脅威アクターとは？ わかりやすく10分で解説

UnsplashのSweet Lifeが撮影した写真  

脅威アクターとは、サイバー空間で組織や個人に害を与える可能性がある主体を指します。個人、犯罪グループ、国家支援型の集団、内部関係者などが含まれ、動機や保有する資源、攻撃の継続性によって行動が変わります。脅威アクターを理解する目的は、攻撃者を分類すること自体ではありません。誰が、何を目的に、どの資産を狙うのかを整理し、守るべき情報、認証基盤、公開システム、業務プロセスへの対策優先度を決めることです。

脅威アクターとは

脅威アクター（Threat Actor）とは、情報システム、データ、業務、組織、個人に損害を与える可能性がある主体です。外部の攻撃者だけでなく、従業員、委託先、退職者、管理権限を持つ関係者などの内部者も含まれます。

脅威アクターの動機は、金銭、諜報、政治的主張、妨害、報復、技術力の誇示などに分かれます。同じ攻撃手法でも、動機が違えば狙う情報、潜伏期間、攻撃後の行動が変わります。例えば、金銭目的の犯罪者は身代金や不正送金を狙いやすく、国家支援型の攻撃者は研究開発情報や政策情報を長期的に収集する傾向があります。

脅威アクターと脅威の違い

脅威は、組織の業務、資産、評判、個人に悪影響を与える可能性のある事象全体を指します。一方、脅威アクターは、その脅威を引き起こす主体に焦点を当てた概念です。

脅威アクターを把握する意味

脅威アクターを把握すると、対策の優先順位を決めやすくなります。攻撃者の目的が金銭であれば、認証情報、決済情報、バックアップ、復旧手順が重要になります。諜報目的であれば、研究開発情報、設計情報、メール、ファイル共有、長期潜伏の検知が確認対象になります。

また、脅威アクターの資源も対策に影響します。既存ツールを使う攻撃者と、長期的に標的を調査する国家支援型の攻撃者では、必要な監視の深さが違います。分類は固定的なラベルではなく、想定する被害と対策の範囲を決めるための整理方法として扱います。

データセキュリティと事業への影響

脅威アクターによる攻撃は、システム障害だけで終わりません。顧客情報、取引情報、認証情報、知的財産、営業秘密が流出すれば、調査、復旧、顧客対応、監督当局への報告、取引先対応が発生します。

情報漏えいが起きると、直接の復旧費用だけでなく、受注機会の喪失、契約解除、信用低下、採用への悪影響も生じます。脅威アクターへの対策は、IT部門だけの技術課題ではなく、事業継続と信頼維持に関わる経営課題です。

脅威アクターの主な種類

脅威アクターの分類には複数の考え方があります。実務では、動機、能力、資金、継続性、内部アクセスの有無を見て、自社に関係するリスクを整理します。

サイバー犯罪者

サイバー犯罪者は、金銭的利益を目的に活動する脅威アクターです。代表的な攻撃には、ランサムウェア、フィッシング詐欺、業務メール詐欺、不正送金、クレジットカード情報の窃取、認証情報の売買があります。

近年は、単にデータを暗号化するだけでなく、侵入後に情報を窃取し、公開をちらつかせて支払いを迫る手口も使われます。このため、バックアップだけでなく、認証強化、権限分離、外部送信の監視、重要データの暗号化を組み合わせる必要があります。

国家支援型脅威アクター

国家支援型脅威アクターは、国家の関与、支援、指示、利益と結びついた活動を行う攻撃者です。政府機関、重要インフラ、防衛関連、先端技術、研究機関、サプライチェーン上の企業が標的になることがあります。

特徴は、標的を事前に調査し、長期的に潜伏しながら情報を収集する点です。防御側は、侵入を防ぐ対策に加えて、侵入後の横展開、特権IDの悪用、異常な外部通信、長期間の不審活動を検知する体制を整えます。APT対策の観点で、ログ保存期間、端末監視、ネットワーク分離、認証強化を確認します。

ハクティビスト

ハクティビストは、政治的・社会的な主張を背景に攻撃を行う脅威アクターです。攻撃目的は金銭獲得とは限らず、組織への抗議、世論喚起、情報公開、サービス停止を狙う場合があります。

攻撃は、Webサイト改ざん、DDoS攻撃、内部情報の公開、SNSでの拡散と組み合わされることがあります。対策では、公開システムの脆弱性管理、WAF、DDoS対策、改ざん検知、広報対応、公開情報の管理を確認します。

破壊・妨害目的の攻撃者

破壊・妨害目的の攻撃者は、重要インフラ、公共サービス、企業活動へ打撃を与えることを狙います。金銭よりも、業務停止、社会的混乱、威圧、政治的効果を重視する場合があります。

この種の攻撃では、停止してはいけない業務、代替手段、復旧順序を事前に定める必要があります。BCP、バックアップ、冗長化、DDoS対策、インシデント対応訓練が中心になります。

