本国内外における実際のAPT攻撃事例や代表的なAPTグループについても紹介します。

また、APT攻撃に対して有効とされる対策や、近年重要視されているサイバーインテリジェンスの活用についても解説します。

APT攻撃とは？概要をわかりやすく

「APT」とは「Advanced Persistent Threat」の略称で、高度な技術力を持ち、長期間にわたり標的組織へ持続的な攻撃活動を行う脅威アクター、またはその活動を指す言葉です。日本語では、「高度持続型脅威」、「高度で持続的な脅威」、「先進的で執拗な脅威」などと訳されています。

APTには万国共通の厳密な定義が存在するわけではありませんが、以下2つの特性を兼ね備える脅威を指すことが一般的です。

APTに分類されるような脅威アクターが実施する攻撃は、「APT攻撃」と呼ばれます。APT攻撃は、情報窃取、監視活動、金銭獲得、妨害・破壊工作などの目的を達成するために、複数の攻撃手法を組み合わせながら長期間にわたって行われる高度なサイバー攻撃です。

単発的なサイバー攻撃とは異なり、検出を回避しながら長期的に標的システム内に潜伏し、継続的に活動を行うことを前提としている点が、APT攻撃の大きな特徴です。

APT攻撃の特徴

APT攻撃は、一般的なサイバー攻撃とは一線を画する高度な技術力や長期間にわたる潜伏などを特徴としています。

ここでは、APT攻撃に共通して見られる代表的な特徴を紹介します。

長期間にわたって潜伏・活動する

APT攻撃の大きな特徴の1つが、長期間にわたって標的組織内へ潜伏し続ける点です。

攻撃者は、システムへの侵入後、すぐに目的を実行するとは限りません。まずは標的環境の調査を行い、検出を避けながら足場を構築・維持し、長期的にアクセス権を保持しようとします。

場合によっては、数か月から数年にわたって潜伏し続けるケースもあります。

高度な技術力と組織的な運営体制を持つ

APT攻撃を行う脅威アクターは、先進的な技術力や豊富なリソースを有していることが大半です。

ゼロデイ脆弱性や独自マルウェア、高度な検出回避技術などを利用するほか、正規のツールを悪用する「Living off the Land（LotL）」型攻撃も、APT攻撃で度々観測されています。

また、APT活動の中には、高度な組織構造に支えられているものが多くあります。例えば、役割分担されたチーム体制で攻撃が実施されるケースなどが報告されています。

なお、一部のAPTグループは国家から支援を受けていると考えられており、組織的な運営体制はそうしたグループで特に顕著です。なお国家支援型APTグループの場合、その攻撃は地政学的な目的や国家戦略と結び付いていると考えられています。

事前に標的組織を徹底調査する

APT攻撃では、攻撃前に標的組織の調査が綿密に行われます。

攻撃者は、組織構造や従業員情報、利用中のシステム、取引先などを事前に調査し、その情報をもとに攻撃計画を立てます。

標的に合わせてツールや手法がカスタマイズされることから、通常のサイバー攻撃よりも攻撃精度が高くなる傾向があります。

複数の攻撃手法を組み合わせる

APT攻撃では多くの場合、単一の攻撃手法だけではなく、複数のツールやテクニックを組み合わせて攻撃が行われます。

例えば、以下のような手法を組み合わせながら、侵入・権限昇格・ラテラルムーブメント・情報窃取などの活動を進めていきます。

このように複数の手法を組み合わせることで攻撃の成功率向上や検出回避を図る点は、APT攻撃の重要な特徴の1つです。

明確な目的を持って攻撃を実施する

APT攻撃は、単なる愉快犯的な攻撃とは異なり、明確な目的を持って実施されるケースがほとんどです。

APT攻撃の主な目的としては、以下が挙げられます。

特に国家支援型APTでは、地政学的な背景や国家戦略と関連しているケースも少なくありません。

APT攻撃と関連用語の違い

APT攻撃の関連用語に、「標的型攻撃」や「国家支援型攻撃」などがあります。

ここでは、それぞれの用語との違いや関係性について整理します。

APT攻撃と「標的型攻撃」の違い

APT攻撃とよく混同される用語の1つが、標的型攻撃です。

標的型攻撃とは、不特定多数を無差別に狙うのではなく、特定の組織・個人・グループなどに照準を絞って行われる攻撃のことを指します。

例えば、以下のような攻撃が標的型攻撃に分類されます。

APT攻撃も、多くの場合は明確な標的を定めて実施されるため、「標的型攻撃の一種」と考えることができます。

ただし、すべての標的型攻撃がAPT攻撃に該当するわけではない点に注意が必要です。

「標的型攻撃」は攻撃対象が絞り込まれているかどうかに着目した用語であり、攻撃の高度さや持続性は問いません。このため、例えばAPTには該当しない「技術的スキルの低い個人が短期的に実施する単純な攻撃」であっても、特定のターゲットのみを標的にしているのであれば標的型攻撃とみなすことができます。

