APT対策とは？ 10分でわかりやすく解説

APT（Advanced Persistent Threat）は、高度な能力と継続性を持つ脅威主体、またはその脅威活動を指す用語です。標的型メール、脆弱性悪用、認証情報の窃取、横展開、情報窃取などを組み合わせ、特定の組織に対して長期間活動する点に特徴があります。企業や組織がAPT対策を進める際は、侵入防止だけでなく、侵入後の検知、封じ込め、調査、復旧まで含めて設計する必要があります。

APTとは何か？攻撃の特徴を理解する

APTの定義と攻撃の目的

APTとは、高度な専門性や資源を持つ攻撃者が、特定の標的に対して継続的に活動する脅威を指します。一般的な無差別型攻撃とは異なり、企業、政府機関、研究機関、重要インフラ事業者、サプライチェーン上の関連企業などを標的にし、目的達成まで環境内で活動を続けます。

主な目的は、機密情報の窃取、認証情報の取得、業務システムの妨害、知的財産の取得、将来の攻撃に備えた足場の維持などです。APTは単発のマルウェア感染ではなく、標的の業務、システム構成、人の動きまで調査したうえで進む攻撃として捉える必要があります。

APT攻撃の主な流れ

APT攻撃では、攻撃者が複数の手口を段階的に使います。典型的には、標的調査、初期侵入、権限昇格、横展開、情報収集、外部送信、痕跡の隠蔽という流れで進みます。

1. 標的組織、関係者、取引先、公開システムの調査
2. 標的型メール、公開サーバーの脆弱性、リモートアクセス環境などからの初期侵入
3. 端末やサーバー内での認証情報取得、権限昇格、永続化
4. 重要サーバー、ファイル共有、クラウドサービス、メール環境への横展開
5. 機密情報や業務データの収集、圧縮、暗号化、外部送信
6. ログ削除、通信の偽装、検知回避による活動継続

攻撃者は、公開情報、SNS、漏えい済み認証情報、取引関係、採用情報、業務資料などを調査し、標的に合わせて侵入経路を選びます。一度侵入すると、端末内の資格情報や管理者権限を取得し、サーバーやクラウド環境へ活動範囲を広げます。

検知が遅れると、情報窃取だけでなく、業務停止、取引先への被害拡大、情報漏えい、復旧コスト増加につながります。APT対策では、侵入を防ぐ施策と、侵入後に早く検知して封じ込める施策を分けて考える必要があります。

標的型メール攻撃

APT攻撃の初期侵入で使われやすい手口が、標的型攻撃メールです。標的の業務内容、役職、取引関係、時期的なイベントに合わせて、正規の連絡に見えるメールを送ります。

• 会議資料、請求書、採用情報、取引先連絡などを装った件名や本文
• 実在の上司、同僚、取引先に似せた差出人名やメールアドレス
• マルウェアを含む添付ファイルや、偽サイトへ誘導するURL
• 急ぎの確認や承認を促す文面による心理的な誘導

受信者が添付ファイルを開いたり、URLをクリックしたりすると、マルウェア実行、認証情報入力、セッション情報の窃取につながる場合があります。通常のフィッシング詐欺よりも業務文脈に寄せて作られるため、メール本文の違和感だけに頼った判別には限界があります。

ゼロデイ脆弱性を悪用した攻撃

APT攻撃では、公開サーバー、VPN装置、メールサーバー、ブラウザ、プラグイン、業務アプリケーションなどの脆弱性が狙われます。ゼロデイ攻撃は、まだ一般に知られていない、または修正手段が整う前のハードウェア、ファームウェア、ソフトウェアの脆弱性を悪用する攻撃です。

既知の脆弱性には、パッチ適用、設定変更、不要サービスの停止、公開範囲の制限で対処します。一方、ゼロデイ攻撃は修正プログラムが存在しない段階で成立するため、振る舞い検知、通信監視、権限分離、仮想パッチ、WAF、EDR、ログ監視などで被害範囲を抑えます。

公開システムを運用する組織は、パッチ管理だけでなく、外部公開資産の棚卸し、管理画面の制限、不要なリモートアクセス経路の削除、脆弱性情報の監視を継続します。既知脆弱性の放置は、ゼロデイよりも攻撃者に利用されやすい経路になる場合があります。