スクリプトキディ

スクリプトキディは、高度な攻撃コードを自作するのではなく、既存ツールや公開スクリプトを使って攻撃を試みる層です。技術水準が高くない場合でも、脆弱な公開サーバー、古いCMS、初期設定のままの機器、弱いパスワードが残っていると被害につながります。

対策は、基本の徹底です。パッチ適用、不要サービス停止、管理画面の公開制限、強固な認証、設定標準化、脆弱性スキャンを継続します。公開システムの棚卸しができていない組織では、低コストの攻撃でも侵入される可能性があります。

インサイダー

インサイダーは、従業員、委託先、退職者、管理者など、組織内の立場や知識を持つ主体です。悪意ある持ち出しだけでなく、誤送信、設定ミス、誤公開、クラウド共有設定の誤りなど、過失による事故も重大な損害につながります。

内部不正を抑えるには、最小権限、職務分離、アクセスログの監査、重要データの持ち出し制御、退職・異動時の権限削除、委託先管理を整えます。過失対策としては、送信前確認、DLP、権限の自動棚卸し、ファイル共有ルールの標準化が必要になります。

脅威アクターが使う代表的な攻撃手法

脅威アクターは、一つの攻撃手法だけで目的を達成するとは限りません。初期侵入、権限昇格、横展開、情報窃取、妨害、痕跡隠しを組み合わせます。

フィッシングと認証情報の窃取

フィッシングは、偽メール、偽サイト、チャット、SMSなどを使い、ID、パスワード、ワンタイムコード、セッション情報を入力させる攻撃です。業務メール詐欺やランサムウェアの初期侵入に使われることもあります。

対策では、多要素認証、耐フィッシング性の高い認証、メール認証、URL検査、従業員教育、送金や口座変更の別経路確認を組み合わせます。認証情報が漏れる前提で、異常ログインの検知とアカウント停止手順も用意します。

マルウェアとランサムウェア

マルウェアは、情報窃取、遠隔操作、暗号化、破壊、認証情報取得に使われます。ランサムウェアでは、端末やサーバーのファイルを暗号化するだけでなく、事前にデータを窃取して公開を迫る手口もあります。

対策では、メール添付やWeb経由の侵入防止、EDRによる端末監視、権限分離、バックアップの保護、復旧訓練を組み合わせます。バックアップは取得だけでなく、復旧できることを定期的に確認します。

脆弱性悪用

脅威アクターは、公開サーバー、VPN、リモートアクセス機器、CMS、ライブラリ、クラウド設定の脆弱性を悪用します。既知の脆弱性でも、パッチ未適用や設定不備が残っていれば侵入経路になります。

対策では、資産管理、脆弱性情報の確認、パッチ適用、設定レビュー、不要な公開ポートの停止、管理画面の制限を継続します。緊急度の高い脆弱性は、影響を受ける資産の有無を早く確認し、回避策や監視強化も含めて対応します。

パスワードリスト攻撃と認証突破

パスワードリスト攻撃は、他サービスから漏えいしたIDとパスワードの組み合わせを使い、別のサービスへログインを試みる攻撃です。パスワードの使い回しがあると、企業アカウントやクラウドサービスへの侵入につながります。

対策では、多要素認証、パスワード使い回し防止、リスクベース認証、ログイン試行の制限、漏えい認証情報の監視を組み合わせます。管理者アカウントや外部公開サービスには、優先して認証強化を適用します。

DDoSとサービス妨害

DDoSは、大量の通信やリクエストによりサービスを過負荷にし、利用できない状態へ追い込む攻撃です。公開Webサイト、EC、金融、公共サービス、認証基盤が対象になると、業務や信用への影響が大きくなります。

対策では、DDoS対策サービス、CDN、レート制限、冗長化、監視、切り替え手順を用意します。攻撃発生時に誰が通信遮断、迂回、広報、顧客連絡を判断するのかも事前に決めます。

脅威アクターの動機と狙われやすい資産

攻撃の動機を把握すると、守るべき資産を絞り込みやすくなります。すべての対策を同じ強度で行うのではなく、動機と業務影響を照合して優先順位を決めます。

企業が狙われる理由

企業は、顧客情報、決済情報、知的財産、取引情報、認証基盤、業務システムを持っています。攻撃者にとって、これらは売買、脅迫、不正送金、競争上の優位獲得に利用できる資産です。

また、自社が直接の最終標的でなくても、取引先やグループ会社への侵入経路として狙われることがあります。委託先アカウント、VPN、ファイル共有、保守用アクセス、SaaS連携は、サプライチェーン上のリスクとして確認します。

政府・公共機関が狙われる理由

政府・公共機関は、個人情報、行政情報、政策情報、重要インフラに関わる情報を持ちます。国家支援型や政治目的の攻撃者にとって価値が高く、サービス停止による社会的影響も大きくなります。

対策では、公開システムの保護、認証強化、ログ監視、DDoS対策、委託先管理、情報共有体制が重要になります。災害や障害と同じく、サイバー攻撃も行政サービス継続のリスクとして扱います。