（図：APT攻撃は「標的型攻撃の一種」と位置付けられるが、すべての標的型攻撃がAPT攻撃に該当するわけではない）

APT攻撃と「国家支援型攻撃」の関係

APT攻撃と密接に関連する用語として、「国家支援型攻撃（State-Sponsored Attack）」があります。

国家支援型攻撃とは、国家や政府機関の後援を受けた脅威アクターによって行われるサイバー攻撃を指します。資金、技術、人員、インフラなどの面で支援を受けて、高度で継続的な攻撃活動を実施するケースが多く見られます。

実際、APT攻撃の多くは国家支援型アクターによるものと考えられており、国家安全保障、地政学、軍事、外交などと関連した目的で実施されている場合も少なくありません。

ただし、「国家支援型攻撃」と「APT攻撃」は、厳密には異なる観点の用語です。

つまり、国家からの支援を受けた攻撃の多くはAPT攻撃に該当しやすい一方で、APT攻撃が必ずしも国家支援型であるとは限らないということです。

近年では、金銭目的のサイバー犯罪グループであっても、高度な技術や長期潜伏を伴う「APT的」な攻撃活動を行うケースが報告されています。

なお、APTという概念はもともと国家支援型の脅威を前提として使われることが多かったものの、徐々にセキュリティベンダーや研究機関によって、より広い意味でも使用されるようになりました。このため、場合によってはランサムウェアグループなどの金銭的動機を持つサイバー犯罪グループが「APTグループ」として扱われるケースもあり得ます。

APT攻撃でよく見られる手口

APT攻撃では、単一の攻撃手法だけではなく、複数のツールやテクニックを組み合わせながら攻撃が進められるのが一般的です。

また、攻撃者の目的や標的によって使用される手口も異なるため、「APT攻撃には必ずこの手法が使われる」と一概に言えるわけではありません。

それでも、以下に挙げる4つは、APT攻撃で特によく見られる代表的な手口として知られています。

併せて、最近では、AI技術を悪用した攻撃手法も注目されています。

ここでは、上記4つの手口に加え、APT攻撃におけるAI悪用の動向についても簡単に解説します。

スピアフィッシング

スピアフィッシングとは、不特定多数に向けられる一般的なフィッシングとは異なり、特定の組織や個人を明確に狙って行われる標的型フィッシング攻撃のことを指します。

APT攻撃では、攻撃者が事前に標的組織や従業員について詳細な調査を行い、その情報をもとに攻撃用メールやメッセージを巧妙に作成します。

例えば、

など、受信者に不信感を抱かせにくくする工夫がなされ、高度にカスタマイズされた内容が盛り込まれるのが一般的です。

こうしたフィッシングメールやメッセージには多くの場合、悪意ある添付ファイルやリンクが含まれています。これらが開封またはクリックされると、それをきっかけとして、

などが行われます。

APT攻撃では、このスピアフィッシングが初期侵入の主要な手口として利用されるケースが非常に多く、代表的な攻撃手法の1つとなっています。

ゼロデイ脆弱性の悪用

APT攻撃では、ゼロデイ脆弱性が悪用されるケースがあります。

ゼロデイ脆弱性とは、ソフトウェアやシステムに存在する脆弱性のうち、ベンダーや利用者側がまだ把握しておらず、修正パッチも提供されていない脆弱性のことを指します。攻撃者は、このような脆弱性を悪用することで、セキュリティ対策を回避しながら標的システムへ侵入しようと試みます。

ただし、ゼロデイ脆弱性の発見や、それを悪用するための攻撃コード（エクスプロイト）の開発には、高度な技術力と多大なリソースが必要です。

しかし、前述のように、APTグループの中には国家からの支援を受けていると考えられるグループが多く存在しており、ゼロデイ脆弱性の調査・エクスプロイト作成を行うのに十分な資金力や人員を有しているケースが少なくありません。

