高度持続的脅威(APT)とは何か?仕組みと特徴をわかりやすく解説
著者: Maitham Al Lawati
翻訳: 古川 綾乃
この記事はPowerDMARCのブログ記事 What Is an Advanced Persistent Threat? APT Explained の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。
主なポイント
- APTは通常、資金力があり高度なスキルを持つ脅威アクターによって主導されることが多く、国家や組織化されたサイバー犯罪グループと関連している場合が多いです。
その目的は、機密データの窃取や通信の監視、システムの破壊です。 - APTは、偵察、侵入、持続化、内部での横方向への展開、データ窃取といった複数の段階を経て進行します。
- APTからの防御には、多層的なセキュリティ対策が必要です。
具体的には、監視、定期的なアップデート、従業員へのトレーニング、そして脅威対応計画が含まれます。
サイバー犯罪者は、アンチウイルスソフトウェアやファイアウォールといったエンタープライズ向けセキュリティ技術が脅威の検出と防御の面で進歩しているにもかかわらず、より高度な攻撃ツールの開発を続けています。
多くのサイバーセキュリティ戦略は依然として、攻撃者が無作為に標的を選ぶという前提に基づいています。
ネットワークに十分に強固な防御があれば、攻撃者は単に別のより容易な標的へ移るというのが一般的な考え方です。
しかし、この前提は高度持続的脅威(APT)には当てはまりません。
日和見的な攻撃とは異なり、APTは高度に標的化されています。
APTは特定の被害者を選び、ネットワーク防御の強さに関わらず、成功するまで執拗に攻撃を続けます。
高度持続的脅威(Advanced Persistent Threat)とは何か
高度持続的脅威とは、侵入者がネットワークに密かに侵入し、長期間にわたって潜伏し続ける、標的型かつ長期的なサイバー攻撃を指します。
これらの脅威は通常、資金力があり高度なスキルを持つ脅威アクターによって主導されることが多く、国家や組織化されたサイバー犯罪グループと関連している場合が多いです。
その目的は、機密データの窃取、通信の監視、またはシステムの破壊にあります。
一般的なサイバー攻撃が多くの場合、日和見的に実行され短期間で終わるのに対し、APTは計画的かつ標的を絞って実行されます。
この用語の意味を正しく理解するためには、この文脈における各単語の意味を分解して考えると分かりやすくなります。
- Advanced(高度)
- Advanced(高度)とは、洗練されたハッキング技術やツールの使用を指します。
これには、カスタムマルウェア、ゼロデイエクスプロイト、ソーシャルエンジニアリング、そしてステルス性の高い侵入手法が含まれます。
APTの攻撃者は多くの場合、豊富なリソースにアクセスでき、研究開発にも多大な投資を行っているため、一般的なセキュリティ対策を回避できます。 - Persistent(持続的)
- Persistent(持続的)とは、攻撃者が長期間にわたってアクセスを維持し、目的達成まで粘り強く活動を続けることを意味します。
初期の試みが阻止された場合に別の標的へ移る日和見的なハッカーとは異なり、APTの攻撃者は状況に応じて手法を変えながら再試行し、最終的に標的の侵害に成功するまで攻撃を継続します。
この持続性は場当たり的ではなく、体系的かつ戦略的に維持されます。 - Threat(脅威)
- Threat(脅威)は、被害の深刻さを示しています。
APTは軽微な問題ではなく、重要なシステムやデータの機密性および完全性に対して重大なリスクをもたらします。
その結果として、データの窃取、経済的混乱、知的財産の損失、さらには国家安全保障への影響が生じる可能性があります。
高度持続的脅威(APT)はどのように機能するのか
APTは体系的に動作し、複数の段階を経て進行しながら、防御を静かに回避し、その後システム内に長期間とどまり、侵害から最大限の利益を得ようとします。
プロセス全体は以下の段階で構成されます。
ターゲットの選定と偵察
ターゲットの選定と偵察は最初の段階であり、攻撃者が標的とする対象とその目的を決定します。
ターゲットは多くの場合、知的財産や機密データの価値、あるいは防衛、金融、医療といった重要分野への影響力を基準に選定されます。
ターゲットが決定されると、攻撃者は偵察を開始し、成功率を高めるために、できるだけ多くの情報を収集します。
これには、オープンポートのスキャン、脆弱なシステムの特定、従業員のメールアドレスの分析、さらには行動傾向を把握するためのソーシャルメディア調査などが含まれます。
収集する情報が多いほど、その後の侵入は成功しやすくなります。
初期侵害とアクセス
この段階は、侵入経路を確立する重要なフェーズです。