個人が狙われる理由

個人は、認証情報、金融情報、個人情報、端末、SNSアカウントを持っています。フィッシング、詐欺、なりすまし、アカウント乗っ取りの標的になります。

企業に所属する個人が狙われる場合、個人アカウントの侵害が企業システムへの初期侵入につながることがあります。従業員教育、端末管理、多要素認証、業務用と私用の分離は、組織防御の一部です。

脅威アクター対策の基本戦略

脅威アクター対策は、単一製品の導入では完結しません。予防、検知、対応、復旧を分けて設計し、継続的に改善します。

守るべき資産を特定する

最初に、顧客情報、決済情報、認証基盤、メール、ファイル共有、基幹システム、バックアップ、公開Webサイトなど、業務影響が大きい資産を整理します。資産の重要度が曖昧なままでは、どこへ投資すべきか判断できません。

資産ごとに、想定する脅威アクター、狙われる理由、攻撃経路、被害時の影響、既存対策を整理します。これにより、認証強化、監視、バックアップ、DDoS対策、内部不正対策の優先順位を決めやすくなります。

予防策を整える

予防策では、初期侵入と権限悪用を起こしにくくします。代表的な対策は、パッチ管理、脆弱性管理、メール対策、多要素認証、最小権限、ネットワーク分離、管理画面の公開制限です。

特に認証情報の悪用は多くの攻撃の起点になります。管理者、リモートアクセス、クラウドサービス、メールには、多要素認証と条件付きアクセスを優先して適用します。

検知策を整える

検知策では、侵入や不正操作に早く気づける状態を作ります。ログ取得、EDR、SIEM、クラウド監査ログ、外部送信監視、権限変更監視を組み合わせます。

TTP（Tactics, Techniques and Procedures）は、攻撃者の戦術・技術・手順を表す概念です。マルウェア名やIPアドレスだけでなく、認証情報取得、横展開、権限昇格、データ持ち出しといった行動をもとに検知ルールを作ると、攻撃者がツールを変えた場合でも不審な流れを捉えやすくなります。

対応と復旧の手順を決める

検知後の対応が遅れると、被害は広がります。インシデント対応では、端末隔離、アカウント停止、通信遮断、証拠保全、影響範囲調査、復旧、顧客連絡、再発防止を順序立てて実行します。

CSIRTや緊急対応チームがある場合は、連絡経路と判断権限を明確にします。組織規模にかかわらず、誰が初動を判断し、誰が経営層へ報告し、誰が外部ベンダーや顧客と連絡するのかを事前に決めておきます。

教育と訓練を実施する

教育は、知識を増やすためだけではなく、迷ったときの行動をそろえるために行います。不審メール、送金依頼、口座変更、ファイル共有、認証通知、端末異常を受けたとき、従業員がどこへ報告するかを明確にします。

教育だけでは脅威アクターを防げません。多要素認証、権限管理、ログ監視、DLP、端末管理と組み合わせることで、人的ミスがあっても被害につながりにくい環境を作ります。

継続的な改善と脅威インテリジェンス

脅威アクターの手口は変化します。新しい脆弱性、漏えい認証情報、攻撃キャンペーン、業界ごとの標的傾向を確認し、自社の対策へ反映します。

脅威インテリジェンスの使い方

脅威インテリジェンスは、攻撃者の動向、利用ツール、攻撃インフラ、標的業界、IOC、TTPなどを整理した情報です。単に情報を集めるだけではなく、自社の資産や業務への影響を判断する必要があります。

例えば、自社が使うVPN製品の脆弱性が悪用されている情報を得た場合、該当資産の有無、公開範囲、パッチ状況、ログ上の痕跡、回避策を確認します。情報収集から対応判断までの流れを決めておくと、対応の遅れを減らせます。

対策優先度の見直し

対策は一度決めたら終わりではありません。新しいクラウドサービスの利用、委託先の変更、拠点追加、リモートワーク、システム更新により、攻撃される面は変化します。

定期的に、重要資産、外部公開システム、管理者アカウント、バックアップ、ログ、委託先アクセスを確認します。脅威アクターの動機と自社の業務影響を照合し、投資対象を見直します。

まとめ

脅威アクターは、サイバー攻撃や不正行為の主体です。サイバー犯罪者、国家支援型、ハクティビスト、破壊・妨害目的の攻撃者、スクリプトキディ、インサイダーなどがあり、動機、資源、継続性、内部アクセスの有無によって行動が変わります。

防御では、攻撃者の分類だけでなく、守るべき資産と業務影響を基準にします。予防、検知、対応、復旧を分けて設計し、多要素認証、脆弱性管理、EDR、SIEM、ログ監視、バックアップ、教育、インシデント対応手順を組み合わせます。脅威アクターのTTPを踏まえ、対策の優先度を継続的に見直すことが、現実的なリスク低減につながります。

脅威アクターに関するFAQ