APT(Advanced Persistent Threat)とは
APTは、高度な技術と豊富なリソースを持つ攻撃者による、持続的で標的を絞ったサイバー攻撃を指します。一般的なサイバー犯罪とは異なり、国家機関やそれに準ずる組織の支援を受けていることが多く、その目的は金銭だけでなく、政治的・軍事的な情報収集にまで及びます。
APTの定義と特徴
APTの名称は、その攻撃の特性を表す3つの要素から構成されています。
- Advanced(高度)
- APT攻撃者は、ゼロデイ脆弱性の利用、カスタムマルウェアの開発、高度なソーシャルエンジニアリングなど、最先端の攻撃技術を駆使します。一般的なセキュリティ製品では検知できない手法を用い、標的組織のセキュリティ対策を回避します。
- Persistent(持続的)
- APT攻撃は一度きりの攻撃ではなく、数か月から数年にわたって継続します。初期侵入に成功した後も、検知を避けながら長期間潜伏し、目的を達成するまで活動を続けます。一度排除されても、別の手段で再侵入を試みることもあります。
- Threat(脅威)
- APTは単なるツールや手法ではなく、明確な意図と能力を持つ「攻撃者」そのものを指します。国家機関、軍事組織、情報機関などの支援を受け、豊富な資金、人材、時間を投入して攻撃を遂行します。
| 比較項目 | 一般的なサイバー攻撃 | APT攻撃 |
|---|---|---|
| 攻撃者 | 個人、犯罪グループ | 国家支援型組織 |
| 目的 | 金銭窃取 | 情報収集、破壊工作、政治的目的 |
| 標的選定 | 無差別または広範囲 | 特定の組織・業界 |
| 攻撃期間 | 短期(数時間〜数日) | 長期(数か月〜数年) |
| 使用ツール | 既存のマルウェア、ツールキット | カスタムマルウェア、ゼロデイ |
| 検知難易度 | 中程度 | 非常に高い |
| リソース | 限定的 | 豊富(国家予算) |
国家支援型攻撃の背景
APT攻撃の多くは、国家の戦略的利益のために実行されています。
- 地政学的動機
- 国家間の対立や競争を背景に、敵対国の政府機関、軍事施設、重要インフラを標的とした情報収集や破壊工作が行われます。選挙への干渉、外交交渉に有利な情報の取得なども目的に含まれます。
- 経済スパイ活動
- 先端技術、知的財産、企業秘密の窃取を目的とした攻撃です。製造業、製薬、航空宇宙、半導体など、高い技術力を持つ産業が標的となります。窃取した情報は自国企業の競争力強化に利用されます。
- 軍事・インフラ攻撃
- 軍事機密の窃取、兵器システムの情報収集に加え、電力、通信、金融などの重要インフラへの攻撃能力を確保することも目的です。有事の際に相手国のインフラを麻痺させる準備として、平時から侵入・潜伏を行います。
- 資金調達
- 一部のAPTグループ(特に北朝鮮関連)は、経済制裁を回避して外貨を獲得するため、金融機関や暗号資産取引所への攻撃を行います。窃取した資金は核開発やミサイル開発に利用されるとされています。
主要APTグループの分析
セキュリティ研究機関の調査により、複数のAPTグループが特定されています。ここでは、公開情報に基づいて主要なグループの特徴を解説します。なお、グループの帰属(アトリビューション)は複数の証拠に基づく推定であり、確定的なものではありません。
ロシア関連
ロシアには複数のAPTグループが存在し、主に軍事情報機関(GRU)や対外情報機関(SVR)との関連が指摘されています。
| グループ名 | 別名 | 関連組織(推定) | 主な標的 | 特徴 |
|---|---|---|---|---|
| APT28 | Fancy Bear, Sofacy, Pawn Storm | GRU(軍参謀本部情報総局) | 政府機関、軍事、メディア | スピアフィッシング、ゼロデイ活用 |
| APT29 | Cozy Bear, The Dukes | SVR(対外情報庁) | 政府機関、シンクタンク、医療研究 | ステルス性重視、長期潜伏 |
| Sandworm | Voodoo Bear | GRU | 重要インフラ、エネルギー | 破壊的攻撃(NotPetya等) |
| Turla | Venomous Bear, Snake | FSB(連邦保安庁) | 政府機関、外交機関 | 高度なマルウェア、衛星通信悪用 |
- APT28(Fancy Bear)
- 2016年の米国大統領選挙への干渉で広く知られるようになりました。政府機関、軍事組織、メディア、スポーツ団体(WADA等)を標的とし、情報収集と情報戦を展開します。スピアフィッシングと水飲み場攻撃を主な侵入手法とし、X-AgentなどのカスタムマルウェアやOfficeの脆弱性を活用します。
- APT29(Cozy Bear)
- より隠密性の高い活動で知られ、長期間にわたって標的組織に潜伏します。2020年のSolarWinds攻撃(後述)の実行者とされ、サプライチェーン攻撃による大規模な侵入に成功しました。COVID-19ワクチン研究機関への攻撃も確認されています。