高度に保護されたネットワークであっても、ヒューマンエラーや未修正のソフトウェア等、攻撃者はこれらを狙って悪用します。
フィッシングメール(攻撃者が侵入に用いる代表的な手法の一つ)は、ユーザに悪意あるリンクをクリックさせたり、マルウェアが仕込まれた添付ファイルを開かせたりします。
その他にも、既知のソフトウェア脆弱性の悪用や、標的が頻繁に訪問するWebサイトを感染させるウォータリングホール攻撃などが用いられます。
侵入後、攻撃者の最優先事項は検知を回避することです。
コードの難読化、ファイルレスマルウェア、正規の管理ツールの悪用などにより、通常の活動に偽装しながらセキュリティアラートを回避します。
足場の確立
アクセスを獲得した後、攻撃者はネットワーク内で長期的なアクセスを確保しようとします。
これは多くの場合、バックドアやリモートアクセス型トロイの木馬(RAT)を設置することで実現され、初期の侵入経路が遮断された場合でも再接続が可能になります。
さらに、攻撃者は新たなユーザアカウントの作成や権限昇格を行い、ネットワーク内を自由に移動できる状態を整えます。
持続的なアクセスの維持は極めて重要です。
そのため攻撃者は、ネットワークの応答を継続的に観察しながら、検知を回避するために戦術を柔軟に変化させます。
この段階では、数週間から数か月にわたって潜伏し、静かに監視を続けながら次の段階に備えることが一般的です。
ラテラルムーブメント(内部横展開)とデータ収集
活動基盤を確立すると、攻撃者はラテラルムーブメント(内部横展開)とデータ収集に進みます。
ネットワーク内部を探索し、価値のあるデータや重要なシステムを特定していきます。
すべてを一度に攻撃するのではなく、APTは戦略的に移動し、複数のシステム間を段階的に移動していきます。
この際、途中で取得した正規の認証情報を利用することが多く、その結果として行動の検知はさらに困難になります。
このフェーズでは、内部環境の構造を把握しながら、ファイルサーバ、データベース、通信基盤などにアクセスし、機密文書、営業秘密、財務情報、さらには外部システムへのアクセスに必要な認証情報など、目的に合致した情報を収集します。
データの持ち出しと痕跡の隠蔽
データの持ち出しは、検知を避けるため、小さな単位に分割して行われることが多く、通常のWeb通信に偽装されたり、暗号化された通信経路を通じて送信されたりします。
より高度なケースでは、データを圧縮・暗号化したうえで持ち出し、活動の痕跡をさらに分かりにくくします。
その後、攻撃者は自身の痕跡を消去するか、将来の再侵入に備えて意図的にバックドアを残す場合があります。
クリーンアップ作業には、システムログの削除や改ざん、タイムスタンプの変更、さらには通常のシステム活動を装うことでフォレンジック調査を妨害する行為などが含まれます。
代表的なAPTの例
過去数十年にわたり、APTはサイバーセキュリティの歴史に大きな影響を及ぼしてきました。
さまざまな地域や分野で多くのキャンペーンが確認されていますが、以下の事例は、その影響力と地政学的な重要性の観点から特に重要です。
Stuxnet
2010年に発見されたStuxnetは、現実世界に物理的被害をもたらした最初のサイバー兵器の一つとされています。
これは、遠心分離機を制御するSCADAシステムに感染することで、イランの核濃縮施設を標的としました。
Stuxnetが画期的であった理由は、マルウェアの技術的な精密さだけでなく、政治的・戦略的な側面にもあります。
この事例は、国家支援型のサイバー攻撃が高度に保護されたインフラに密かに侵入し、物理的な攻撃を伴わずに産業プロセスを破壊できることを示しました。
いずれの政府も公式には関与を認めていませんが、Stuxnetは米国とイスラエルによって開発されたと広く考えられています。
このワームは長期間にわたり検知されずに活動し、APTに特有のステルス性と持続性を示す典型例となりました。
APT28(Fancy Bear)
APT28はロシアに関連する脅威アクターであり、ロシアの軍事情報機関GRUと関係していると考えられています。
このグループは少なくとも2000年代半ばから活動しており、政治的動機に基づくスパイ活動で知られています。
APT28は、特にヨーロッパおよび北米において、政府機関、軍事組織、メディア、シンクタンクを標的としてきました。
その中でも特に注目されたのが、2016年の米国大統領選挙期間中における民主党全国委員会(DNC)へのサイバー攻撃です。
このグループは、スピアフィッシング、マルウェア配布、ソーシャルエンジニアリングなどの手法を用いることで知られており、ロシア国家の利益に資する情報収集を主な目的としています。
APT29(Cozy Bear)
APT29はロシアが支援する別のグループであり、Cozy Bearとしても知られ、ロシア対外情報庁(SVR)に関連していると考えられています。