ゼロデイ脆弱性は一般公開されておらず、防御側にも事前情報が存在しないため、従来型のセキュリティ対策だけで防ぐことが難しい場合があります。このため、初期侵入や権限昇格など、APT攻撃の重要な局面でゼロデイ脆弱性が利用されるケースは度々報告されています。

なお、ゼロデイに限らず既知の脆弱性の悪用も、APT攻撃の代表的な手段の1つです。

ソーシャルエンジニアリング

APT攻撃者が悪用するのは技術的な脆弱性だけではありません。「人」の弱点を突いたソーシャルエンジニアリングも、APT攻撃の手段となることがあります。

ソーシャルエンジニアリングとは、人間の心理的隙や信頼関係、業務上の習慣などを悪用して情報を引き出したり、不正行為を実行させたりする攻撃手法のことです。

APTグループの中には、高度な技術的攻撃とあわせて、巧妙なソーシャルエンジニアリングを長期間にわたり実施するグループもあります。

代表的なのが北朝鮮のAPTグループで、例えば以下のようなソーシャルエンジニアリング攻撃手口が報告されています。

このように、APT攻撃では技術的な侵入だけでなく、人間の行動や信頼を悪用した攻撃も重要な役割を果たしています。

なお、先ほどのスピアフィッシング攻撃も、広い意味ではソーシャルエンジニアリングの一種です。

関連記事：ソーシャルエンジニアリングとは？事例を交えて手口や対策を解説

サプライチェーン攻撃

APT攻撃では、標的組織そのものではなく、取引先や委託先、利用されているクラウドサービスやソフトウェアなど、サプライチェーン上の比較的脆弱な部分を経由して侵入を試みる「サプライチェーン攻撃」が行われることがあります。

サプライチェーン攻撃とは、信頼関係のある第三者を踏み台にして、本来の標的組織へ侵入する攻撃手法です。委託先や子会社などを狙う「ビジネスサプライチェーン攻撃」と、ソフトウェア開発のライフサイクルに関与するモノ（コード、ライブラリ、プラグイン、各種ツール等）や人（開発者、運用者等）、組織の繋がりを狙う「ソフトウェアサプライチェーン攻撃」に大分されます。

手口としては、例えば以下のようなものが知られています。

たとえ本命の標的組織が厳重なセキュリティ対策を講じていたとしても、サプライチェーン上の弱点を狙うことでそうした対策を迂回できる可能性があります。このため、APTグループにとって、サプライチェーン攻撃は非常に有効な攻撃手法の1つとなっています。

実際に、国家支援型APTとの関連が指摘された大規模サプライチェーン攻撃事例も複数報告されています。例えば、ロシア関連の国家支援型APTグループによるものとされるSolarWindsを悪用したサプライチェーン攻撃（詳しくは後述）は、その代表例として広く知られています。

このほか、最近行われた以下の攻撃にも、APTグループの関与が疑われています。

関連記事：

• Notepad++めぐるサプライチェーン攻撃、攻撃者はアップデートメカニズムを悪用か
• axiosに対するサプライチェーン攻撃、北朝鮮関連のアクターが関与の疑い

APT攻撃におけるAIの悪用

近年では、APT攻撃者がAIの活用を試みるようになっています。

例えば、AI企業のアンソロピックは2025年9月、中国関連の国家支援型脅威アクターが、世界各地の組織に対する大規模なサイバースパイキャンペーンにおいて同社のエージェント型コーディングツール「Claude Code」を悪用していたことを特定しました。同社は、この攻撃ではAIエージェントの活用により、攻撃工程の80〜90%が自動化されていたと述べています。

また、Google Threat Intelligence Group（GTIG）などの報告では、中国や北朝鮮に関連する脅威アクターが、脆弱性調査や攻撃コード開発などにAIを利用している可能性も指摘されています。

特に注目されているのが、AIによる脆弱性探索やゼロデイ脆弱性発見への活用です。

従来、ゼロデイ脆弱性の発見には高度な専門知識と膨大な時間・コストが必要でした。しかし、AIによってコード解析や脆弱性調査の効率が向上すれば、将来的には攻撃者側の負担が大幅に下がる可能性があります。

またその結果、APTグループだけでなく、それほど高度な技術力を持たないサイバー犯罪者による高度攻撃が増加することにもつながるのではないか、という懸念も広がっています。