水飲み場攻撃とサプライチェーン経由の侵入

APTでは、標的企業を直接攻撃せず、関係者が日常的に利用するWebサイトや取引先を経由する場合があります。水飲み場攻撃では、標的が訪問しやすいWebサイトを改ざんし、閲覧者の端末へマルウェアを配布します。

サプライチェーン経由の攻撃では、委託先、取引先、保守ベンダー、クラウドサービス、ソフトウェア更新経路などが悪用されます。自社の境界だけを守っても、外部ID、保守用アカウント、共有ファイル、連携システムが弱いと、侵入経路として利用されます。

APT対策の基本戦略と具体策

APT対策では、侵入防止、侵入後の検知、横展開の抑制、復旧、再発防止を一体で設計します。特定の製品だけで完結するものではなく、人、プロセス、技術を組み合わせた運用が必要です。

多層防御

多層防御は、単一の防御策に依存せず、複数の対策を組み合わせて攻撃の成功率と被害範囲を下げる考え方です。メール対策、エンドポイント対策、ネットワーク制御、ID管理、ログ監視、バックアップ、教育を組み合わせます。

• メールセキュリティ、サンドボックス、URL検査による初期侵入対策
• アンチウイルス、EPP、EDRによる端末上の検知と隔離
• ファイアウォール、IDS/IPS、WAFによる通信と公開システムの防御
• アクセス制御、暗号化、権限管理によるデータ保護
• ログ監視、SIEM、UEBAによる異常検知
• バックアップ、復旧訓練、インシデント対応計画による復旧力の確保

APTでは、どれか一つの防御策が突破される前提で設計します。端末が侵害された場合でも、重要サーバーへ移動できない、管理者権限を取得できない、外部送信を検知できる状態を作ります。

ネットワークセグメンテーション

ネットワークセグメンテーションは、ネットワークを業務、重要度、役割ごとに分け、セグメント間の通信を制御する手法です。攻撃者が一つの端末に侵入しても、サーバー、開発環境、本番環境、管理ネットワークへ自由に移動できない状態を作ります。

例えば、オフィスPC、サーバー群、開発環境、本番環境、ゲストWi-Fi、管理用ネットワークを分離し、業務上必要な通信だけを許可します。重要システムには、IPアドレス、ユーザー、端末状態、認証方式、時間帯などの条件を組み合わせてアクセスを制御します。

ゼロトラストの考え方を取り入れる場合は、社内ネットワークにいることを理由に信頼せず、ユーザー、端末、アプリケーション、データごとに認証・認可・暗号化・監視を行います。ネットワーク分離だけでなく、IDと端末状態を使った制御を組み合わせると、横展開を抑えやすくなります。

エンドポイントセキュリティ

APT攻撃では、従業員端末、管理端末、開発端末、サーバーが侵入経路や活動拠点になります。エンドポイント対策では、マルウェア検知だけでなく、プロセス実行、権限昇格、外部通信、認証情報アクセスなどの挙動を確認します。

• EDRによる端末上の不審挙動の検知、調査、隔離
• OS、ブラウザ、業務アプリケーション、ミドルウェアの更新管理
• 不要なアプリケーション、サービス、管理ツールの削除
• USBメモリなど外部デバイスの利用ルールと制御
• ローカル管理者権限の制限と特権操作の記録

端末対策では、検知後の運用も事前に決めます。隔離する条件、利用者への連絡、証拠保全、再イメージング、業務継続の代替手段を定めておくと、検知から対応までの遅れを減らせます。

ID管理と多要素認証

APTでは、盗まれた認証情報が初期侵入、権限昇格、横展開に使われます。ID管理では、権限の最小化、不要アカウントの削除、共有IDの廃止、特権IDの管理、ログ取得を組み合わせます。

多要素認証は、パスワードだけに依存しない認証方式として有効です。特に、管理者アカウント、VPN、クラウドサービス、メール、リモートアクセス、重要システムには優先して適用します。あわせて、条件付きアクセスや端末証明書を使うと、認証情報だけを盗まれても利用されにくくなります。

インシデント対応計画とログ管理

APT攻撃を完全に防ぐ前提ではなく、攻撃を受けた場合の対応手順を事前に決めます。インシデント対応計画には、初動、連絡、封じ込め、証拠保全、復旧、外部報告、再発防止を含めます。