- Sandworm
- 破壊的なサイバー攻撃で知られ、2015-2016年のウクライナ電力網攻撃、2017年のNotPetyaマルウェア拡散を実行したとされます。NotPetyaはワイパー系マルウェアとして世界中で甚大な被害をもたらしました。
中国関連
中国には多数のAPTグループが存在し、経済スパイ活動と軍事情報収集の両方を活発に行っています。
- APT1(Unit 61398)
- 2013年にMandiant社のレポートで詳細が公開され、中国人民解放軍との関連が指摘されました。米国を中心に製造業、IT、航空宇宙など幅広い産業を標的とし、知的財産の窃取を目的としています。
- APT10(menuPass, Stone Panda)
- MSP(マネージドサービスプロバイダー)を経由したサプライチェーン攻撃で知られます。クラウドサービスプロバイダーに侵入し、その顧客企業のデータにアクセスする「Cloud Hopper」キャンペーンを展開しました。日本企業も標的となっています。
- APT41(Double Dragon, Winnti)
- 国家支援型のスパイ活動と金銭目的のサイバー犯罪の両方を行う特異なグループです。ゲーム会社、製薬会社、通信会社などを標的とし、ソフトウェアサプライチェーン攻撃にも長けています。
- その他の注目グループ
- APT3(Gothic Panda)、APT17(Deputy Dog)、APT27(Emissary Panda)、APT40(Leviathan)など、多数のグループが確認されています。APT40は特に海洋・航海技術に関する情報収集を活発に行っています。
北朝鮮関連
北朝鮮のAPTグループは、経済制裁下での外貨獲得という独自の動機を持っています。
| グループ名 | 別名 | 主な活動 | 特徴 |
|---|---|---|---|
| Lazarus Group | Hidden Cobra, Zinc | 金融機関攻撃、暗号資産窃取 | 大規模金銭窃取、破壊的攻撃 |
| APT37 | Reaper, ScarCruft | 韓国政府・企業への情報収集 | ゼロデイ活用、脱北者標的 |
| Kimsuky | Velvet Chollima, Thallium | 韓国・日本への情報収集 | スピアフィッシング、認証情報窃取 |
| APT38 | Stardust Chollima | SWIFT攻撃、銀行強盗 | 金融機関特化 |
- Lazarus Group
- 2014年のソニー・ピクチャーズ攻撃、2016年のバングラデシュ中央銀行からの8,100万ドル窃取、2017年のWannaCryランサムウェア拡散など、大規模な攻撃で知られます。近年は暗号資産取引所への攻撃を活発化させており、2022年のAxie Infinity(6億ドル以上)など巨額の窃取事件に関与しています。
- Kimsuky
- 主に韓国と日本を標的とし、政府機関、シンクタンク、学術機関、メディアへの情報収集活動を行います。スピアフィッシングを主な侵入手法とし、認証情報の窃取やマルウェアの配布を行います。
その他の地域
| 地域 | 主なグループ | 特徴 |
|---|---|---|
| イラン | APT33(Elfin)、APT34(OilRig)、APT35(Charming Kitten) | 中東の地政学的対立を背景に、サウジアラビア、イスラエル、米国を標的 |
| ベトナム | APT32(OceanLotus) | 東南アジア諸国、外国企業のベトナム拠点を標的 |
| インド | SideWinder、Patchwork | パキスタン、中国を主な標的 |
APT攻撃のライフサイクル
APT攻撃は、複数のフェーズを経て実行されます。このライフサイクルを理解することは、各段階での検知・防御を検討する上で重要です。
キルチェーン分析
ロッキード・マーティン社が提唱した「サイバーキルチェーン」は、APT攻撃のフェーズを体系化したモデルです。
| フェーズ | 攻撃者の活動 | 期間目安 | 防御の機会 |
|---|---|---|---|
| 1. 偵察 | 標的組織の情報収集(従業員、システム、技術) | 数週間〜数か月 | OSINT監視、フットプリント最小化 |
| 2. 武器化 | マルウェア開発、エクスプロイト準備 | 数日〜数週間 | (攻撃者側で実行) |
| 3. 配送 | フィッシング、水飲み場、サプライチェーン経由で配送 | 数時間〜数日 | メールフィルタ、Webフィルタ |
| 4. エクスプロイト | 脆弱性を悪用してコード実行 | 数秒〜数分 | パッチ適用、EDR |
| 5. インストール | バックドア、RAT等のインストール | 数分〜数時間 | EDR、アプリケーション制御 |
| 6. C&C確立 | 外部のC2サーバーとの通信確立 | 数分〜数時間 | ネットワーク監視、DNS監視 |