APT攻撃の目的

では、このようなAPT攻撃は何のために行われるのでしょうか？

APT攻撃は、単なる愉快犯的なサイバー攻撃や金銭目当ての攻撃とは異なり、明確かつ戦略的な目的を持って実施されるケースがほとんどです。

APT攻撃者の背景には国家や政府が存在する場合が大多数であることから、攻撃の動機が国家安全保障、政治、軍事、経済といった文脈に関連していることが多いのも特徴的です。

ここでは、APT攻撃の目的として代表的なものをいくつか紹介します。

サイバースパイ・情報収集を目的としたAPT攻撃

APT攻撃の目的として広く知られているのが、データの窃取やスパイ活動です。

特に国家支援型APTグループによる攻撃では、地政学的・政治的な背景から、他国の政府機関、重要インフラ、通信事業者、メディア、防衛関連組織などを標的とするケースが多く見られます。

また近年では、防犯カメラやIoT機器を侵害し、現地の状況把握や物理的な監視活動に利用しようとするAPT関連攻撃も報告されています。

サイバースパイ攻撃において、APT攻撃者は標的システムへ長期間にわたって潜伏しながら、以下のような行為を秘密裏に実施します。

金銭の獲得を目的としたAPT攻撃

APT攻撃の中には、金銭の獲得を目的として行われるものも存在します。

例えば、以下のような攻撃がその例として挙げられます。

特に、経済制裁下にある国家との関連が指摘されるAPTグループについては、サイバー攻撃による資金獲得が国家活動の資金源となっている可能性も指摘されています。

また近年では、一部の高度なサイバー犯罪グループが、「APT的」な長期潜伏や高度な侵入技術を用いるケースも観測されています。

事業活動や公共サービスの妨害

APT攻撃は、情報窃取だけでなく、標的組織の業務妨害やインフラ機能の停止を目的として実施される場合もあります。

特に、以下のような重要インフラ部門は主要な標的となっています。

実際に、国家間対立や軍事衝突と関連して、重要インフラや公共サービスを狙ったサイバー攻撃が報告された事例も存在します。

有事に備えた事前のアクセス確保（pre-positioning）

APT攻撃では、「pre-positioning（事前のアクセス確保／事前潜伏）」が目的となるケースもあります。

事前のアクセス確保とは、将来的な軍事衝突や政治的緊張の高まりといった有事に備えて、あらかじめ敵対国における重要インフラシステムなどの内部へ侵入・潜伏しておく活動を指します。

例えば、エネルギー施設や通信インフラなどへ事前にアクセス基盤を構築しておくことで、有事の際にシステムを停止させたり、通信を妨害したり、インフラ機能を混乱させたりすることが可能になります。

事前のアクセス確保が目的のAPT攻撃では、平時にはアクセス維持や潜伏が優先されて目立った破壊活動や情報窃取が行われない場合も多いことから、防御側から見ると不審な挙動が少なく、攻撃者が長期間潜伏していても検出が難しくなる傾向があります。

APT攻撃の流れ

APT攻撃は、短期的・単発的に行われるのではなく、その大半が長期間にわたり段階的に進行します。このため、ロッキード・マーティン社が提唱した「サイバーキルチェーン」に沿って説明されることがあります。

サイバーキルチェーンとは、サイバー攻撃を複数の段階に分けて整理するフレームワークです。ここでは代表例として、7段階のサイバーキルチェーンに沿ったAPT攻撃の大まかな流れを紹介します。

ただしこれはあくまで一例であり、実際のAPT攻撃では、アクターや目的によって攻撃フローは変わってきます。また、JPCERT/CCなどが4段階モデルで説明しているように（※）、キルチェーンの表現方法にも複数のパターンがあります。

（※参考：JPCERT/CC『高度サイバー攻撃（APT）への備えと対応ガイド～企業や組織に薦める一連のプロセスについて』）

関連記事：サイバーキルチェーンとは？7つの攻撃ステップと対策をわかりやすく解説

①Reconnaissance：偵察

APT攻撃者はまず、標的となる組織や人物に関する情報を収集します。

例えば、組織構造や内部の人間関係、利用しているシステム・ソフトウェア、役員や従業員のSNS・公開プロフィール、取引先情報、公開サーバーなどを調査し、侵入経路として利用できそうな弱点や脆弱性を探します。APT攻撃では、この偵察段階が非常に綿密に行われる点が特徴的です。