• インシデント発生時の連絡体制と役割分担
• システム停止、端末隔離、アカウント停止などの初動手順
• ログ取得、証拠保全、フォレンジック調査の手順
• 経営層、法務、広報、取引先、顧客への報告判断
• 復旧手順、再発防止策、訓練結果の反映方法

ログ管理では、認証、端末、サーバー、ネットワーク、クラウドサービス、重要アプリケーションのログを収集し、検索できる状態にします。長期間の潜伏を想定するなら、ログ保存期間、時刻同期、改ざん防止、検索性を確認します。

APT攻撃の早期発見と被害抑制

APT対策では、侵入の有無を早く判断し、被害範囲を広げない運用が欠かせません。平常時のアクセス、通信量、管理者操作、端末挙動を把握しておくと、異常を見つけやすくなります。

不審なアクティビティの検知

APT攻撃を早期に見つけるには、ネットワーク、端末、ID、クラウドのログを継続的に確認します。特に、通常の業務では発生しにくい操作や通信に着目します。

• 深夜、休日、海外IPアドレスからの管理者ログイン
• 短時間に多数のファイルへアクセスする動き
• 業務に不要な圧縮ツール、リモート操作ツール、スクリプトの実行
• 権限変更、グループ追加、サービスアカウントの利用増加
• ログの欠損、監視停止、セキュリティ製品の無効化
• 通常とは異なる外部送信、DNS通信、クラウドストレージ利用

検知ルールは、一般的な脅威情報だけでなく、自社の業務時間、利用地域、通常の通信先、管理者作業の手順に合わせて調整します。検知件数が多すぎると調査が滞るため、重要資産と高権限アカウントを優先します。

SIEM・UEBAの活用

SIEM（Security Information and Event Management）は、複数のシステムからログを集約し、相関分析によって不審なイベントを検知する仕組みです。ファイアウォール、サーバー、エンドポイント、クラウド、ID基盤のログを一元管理し、単独ログでは見えない攻撃の流れを把握します。

UEBA（User and Entity Behavior Analytics）は、ユーザーや端末の通常時の行動をもとに、異常な利用を検知する考え方です。アカウント乗っ取り、内部不正、権限悪用など、固定ルールだけでは検知しにくい挙動の発見に役立ちます。

SIEMやUEBAを導入しても、ログの収集範囲、正規化、検知ルール、アラート対応者、調査手順が整っていないと運用効果は限定されます。導入前に、何を検知したいのか、誰が一次調査するのか、どの条件でインシデント化するのかを定義します。

脅威インテリジェンスとIOCの活用

脅威インテリジェンスは、攻撃者の手口、マルウェア、攻撃インフラ、狙われやすい脆弱性、侵害事例などを収集・分析し、自社の防御に反映する取り組みです。APTでは、攻撃グループごとに使うツール、手口、通信先が異なるため、業種や地域に合った情報を選別します。

IOC（Indicators of Compromise）は、侵害の痕跡を示す技術情報です。マルウェアのハッシュ値、不審なIPアドレス、ドメイン、URL、ファイル名、レジストリキー、通信パターンなどが含まれます。自社のログや通信と照合することで、既知の侵害痕跡を検出できます。

IOCは古くなる場合があるため、使い捨てられやすいIPアドレスやドメインだけに依存しない運用が必要です。攻撃者の戦術、手法、手順を整理するフレームワークと組み合わせ、検知ルールや訓練シナリオに反映します。

インシデントレスポンス体制

APT攻撃を検知した場合、影響範囲の特定、封じ込め、原因分析、復旧、再発防止を順序立てて進めます。対応が遅れると、攻撃者が証拠を消す、別の経路を確保する、取得済み認証情報を使って再侵入する可能性があります。

• CSIRTまたは緊急対応チームの役割分担
• 初動判断、経営判断、広報判断の責任者
• 端末隔離、アカウント停止、通信遮断の実施条件
• 証拠保全、フォレンジック、外部専門家との連携手順
• 復旧後の監視強化、再侵入確認、恒久対策の実施

計画書だけでは、実際の判断速度は上がりません。机上演習、標的型メール訓練、ログ調査訓練、バックアップ復旧訓練を組み合わせ、連絡の遅れ、権限不足、手順の曖昧さを事前に洗い出します。

