APT攻撃とは？ 従来の標的型攻撃との違いや攻撃に国家が関わる背景を解説

APT攻撃とは高度な持続的標的型攻撃を意味する。従来のサイバー攻撃とは異なり、国家ぐるみで他国の官公庁やインフラ事業、金融機関などを狙うことを特徴とする。

[キーマンズネット]

• APT攻撃の歴史と背景
• APT攻撃組織の例、過去の事例
• 日本の動向、取るべき対策

　APT攻撃とは「Advanced Persistent Threat」の略で「高度で継続的な脅威」と訳される。攻撃の背後に国家が絡むと推測される例もあり、セキュリティ業界は特定のサイバー犯罪組織を「APT＋数字」で呼称する。

APT攻撃の歴史と背景

　従来のサイバー攻撃は、悪意ある迷惑行為であったが営利目的ではなく、愉快犯的な側面があった。不特定多数に向けた「ブラウザクラッシャー」などのスクリプトがそれに当たる。その後、ITがビジネスに不可欠なものとなってからは特定のターゲットを狙った「標的型攻撃」が増加した。2017年に猛威を奮ったランサムウェア「WannaCry」や近年定期的に活動を活発化させるマルウェア「Emotet」は最終的に、企業の金銭を狙っている。

　APTは2000年代、米空軍が「正体不明の敵による高度で執拗なサイバー攻撃」を示す言葉として使用を始めた。Emotetの侵入などの一般的な標的型攻撃を起点とするが、数ヶ月から数年に渡ってターゲットのシステム内に潜伏し、権限昇格などによって攻撃の範囲を広げてからデータの盗難や破壊といった目的を達成しようとする。

APT攻撃組織の例、過去の事例

　攻撃の背後に国家が絡むと推測されており、攻撃手法などから特定できた組織には「APT＋数字」の呼称が着く。例えば「APT1」は中国の「人民解放軍61398部隊」とされる。近年活発に活動して注目を集める組織には、ロシアが関与しているとされる「APT28」やイランの関与が疑われる「APT34」、北朝鮮の支援を受けているとされる「APT38」などがある。

2009年「オーロラ作戦」

　中国のElderwoodグループが中心になって実行された攻撃で、2010年にGoogleが公表し、同社が中国ビジネスを撤退するきっかけとなった。Internet Explorerの脆弱（ぜいじゃく）性を狙ったゼロデイ攻撃も含まれ、30社以上が被害に遭ったとされる。

2015年「日本年金機構の情報漏えい事件」

　2015年5月に発生した事件で、日本年金機構が攻撃され、約125万人分の個人情報が漏えいした。標的型メール攻撃が3回にわたって送られていたことが分かった。同事件は、日本においてAPT攻撃の脅威が広く知られるきっかけとなった。

2017年「WannaCry」

　北朝鮮との関係を疑われるLazarus Groupの関与が指摘されている。同グループは2009〜2012年の「トロイ作戦」や2014年のソニー・ピクチャーズへの攻撃で知られる。またWannaCry同様、2015年にベトナムのTien Phong Bankが100万ドルを盗まれた事件や2017年に台湾の遠東国際商業銀行が6000万ドルを盗まれたと報じられた事件など、近年は金融機関を狙った活動が顕著で、APT38との関係も指摘されている。

日本の動向、取るべき対策

　日本では、IPAが2014年に公表した「『高度標的型攻撃』対策に向けたシステム設計ガイド」において、以下のようにAPT攻撃を意識した対策の必要性が提唱された。

　2013年12月に日本政府が発表した国家安全保障戦略において、「国家の関与が疑われるものを含むサイバー攻撃から我が国の重要な社会システムを防護する」ことが規定されました。これは、サイバー攻撃が国民の安全や国益を侵害するものとして捉えられ、国家の安全保障の枠組みの中でも対処していく必要性が出てきたことを示しています。 2011年頃から米国政府を中心に国際的課題となっている、特定の攻撃意図を持ち、国家や企業等の情報窃取やシステム破壊を行うサイバー攻撃（高度サイバー攻撃）を対象分野とする「サイバー空間（領域）問題」への対処も、この一環になります

出典：IPA　『高度標的型攻撃』対策に向けたシステム設計ガイド

　APT攻撃は最終的なターゲットを主に国家や金融機関、大企業の重要インフラに設定するが、最終的なターゲットに近づくための手段としてサプライチェーンへ侵入し、時間を掛けて攻撃範囲を広げる手法を採用するため中小企業も標的とする。また、2017年のWannaCry事件に代表されるように、企業規模を問わない攻撃にも利用される。企業は従来の境界型防御に加え、侵入されることを前提とした多層防御やゼロトラストセキュリティの採用などによる対策が必要だ。