②Weaponization：武器化

次に、偵察段階で収集した情報に基づいて攻撃手法を決定し、特定した脆弱性を突くための攻撃ツール（マルウェア等）を作成・調整します。

なお、この段階では必ずしも毎回新たなツールが開発されるとは限らず、既存のツールを改変する場合もあります。

③Delivery：配送

作成した攻撃ツールを、実際に標的へと送りつけるのがこのフェーズです。先ほど紹介したように、マルウェアや不正コードの配布ルートにはスピアフィッシングやソーシャルエンジニアリング、脆弱性の悪用などの手段が挙げられます。

なお、APT攻撃では、標的に応じて複数の侵入経路が使い分けられるケースも少なくありません。

④Exploitation：悪用

③の配送段階までの過程で見つかった脆弱性や弱点などを悪用し、予め用意しておいた攻撃コードを標的端末上で実行します。

⑤Installation：インストール

攻撃コードの実行により、標的のネットワークにマルウェアやリモートアクセス型トロイの木馬（RAT）などをインストールします。攻撃者はこの段階で永続性の確立や認証情報の窃取、バックドアの設置などを行い、長期間にわたってアクセスを維持できる状態を作ります。

⑥Command & Control (C2)：遠隔制御

インストールしたマルウェアに対し、C2サーバーを介してリモートで指示を与えます。

またこの段階では、ネットワーク全体へのラテラルムーブメント（水平展開）や権限昇格、追加のマルウェアの投入なども行われることがあります。

⑦Actions On Objectives：目的の実行

最後に、攻撃者は当初の目的を実行します。

APT攻撃では、この第7段階に至るまでの潜伏期間が数か月〜年単位の長期間に及ぶことも珍しくありません。

APT攻撃の実際の事例

では、現実に行われているAPT攻撃にはどのようなものがあるのでしょうか？

ここでは、日本に関連する事例と、日本以外の国・地域を標的として行われた代表的なAPT攻撃事例をいくつか紹介します。

日本関連の事例

スピアフィッシングを通じたサイバースパイ攻撃

日本の研究機関と中央ヨーロッパの外交機関を標的にするサイバースパイ活動「Operation AkaiRyū」が、2024年に発見されました。この攻撃は、「2025年日本国際博覧会（大阪・関西万博）」の話題を使った巧妙なスピアフィッシングキャンペーンだったとされています。攻撃経路には、フィッシングメールに含まれた悪意ある添付ファイルやリンクが使われていました。

この攻撃には、中国関連のAPTグループとされる「MirrorFace（Earth Kasha）」が関与していたとされています。なおこのグループは、2019年から2023年にかけても日本の個人や組織を標的にスピアフィッシング攻撃を仕掛けていたほか、2023年以降も、ソフトウェアの脆弱性を悪用し、ネットワーク機器経由で日本組織のネットワークに侵入する攻撃を行っていたことが警察庁により報告されています（※）。

（※参考：警察庁『MirrorFace によるサイバー攻撃について （注意喚起）』）

サプライチェーン侵害とソーシャルエンジニアリング戦術を組み合わせた、ビットコイン窃取事件

2024年5月、日本国内の暗号資産取引所から約482億円相当のビットコインが流出する事件が発生しました。攻撃者は、リクルーターを装って被害組織の関連会社の従業員に接触。「採用前の試験」と称して送り付けたURLを通じて不正プログラムを仕込み、従業員のアクセス権限を乗っ取ってこの関連会社のシステムに侵入し、被害企業の取引内容を改ざんして暗号資産を盗んだとされています。

警察庁などは、この攻撃に北朝鮮のAPTグループ「TraderTraitor」が関与していたと断定しています。

脆弱性の悪用やフィッシングメールによる侵害

マイクロソフト製品における脆弱性の悪用、または悪意ある添付ファイル付きフィッシングメールの送付によってマルウェアを配布する攻撃キャンペーンで、日本や韓国の複数組織が侵害されていたことが報告されています。2023年9月から行われているとされるこの攻撃では、Microsoftリモートデスクトップサービス（RDS）における脆弱性「BlueKeep」（CVE-2019-0708）や、Microsoft Office数式エディタの脆弱性（CVE-2017-11882）が悪用されていました。

攻撃への関与が指摘されたAPTグループ「Larva-24005」は、北朝鮮の国家支援型グループ「Kimsuky」と関連しているものとみられています。

その他の国・地域における事例

日本国外においても、数多くのAPT攻撃が発生しています。ここではその中から、特に影響が大きかった代表的な事例を紹介します。

SolarWindsを悪用したAPT攻撃

2020年に、IT運用管理ソフトウェア「SolarWinds Orion」を通じて大規模なAPTサプライチェーン攻撃が行われました。この攻撃については、ロシア関連の国家支援型APTグループ「APT29（Cozy Bear）」の関与が指摘されています。