| 7. 目的達成 | データ窃取、破壊、横展開 | 数日〜数年 | DLP、ネットワークセグメンテーション |
使用されるマルウェア
APTグループは、検知を回避するために独自のマルウェアを開発・使用します。
- カスタムバックドア
- APTグループは、商用マルウェアやオープンソースのツールではなく、独自に開発したバックドアを使用することが多いです。既知のマルウェアのシグネチャに一致しないため、従来のアンチウイルスでは検知が困難です。
- RAT(Remote Access Trojan)
- 遠隔から感染端末を操作するためのトロイの木馬です。ファイル操作、スクリーンショット取得、キーロギング、カメラ/マイクの制御など、多彩な機能を持ちます。APTでは高度にカスタマイズされたRATが使用されます。
- ステルス技術
- APTマルウェアは、検知を回避するための高度な技術を備えています。メモリ上のみで動作するファイルレスマルウェア、正規プロセスへの注入、暗号化された通信、環境チェック(サンドボックス回避)などが含まれます。
- 正規ツールの悪用
- Living off the Land攻撃のように、OSに標準搭載されているPowerShell、WMI、PsExecなどの正規ツールを悪用することで、不審なファイルを残さずに活動します。
潜伏と横展開
初期侵入後、APT攻撃者は目的達成のために組織内で活動を拡大します。
| 活動 | 内容 | 使用される技術例 |
|---|---|---|
| 認証情報窃取 | パスワード、ハッシュ、トークンの取得 | Mimikatz、LSASS dump、Kerberoasting |
| 権限昇格 | 管理者権限の取得 | 脆弱性悪用、設定不備の利用 |
| 内部偵察 | ネットワーク構造、重要資産の把握 | ADスキャン、ネットワークスキャン |
| 横展開 | 他のシステムへの侵入拡大 | Pass-the-Hash、リモート実行 |
| データ収集 | 目的のデータの特定と収集 | ファイル検索、データベースアクセス |
| 持ち出し | 収集したデータの外部送信 | 暗号化通信、分割送信、クラウド悪用 |
APT攻撃者は、潜伏期間中に複数の「足場」を確保します。一つのバックドアが発見・除去されても、別の侵入経路から活動を継続できるようにするためです。
APT攻撃の検知
APT攻撃は検知が困難ですが、複数のアプローチを組み合わせることで検知の可能性を高められます。
検知の課題
APT攻撃の検知が困難な理由を理解することが、対策の第一歩です。
- 高度な回避技術
- APTマルウェアは、サンドボックス環境の検知、アンチウイルスの回避、暗号化通信の使用など、検知を回避する技術を多数備えています。シグネチャベースの検知は効果が限定的です。
- 正規ツールの悪用
- PowerShellやWMIなどの正規ツールを使用する攻撃は、通常の業務活動と区別することが困難です。単純なルールベースの検知では誤検知が多発します。
- 長期潜伏
- APT攻撃者は長期間にわたって少量ずつ活動するため、大量のログの中から異常を発見することが困難です。通常の業務活動に紛れ込み、目立たないように活動します。
- ゼロデイの利用
- 未知の脆弱性(ゼロデイ)を利用した攻撃は、パッチやシグネチャが存在しないため、事前の防御が困難です。ゼロデイ攻撃への対策も重要です。
検知アプローチ
| アプローチ | 内容 | 有効な場面 | 課題 |
|---|---|---|---|
| 振る舞い分析 | 通常と異なる振る舞いを検知 | 未知のマルウェア、内部活動 | ベースライン構築、誤検知 |
| 脅威ハンティング | 能動的に脅威を探索 | 潜伏中の攻撃者発見 | スキル・リソース必要 |
| 脅威インテリジェンス | 既知のAPT情報を活用 | 既知グループの活動検知 | 未知の攻撃者には無効 |
| ネットワーク監視 | 不審な通信パターン検知 | C2通信、データ持ち出し | 暗号化通信の分析困難 |
| EDR/XDR | エンドポイントの詳細監視 | 侵入後の活動検知 | 導入・運用コスト |
IOC/TTPの活用
脅威インテリジェンスを活用した検知には、IOCとTTPの理解が重要です。
- IOC(Indicators of Compromise)
- 侵害の痕跡を示す具体的な情報です。マルウェアのハッシュ値、C2サーバーのIPアドレス/ドメイン、レジストリキー、ファイルパスなどが含まれます。既知のAPT活動を検知するのに有効ですが、攻撃者が容易に変更できるため、寿命は短いです。
- TTP(Tactics, Techniques, Procedures)
- 攻撃者の戦術、技術、手順を指します。MITRE ATT&CKフレームワークで体系化されています。IOCと異なり、TTPs は攻撃者が変更しにくいため、より持続的な検知に有効です。「どのように」攻撃するかを理解し、その振る舞いを検知するアプローチです。
- MITRE ATT&CKの活用