APT28の比較的攻撃的で目立つ手法とは対照的に、APT29はよりステルス性が高く、慎重で持続的な活動を特徴としています。
Cozy Bearは情報収集を主目的とし、検知されることなく長期間にわたり標的へのアクセスを維持する傾向があります。
このグループは、西側諸国の政府機関、政治組織、研究機関に対するサイバースパイ活動と関連付けられています。
近年では、新型コロナウイルスワクチンの研究データを窃取しようとした試みで国際的な注目を集めました。
これは、地政学的利益に関わる高価値かつ機密性の高い情報を標的とする同グループの特徴を裏付ける事例です。
APTの検知と防止方法
TrellixのCyberThreat Reportによると、APT活動に関連する脅威検知数は、2024年第4四半期から2025年第1四半期にかけて世界全体で45%増加しました。
APTの攻撃者が活発化し、攻撃プロセスがより複雑化する中で、プロアクティブな検知と多層防御の重要性は一層高まっています。
組織は、持続的な脅威に対抗するために、高度な技術、定期的なシステムメンテナンス、そして適切に訓練された人材を組み合わせた対策を講じる必要があります。
そのためには、以下の分野に重点的に取り組む必要があります。
ネットワーク監視と異常検知
APTの検知は、ネットワーク全体の状況を継続的に可視化することが重要です。
APTは静かに活動するため、明確な警告を発することなく通常のネットワーク活動に紛れ込むことが少なくありません。
そのため、既知の脅威の特定とベースラインから逸脱する挙動の検出には、継続的かつ詳細な監視が不可欠です。
振る舞い分析ツールは、異常なデータ転送、不審なアクセス元からのログイン試行、通常とは異なる時間帯に使用される認証情報などの検出に有効です。
これらの兆候は、APTの初期侵入を示す重要なサインとなる可能性があります。
エンドポイント保護とパッチ管理
ワークステーション、サーバ、モバイルデバイスなどのエンドポイントは、APTの侵入経路として利用されることが多くあります。
そのため、不審な挙動を検知し、悪意あるコードの実行を防ぐエンドポイント保護が重要です。
また、パッチ管理も極めて重要です。
多くのAPTは未修正の脆弱性を悪用して侵入するため、ソフトウェアの更新を迅速に適用し、可能であれば自動化することで、攻撃の余地を減らすことができます。
従業員の意識向上とトレーニング
前述の通り、多くのAPTはフィッシングを起点として始まります。
そのため、従業員は最初の防御線として重要な役割を担います。
十分な知識と意識を持つ組織では、攻撃の初期段階で侵入を防ぐことが可能です。
フィッシング訓練や定期的なセキュリティ教育は、この意識向上に有効です。
従業員は、不審なメールの識別方法、安全でないリンクの回避、強固なパスワードの使用、そして異常の迅速な報告方法を理解しておく必要があります。
これらの基本的な対策が、APTの検知と防止に大きく寄与します。
脅威インテリジェンスとインシデント対応計画
APTに対抗するには、脅威の特性を理解することが重要です。
脅威インテリジェンスは、既知の攻撃手法、悪意あるIPアドレス、関連ドメインなどに関する情報を提供するうえで有効です。
これらの情報は、ファイアウォール設定やブロックリストなどの予防対策に活用できます。
一方で、APTでは侵入を完全に防ぐことが難しい場合もあるため、堅牢なインシデント対応計画が不可欠です。
この計画には、明確な連絡体制、封じ込め手順、復旧プロセス、事後レビュー、そして迅速に対応できる訓練済みのチームが含まれるべきです。
まとめ
あらゆるデータ侵害が懸念事項であるものの、APTはその複雑さと長期的な影響において際立っています。
実際の被害が発生するまで気付かれないことが多いという点が、プロアクティブで多層的なセキュリティアプローチを必要とする理由です。
これまで強調してきたように、メールはしばしば最も弱いポイントとなります。
この部分の防御が脆弱であれば、ネットワーク全体がリスクにさらされます。
しかし、PowerDMARCは、DMARC、SPF、DKIMといったメール認証プロトコルを適用することで、メールセキュリティの管理を強化するのに役立ちます。
今すぐデモを予約して、メール境界の防御を強化してください。
APTによって、すべての侵害がすぐに気付けるものではないと知らされる前に対策を講じてください。
よくある質問(FAQ)
- APTとマルウェアの主な違いは何ですか。
- APTは、複数の手法を用いてシステムに侵入し、潜伏し続ける長期的かつ標的型の攻撃であるのに対し、マルウェアは、これらの攻撃の中で使用される、または単独で被害を引き起こす悪意のあるソフトウェアという単一のツールです。
- APT攻撃は通常どのくらい続きますか。
- APT攻撃は数か月から数年に及ぶことがあります。
これらは潜伏し続けるように設計されており、時間をかけて静かにデータを収集したり、より深いアクセス権を獲得したりします。