攻撃者は、SolarWinds Orionのビルド環境へ侵入し、正規のアップデートへマルウェア「SUNBURST」を挿入。これにより、アップデートを適用した多数の政府機関や民間企業にバックドアを配布したとされています。

その後、攻撃者は長期間にわたり潜伏しながら、追加のマルウェアの展開や情報窃取などの活動を行っていたと報告されています。攻撃が始まったのは遅くとも3月頃だったのに対し、攻撃が発覚したのは12月と、攻撃者は9か月にわたって検出を免れていました。

北米、ヨーロッパ、アジア、中東において被害組織の存在が明らかになるなど影響は広範に及んだ上、特に米国では政府機関や超大手企業などが被害に遭ったこともあり、APT攻撃におけるサプライチェーンリスクを世界的に認識させる事例となりました。

Stuxnetによる重要インフラへの攻撃

システムの妨害を目的としたAPT攻撃の代表例が、「Stuxnet」と呼ばれるマルウェアを使った攻撃です。この攻撃には、米国およびイスラエルが関与していたと考えられています。

2010年9月、イランの核燃料施設で使用されていたウラン濃縮用遠心分離機を標的にしたサイバー攻撃の発生が公表されました。この攻撃では、USBドライブにより核燃料施設に持ち込まれたとみられるStuxnetマルウェアに感染したコンピューターによって、遠心分離機を制御する装置（PLC）の設定ロジックが改ざんされ、周波数変換器が攻撃を受けました。これにより、約8,400台あった遠心分離機のうち約1,000台が稼働不能に陥り、施設の操業が一時停止する事態になったと報告されています。

Stuxnetは、サイバー攻撃が現実世界のインフラに物理的被害を与えた代表例として広く知られています。

Volt Typhoonによる重要インフラへの長期潜伏

APT攻撃の特徴の1つである「長期的な潜伏」を体現している代表的な存在が、中国との関連が指摘されるAPTグループ「Volt Typhoon」です。

2024年2月、米国政府がVolt Typhoonに関するセキュリティアドバイザリを公開し、同グループが米国の通信、エネルギー、運輸、水道／下水道分野などの重要インフラ組織のITネットワークを侵害していたことを報告しました。

Volt Typhoonはシステムへ侵入する前に入念な事前調査を行い、標的の環境に合わせて戦術、技術、手順（TTP）を調整。侵入後は、環境寄生型（Living off the Land／LotL）攻撃などのテクニックを駆使して長期間にわたり検出されることなく潜伏していたとされています。一部のケースでは、少なくとも5年間以上、アクセスおよび足場が維持されていました。

標的組織の性質や攻撃者の行動パターンが従来のサイバースパイ活動や諜報目的の活動のものとは異なっていたことから、米当局は、Volt Typhoonが有事における重要インフラの妨害を念頭にした事前のアクセス確保（pre-positioning）を目的としていたのだろうと評価しています。

APT攻撃グループの例

上記の事例で触れた以外にも、APTグループは多数存在しています。ここでは、その中から日本の組織を標的にしているとされるグループや、その他の代表的なグループをいくつか紹介します。

なお、APTグループの名称は、セキュリティベンダーや研究機関によって異なる場合があります。例えば、Microsoftが「Twill Typhoon」として追跡しているグループは、CrowdStrikeが「Mustang Panda」と呼称しているグループと同一、または近い活動主体であると考えられています。このように、1つのグループに対して異なる複数の名称が使われることは少なくありません。

また、多くのAPTグループについては、特定の国家や政府との関連性が指摘されています。ただし、こうした帰属（アトリビューション）は、セキュリティベンダーや政府機関による技術分析・情報分析に基づく評価であり、必ずしも公的に確定された事実ではない点に注意が必要です。

日本を標的とする主なグループ

まずは、過去に日本の組織を標的にしていることが報告されたAPTグループをいくつか紹介します。

北朝鮮との繋がりが指摘されているグループ

北朝鮮関連APTグループは、暗号資産の窃取を目指した攻撃に加え、偽IT人材を利用した潜入などでも知られています。

※なお、北朝鮮関連のグループについては、セキュリティベンダーによって分類方法が異なる場合があります。

例えば、一部ベンダーでは複数の活動主体を包括的に「Lazarus」として追跡している一方、別のベンダーでは「Andariel」や「TraderTraitor」などをLazarus配下のサブグループ、または独立した活動主体として区別している場合があります。