- MITRE ATT&CKは、APTグループごとに使用するTTPsをマッピングしています。自組織が標的となりうるAPTグループのTTPsを把握し、それに対応した検知ルールを実装することで、効果的な防御が可能になります。
防御戦略
APT攻撃に対しては、単一の対策ではなく、多層的な防御戦略が必要です。
多層防御
複数の防御レイヤーを組み合わせ、一つの対策が突破されても他の対策で防ぐアプローチです。
- 境界防御
- ファイアウォール、IPS/IDS、Webゲートウェイ、メールゲートウェイなど、ネットワーク境界での防御です。既知の悪意ある通信のブロック、不審なファイルのフィルタリングを行います。ただし、APT攻撃者はこれらを回避する技術を持っているため、境界防御だけでは不十分です。
- エンドポイント保護
- EDR/EPPによるエンドポイントの保護と監視です。マルウェアの実行防止、不審な振る舞いの検知、インシデント発生時の調査・対応を支援します。マルウェア感染対策の完全ガイドで解説している技術的対策が基本となります。
- ネットワーク監視
- NDR(Network Detection and Response)やネットワークトラフィック分析により、内部ネットワークの不審な活動を検知します。横展開やC2通信の検知に有効です。
- アイデンティティ保護
- 多要素認証、特権アクセス管理(PAM)、アイデンティティ脅威検知など、認証情報の保護と不正アクセスの検知を行います。APT攻撃者は認証情報の窃取を重視するため、この層の防御は極めて重要です。
- データ保護
- DLP(Data Loss Prevention)、暗号化、アクセス制御により、重要データの保護と持ち出しの防止を行います。最終目標であるデータ窃取を防ぐ最後の砦となります。
ゼロトラスト適用
「信頼せず、常に検証する」ゼロトラストモデルは、APT対策にも有効です。
| ゼロトラストの原則 | APT対策としての効果 |
|---|---|
| マイクロセグメンテーション | 横展開の抑止、被害範囲の限定 |
| 最小権限アクセス | 侵害されたアカウントの影響範囲限定 |
| 継続的検証 | 正規ユーザーを装った攻撃者の検知 |
| 暗号化 | データ窃取時の保護 |
脅威インテリジェンスの活用
外部の脅威情報を収集・活用し、防御に役立てます。
- フィードの購読
- 商用の脅威インテリジェンスサービス(Recorded Future、Mandiant、CrowdStrike等)や無料のフィード(OTX、MISP等)からIOCやTTP情報を取得し、自組織のセキュリティ製品に反映します。
- ISAC/ISAO参加
- 業界別のISAC(Information Sharing and Analysis Center)やISAOに参加し、同業他社との情報共有を行います。日本では金融ISAC、ICT-ISACなどがあります。
- 自組織への適用
- 収集した脅威インテリジェンスを、自組織のリスク評価、検知ルールの作成、セキュリティ意識向上に活用します。自組織が標的となりうるAPTグループを特定し、優先的に対策することが重要です。
事例研究
実際のAPT攻撃事例から教訓を学びます。
SolarWinds攻撃(2020年)
2020年に発覚した史上最大規模のサプライチェーン攻撃です。
- 攻撃の概要
- APT29(Cozy Bear)とされるグループが、ネットワーク管理ソフトウェア「SolarWinds Orion」の更新プログラムにバックドアを仕込みました。正規の更新として配布されたため、多くの組織が感染しました。
- 被害範囲
- 米国財務省、国土安全保障省、国務省を含む政府機関、Microsoft、Intel、Ciscoなどの大手IT企業、Fortune 500の多数の企業が被害を受けました。約18,000の組織が感染した可能性があります。
- 教訓
- サプライチェーン攻撃のリスクの深刻さが改めて認識されました。信頼できるソフトウェアベンダーの製品であっても、盲目的に信頼することの危険性が示されました。サプライチェーン攻撃対応の重要性が高まっています。
日本企業への攻撃事例
日本企業もAPT攻撃の標的となっています。
| 時期 | 標的業界 | 推定APTグループ | 概要 |
|---|---|---|---|
| 2019-2020年 | 防衛関連 | Tick、APT10等 | 防衛装備品に関する情報窃取 |
| 2020-2021年 | 製造業 | APT10、APT41等 | 知的財産、技術情報の窃取 |
| 2021-2022年 | 政府機関 | Kimsuky等 | 外交政策に関する情報収集 |
| 継続的 | 重要インフラ | 複数グループ | 偵察活動、足場確保 |
日本の組織が標的となる理由として、先端技術の保有、米国同盟国としての地政学的位置、中国・北朝鮮との近接性などが挙げられます。
よくある質問
- Q: 中小企業もAPT攻撃の標的になりますか?