従業員教育とセキュリティ意識向上

APT対策では、技術的な対策と同時に、従業員が不審なメール、認証要求、ファイル共有、業務外ツール利用を判断できる状態を作ります。人を責める教育ではなく、迷ったときに報告しやすい手順と窓口を整えることが実務上の要点です。

フィッシング対策トレーニング

フィッシング攻撃は、APTの初期侵入で使われる代表的な手口です。教育では、不審なメールの特徴だけでなく、報告手順と初動を明確にします。

• 差出人アドレス、URL、添付ファイル、文面の確認方法
• 不審メールを開いた場合、添付ファイルを実行した場合の報告手順
• 正規のクラウドログイン画面と偽ログイン画面の違い
• 認証情報や多要素認証通知を求められた場合の確認方法
• 実際の被害事例と自組織で想定される影響

教育は、座学だけでは定着しにくくなります。模擬メール訓練、報告演習、部門別の振り返りを組み合わせ、クリック率だけでなく、報告率と報告までの時間も確認します。

標的型攻撃メール訓練

標的型攻撃メール訓練では、実際の業務に近い文面を使い、従業員がどの条件で不審と判断するかを確認します。一般的な注意喚起では見抜きにくいメールを想定し、判断ポイントを具体化します。

• 業務に関連する件名や添付ファイルを装ったメール
• 実在の担当者や取引先を装った差出人
• ログイン画面やファイル共有サイトへ誘導するURL
• 報告先、報告方法、報告後の対応フロー

訓練結果は、個人の失敗を責める材料ではなく、組織の防御手順を改善する材料として扱います。どの文面で迷いが生じたか、報告先が分かりにくかったか、技術的なメール防御で止められたかを確認します。

情報セキュリティポリシーの策定と周知

情報セキュリティポリシーは、従業員が日常業務で守るべき基準を示す文書です。APT対策では、単に禁止事項を並べるのではなく、誰が、どの情報を、どの条件で扱えるのかを明確にします。

• 長く推測されにくいパスワードの利用、使い回し防止、漏えい時の変更手順
• 多要素認証の適用範囲と例外申請の条件
• 機密情報、個人情報、設計情報、顧客情報の保存・共有・持ち出しルール
• 私物端末、外部クラウド、生成AI、ファイル共有サービスの利用条件
• 在宅勤務、リモートアクセス、公共Wi-Fi利用時の接続条件

ポリシーは、現場で守れる形にする必要があります。例外申請、承認者、違反時の対応、定期見直しの周期を定め、業務変更や新しいサービス導入時に更新します。

継続的な啓発と報告しやすい体制

セキュリティ啓発では、ポスターや社内メールだけでなく、従業員が具体的に取る行動まで示します。注意喚起は短く、報告先と判断基準を明確にします。

• 不審メール、端末異常、認証通知、誤送信の報告窓口を一本化する
• 最新の攻撃事例を自社の業務に置き換えて共有する
• 新入社員、中途入社者、管理者、開発者向けに内容を分ける
• 報告した従業員を責めない運用を明文化する

APT対策では、従業員の早い報告が被害抑制につながります。技術的な監視と従業員からの報告を組み合わせることで、検知の網羅性を高められます。

APT対策の優先順位

APT対策は範囲が広いため、すべてを同時に進めると運用負荷が過大になります。まず、守るべき情報資産、止めてはいけない業務、外部公開システム、高権限アカウントを洗い出します。

優先順位は、攻撃されやすさと被害時の影響で決めます。特に、外部公開システム、クラウド管理者アカウント、メール、ファイルサーバー、バックアップ環境は、APT攻撃で狙われた場合の影響が大きくなります。

まとめ

APT対策は、高度な能力と継続性を持つ脅威主体による攻撃から組織を守るための取り組みです。標的型メール、ゼロデイ攻撃、既知脆弱性の悪用、認証情報の窃取、横展開、情報窃取を想定し、侵入防止、検知、封じ込め、復旧を一体で設計します。

対策の中心は、多層防御、ネットワークセグメンテーション、EDR、ID管理、多要素認証、ログ管理、SIEM・UEBA、脅威インテリジェンス、インシデントレスポンスです。あわせて、従業員教育、標的型メール訓練、情報セキュリティポリシーの整備により、人とプロセスの弱点を減らします。製品導入だけで完結させず、重要資産と業務影響に基づいて優先順位を決め、訓練と見直しを継続することがAPT対策の実効性を左右します。

APT対策に関するFAQ