中国との繋がりが指摘されているグループ

中国関連とされるAPTグループは、主にサイバースパイ活動や重要インフラへの潜伏活動との関連が度々指摘されています。

その他の主なAPTグループ

日本を標的とするAPTグループは、主に中国および北朝鮮との関連が指摘されるグループが中心です。

一方、世界全体で見ると、APTグループの帰属先は多岐にわたります。代表的なグループとしては、以下が挙げられます。

※（）内の国名は、各グループとの関連が疑われている国を示しています。

このほかに、帰属のはっきりしていないAPTグループも多数存在しています。

APT攻撃への効果的な対策

APT攻撃は、高度な技術や長期的な潜伏を特徴とすることから、従来型の境界防御だけでは十分に防ぎきれない場合があります。

このため、APT攻撃では「侵入されないこと」だけでなく、「侵入後にいかに早期検知・封じ込めを行うか」が非常に重要になります。加えて、自組織や同業他社を標的とするAPTグループの動向やTTP（戦術・技術・手順）を継続的に収集・分析する「サイバー（脅威）インテリジェンス（CTI）」の取り組みも有効です。

ここでは、APT攻撃対策として重要視されている代表的な対策をいくつか紹介します。

EDR／XDRによる継続的な監視

APT攻撃では攻撃者が長期間にわたって潜伏するケースが多いため、端末やネットワーク上の不審な挙動を継続的に監視することが重要です。

これを実現するための代表的なツールには、端末（エンドポイント）上の挙動を監視する「EDR（Endpoint Detection and Response）」や、エンドポイントだけでなくネットワークやアプリケーションなど複数のレイヤからセキュリティログを統合・分析する「XDR（Extended Detection and Response）」が挙げられます。

なお、APT攻撃では、正規ツールを悪用する「Living off the Land（LotL）」型の活動も多く見られるため、単純なシグネチャ検知だけではなく、振る舞い検知や異常検知が重要になります。

関連記事：EDRは必要？アンチウイルスやEPPとの違い、運用コストは？

脆弱性管理と迅速なパッチ適用

APT攻撃では、既知の脆弱性やゼロデイ脆弱性が悪用されるケースが多々あります。

そのため、OSやVPN機器、クラウドサービスなどの脆弱性情報を継続的に収集・把握し、迅速にパッチ適用を行うことが不可欠です。

ベンダーや政府機関が公開する脆弱性アドバイザリを継続的に確認することはもちろん、OSINT（公開情報）などを活用し、実際に攻撃で悪用されているかどうかや、PoC（概念実証）エクスプロイトが公開されているかどうかを把握することも推奨されます。

関連記事：OSINTとは？活用例やテクニック、ツール、注意すべき点を解説

多層防御とゼロトラストの導入

APT攻撃に対しては、単一のセキュリティ対策だけで完全に防御することが困難です。

そのため、以下のような対策を組み合わせた多層防御を導入することが重要になります。

また、「組織内ネットワークを無条件に信用しない」という考え方に基づく「ゼロトラスト」の導入もAPT対策において有効です。これは、組織内ネットワークや組織内ユーザーであれば「安全」であると自動的に信頼するのではなく、すべてのアクセスを都度検証・認証することを前提としたセキュリティモデルです。

高度な技術を持つAPT攻撃者の侵入を完全に防ぐことは難しいものの、ゼロトラスト体制を構築しておくことで、仮に攻撃者が一部の端末やアカウントへ侵入した場合でも、ラテラルムーブメントや権限拡大が抑制され、被害が組織全体へ広がるリスクを低減できる可能性があります。

関連記事：ゼロトラストセキュリティとは？5つの構成要素と対策の具体例

権限管理とラテラルムーブメント対策

APT攻撃では、攻撃者が侵入後にラテラルムーブメントを行い、ネットワーク内部で権限を拡大していくケースが多く見受けられます。

そのため、以下のような対策を通じて、攻撃者の権限昇格やラテラルムーブメントを制限できるようにしておくことが重要です。これは、ゼロトラストの考え方とも一部重複しています。