- A: はい、なり得ます。直接の標的ではなくても、大企業へのサプライチェーン攻撃の踏み台として狙われるケースが増えています。特に、大手企業のサプライヤーや、特定の技術を持つ中小企業は標的になりやすいです。自社だけでなく、取引先への影響も考慮した対策が必要です。
- Q: APT攻撃を受けたかどうかはどうすれば分かりますか?
- A: 通常の監視では発見が困難なため、専門的な脅威ハンティングやフォレンジック調査が必要です。不審な外部通信、権限昇格の痕跡、認証ログの異常、通常と異なるファイルアクセスパターンなどが手がかりになります。定期的な脅威アセスメントの実施を推奨します。
- Q: APT対策にはどのくらいの費用がかかりますか?
- A: 組織規模や求めるセキュリティレベルにより大きく異なります。EDR/XDR、脅威インテリジェンスサービス、SOC運用などを組み合わせると、年間数千万円から数億円規模の投資が必要になることもあります。まずはリスク評価を行い、自組織が標的となる可能性と被害規模を見積もった上で、適切な投資レベルを判断することが重要です。
- Q: APTグループの帰属(アトリビューション)はどの程度確実ですか?
- A: セキュリティ研究機関による帰属は、マルウェアのコード類似性、インフラの共有、攻撃パターンの一致、活動時間帯など複数の証拠に基づいていますが、100%確実ではありません。また、偽旗作戦(別のグループに見せかける工作)の可能性もあります。本記事の帰属情報も「推定」として理解してください。
- Q: APT攻撃を受けた場合、どこに報告すべきですか?
- A: 日本では、JPCERT/CCへの報告が推奨されます。国の重要インフラに関わる場合はNISC(内閣サイバーセキュリティセンター)にも報告が必要な場合があります。また、警察のサイバー犯罪相談窓口への相談も検討してください。専門のセキュリティベンダーによるインシデント対応支援も重要です。
まとめ
APT攻撃は、国家の支援を受けた高度な攻撃者による持続的な脅威です。本記事のポイントを振り返ります。
APTの特徴として、高度な技術、長期間の潜伏、明確な目的を持つ攻撃者という3要素があります。主要なAPTグループは、ロシア、中国、北朝鮮、イランなどに存在し、それぞれ異なる動機と手法を持っています。攻撃のライフサイクルを理解することで、各段階での検知・防御の機会を特定できます。
防御戦略としては、多層防御、ゼロトラスト、脅威インテリジェンスの活用が重要です。単一の対策では不十分であり、組織全体でのセキュリティ体制強化が求められます。
APT対策は一朝一夕にはできませんが、マルウェア感染対策の完全ガイドで解説している基本的な対策を確実に実施した上で、脅威インテリジェンスの活用や脅威ハンティング能力の構築を段階的に進めていくことが現実的なアプローチです。
重要なお知らせ
- 本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません。
- APTグループの帰属情報は、セキュリティ研究機関による公開情報に基づく推定であり、確定的なものではありません。
- 脅威情報は作成時点のものであり、APTグループの活動状況は常に変化しています。
- 実際にサイバー攻撃の被害に遭われた場合は、JPCERT/CC、警察(#9110)などの公的機関にご相談ください。
更新履歴
- 初稿公開