従業員教育とソーシャルエンジニアリング対策

APT攻撃では、スピアフィッシングやIT技術者／リクルーターへのなりすましなど、「人」を狙ったソーシャルエンジニアリング攻撃も多用されます。

そのため、技術的対策を講じるだけでなく、従業員へのセキュリティ教育を通じてAPT攻撃の手口などについて周知しておくことも欠かせません。

例えば、以下のような教育・訓練が有効です。

サイバーインテリジェンスの活用

APT対策では、サイバーインテリジェンスの活用も重要視されています。

サイバーインテリジェンスとは、脅威アクターの活動や攻撃手法、IoC、TTP（戦術・技術・手順）などに関する脅威情報や脆弱性情報などを収集・分析・活用する取り組みです（※）。

APT攻撃では、攻撃者ごとに特徴的な行動パターンが見られる場合があります。このため、自組織を攻撃する可能性のあるグループを特定し、そのグループに関する情報を集めて対策に活かすことが重要になります。収集した情報をMITRE ATT&CKと併せて活用し、行動パターンを分析して検知ルールや監視体制へ反映することも有効です。

関連記事：MITRE ATT&CKとは？概要や活用事例などを概説

なお、APTグループが利用するマルウェア、ツール、C2インフラ、攻撃手法などは刻々と変化するため、一度情報収集を行って終わりにするのではなく、最新の脅威情報を継続的に収集・分析することが大切になります。

また近年では、AI技術の急速な発展に伴い、APT攻撃者によるAI活用も進みつつあります。そのため、攻撃者によるAI利用動向についても継続的に監視・分析していくことが推奨されます。

加えて、APT活動の動機となり得る地政学動向についても、サイバーインテリジェンスを通じて把握しておくことが有効です。

※インテリジェンスの詳しい解説については、以下の記事もご覧ください。

• 脅威インテリジェンスとは？種類や必要性をわかりやすく解説
• 脅威インテリジェンスの国内における活用例と活用のヒント
• 「サイバーインテリジェンス」と「脅威インテリジェンス」の違いとは？

インシデント対応体制の整備

繰り返しになりますが、APT攻撃は非常に高度なことから、完全には防ぎ切れないケースもあります。

そのため、たとえ侵害が発生したとしても迅速に調査・封じ込め・復旧を進められるよう、事前にインシデント対応（レスポンス）体制を整備しておくことが極めて重要です。

例えば、

など、事前の準備をしておくことで、被害を最小限に抑えられる可能性が高まります。

関連記事：

• インシデント対応の4ステップとは？初動から事後までのフローをわかりやすく解説！
• CSIRTとは？役割やSOCとの違い、構築のプロセスについて解説

最後に

このように、APT攻撃は単なる「高度なサイバー攻撃」ではありません。

技術の高さやリソースの豊富さを活かして長期間にわたり持続的に潜伏し、複数の手法を組み合わせながら、情報窃取や監視活動、金銭獲得、重要インフラ機能の妨害などを行う点が大きな特徴です。

また近年では、AI技術の活用やサプライチェーン攻撃、Living off the Land（LotL）型攻撃など、APT攻撃の手法も継続的に高度化・多様化しています。

前述の通り、APT攻撃を侵入時点で完全に防ぐことは容易ではありません。そのため、「侵入されないこと」だけを目指すのではなく、

といった、多層的な防御の考え方が不可欠となっています。

また、APTグループの活動は、国家安全保障や地政学とも深く結び付いています。世界的に不安定な情勢が続く中、今後もAPT攻撃は各国で継続して行われていく可能性が高いと考えられます。

関連記事：地政学的リスクに起因するサイバー攻撃とは？具体例やインテリジェンスを活用した対策などについて解説

この点も踏まえ、企業や組織においては、技術的対策だけでなく、サイバーインテリジェンスや組織体制の強化も含めた継続的なセキュリティ対策を講じて、APT攻撃から自組織を守れるようにしておくことが求められます。

株式会社マキナレコードでは、サイバーインテリジェンスを活用したいお客様のサポートを行っています。ダークウェブ/ディープウェブの監視ツールやOSINTツールの提供から、弊社のアナリストがお客様をサポートする「マネージド・インテリジェンス（MIS）」サービス、また、インテリジェンスを基礎から学べるトレーニングまで、幅広いインテリジェンスサービスを用意しております。

サイバーインテリジェンスにご興味がある、取り組みたいがどこから始めればいいのかわからない、自組織にインテリジェンスが必要なのか判断できない、といったご要望・課題がある場合は、お気軽に弊社までお問い合わせください。