
APT(Advanced Persistent Threat)攻撃とは、特定の企業や組織を狙い、長期間にわたって侵入・潜伏しながら情報窃取や破壊活動を行う高度なサイバー攻撃です。近年は国家支援型攻撃グループだけでなく、重要インフラや製造業、研究機関などを狙う攻撃も増えています。本記事ではAPT攻撃の特徴や標的型攻撃との違い、企業が直面するリスク、サプライチェーン攻撃との関係について分かりやすく解説します。
contents
APT攻撃とは
APTとは、「Advanced Persistent Threat」の略で、日本語では高度持続的脅威と訳されます。日本では「持続的標的型攻撃」と呼ばれることもあります。APT攻撃は、不特定多数を狙う一般的なサイバー攻撃とは異なり、特定の企業や組織を標的として、長期間にわたり継続的に攻撃を行う点が大きな特徴です。
攻撃者はまず、対象企業の事業内容や組織体制、利用しているシステム、取引先などを事前に調査します。その後、標的型メールやVPN機器の脆弱性、サプライチェーンなどを悪用してネットワークへ侵入し、内部で権限を拡大しながら目的の情報へ到達します。
APT攻撃では、一度侵入しただけで攻撃を終えることはほとんどありません。攻撃者は数週間から数か月、場合によっては数年にわたってネットワーク内へ潜伏し、継続的に情報収集や認証情報の窃取を行います。検知を避けるために正規ツールを悪用したり、通信を暗号化したりするなど、痕跡を残しにくい手法を用いることも少なくありません。
APT攻撃の特徴
APT攻撃には、次のような特徴があります。
- 特定の企業・組織を狙って計画的に実施される
- 長期間にわたりネットワーク内へ潜伏する
- 情報窃取や機密情報の取得を主な目的とする
- 正規ツールや管理者権限を悪用して検知を回避する
- 一つの攻撃手法ではなく、複数の手法を組み合わせて実行される
近年は、ランサムウェア攻撃の前段階としてAPT型の侵入手法が利用されるケースも増えています。まずネットワーク内へ侵入して情報収集を行い、その後にランサムウェアを展開することで被害を最大化する攻撃も確認されています。
APT攻撃の具体的な侵入方法や攻撃の流れについては、関連記事で詳しく解説しています。
「APT攻撃の手口とは―侵入から情報窃取までの流れを解説」
標的型攻撃との違い
| 項目 | 標的型攻撃 | APT攻撃 |
|---|---|---|
| 対象 | 特定組織 | 特定組織 |
| 目的 | 侵入・感染 | 長期間情報窃取 |
| 期間 | 短期〜中期 | 長期 |
| 潜伏 | 少ない | 非常に長い |
| 攻撃者 | 犯罪者も多い | 国家支援型が多い |
APT攻撃と混同されやすい言葉に「標的型攻撃」があります。どちらも特定の企業や組織を狙う攻撃ですが、意味は同じではありません。標的型攻撃とは、特定の標的を狙って実施される攻撃手法全般を指します。代表例として、取引先を装ったメールに添付ファイルやURLを送り付ける「標的型メール攻撃」が知られています。一方、APT攻撃は、侵入から情報窃取までを含めた長期間の攻撃活動全体を指します。標的型メールはAPT攻撃における「初期侵入の手段」の一つであり、APT攻撃そのものではありません。つまり、APT攻撃は一つの攻撃手法ではなく、複数の攻撃を組み合わせた攻撃キャンペーンと考えると理解しやすいでしょう。
例えば、APT攻撃では次のような手法が組み合わせて利用されます。
- 標的型メール攻撃
- VPN機器や公開サーバの脆弱性攻撃
- 水飲み場攻撃(Watering Hole Attack)
- サプライチェーン攻撃
- 認証情報の窃取
- 正規ツールを利用した内部活動(Living off the Land)
このように、攻撃者は状況に応じて複数の侵入経路や攻撃技術を使い分け、目的を達成するまで活動を継続します。
標的型攻撃について詳しく知りたい方は、「標的型攻撃とは?代表的な手口と企業が取るべき対策を解説【2026年版】」の記事もあわせてご覧ください。
APT攻撃が企業にもたらすリスク
APT攻撃の目的は、単にマルウェアへ感染させることではありません。攻撃者は企業のネットワークへ長期間潜伏しながら、機密情報や認証情報を収集し、最終的な目的を達成するまで活動を続けます。そのため、被害は情報漏えいだけでなく、事業継続や企業価値にも大きな影響を及ぼす可能性があります。
機密情報・知的財産の漏洩
APT攻撃で最も多い目的の一つが、機密情報や知的財産の窃取です。攻撃対象となる情報は、顧客情報や従業員情報だけではありません。企業の設計図や研究開発データ、営業戦略、契約情報など、事業競争力に直結する情報が狙われるケースも少なくありません。例えば製造業では設計データや製造技術、製薬会社では研究データ、IT企業ではソースコードや認証情報などが標的となることがあります。一度これらの情報が外部へ持ち出されると、競争優位性の低下や営業秘密の流出につながり、被害の回復が難しくなる場合もあります。
認証情報の窃取と継続的な侵害
APT攻撃では、攻撃者はネットワークへ侵入した後、管理者アカウントやVPNアカウント、クラウドサービスの認証情報などを取得しようとします。認証情報を入手すると、マルウェアを利用しなくても正規ユーザーとしてシステムへアクセスできるようになるため、長期間にわたり不正アクセスを継続できる可能性があります。また、一度取得した認証情報を利用してクラウド環境やグループ会社、委託先へ侵入範囲を広げるケースも確認されています。
業務停止・サービス停止
APT攻撃は情報窃取を主な目的とする一方で、企業の業務継続へ影響を与える場合もあります。例えば、サーバの停止、社内システムの利用停止、クラウドサービスへのアクセス不能、メールシステムの停止などにより、通常業務が継続できなくなることがあります。近年では、情報を窃取した後にランサムウェアを展開するケースも増えており、「情報漏洩」と「システム停止」が同時に発生する事例も珍しくありません。
社会的信用の低下
APT攻撃による情報漏えいが公表されると、企業にはインシデント対応だけでなく、顧客や取引先への説明、関係機関への報告、問い合わせ対応など、多くの対応が求められます。また、機密情報や個人情報の漏洩が確認された場合には、企業の社会的信用が低下し、新規取引の停止や契約の見直しにつながることもあります。近年ではサイバーセキュリティへの取り組みが企業評価の一つとなっており、APT攻撃への備えは情報システム部門だけでなく、経営課題としても重要性が高まっています。
APT攻撃とサプライチェーン攻撃の関係
APT攻撃を理解するうえで欠かせないのが、「サプライチェーン攻撃」との関係です。近年のAPT攻撃では、標的企業へ直接侵入するのではなく、取引先や委託先、ソフトウェアベンダーなどを経由して侵入するケースが増えています。攻撃者にとって、セキュリティ対策が強固な企業へ直接侵入するよりも、セキュリティレベルが相対的に低い関連企業を経由した方が、目的を達成しやすい場合があるためです。
なぜサプライチェーンが狙われるのか
企業は多くの取引先や外部サービスと連携して業務を行っています。例えば、クラウドサービス、システム開発会社、保守・運用ベンダー、MSP(マネージドサービスプロバイダー)、ソフトウェア更新サービスなどは、企業システムへ高い権限を持ってアクセスする場合があります。攻撃者はこうした信頼関係を悪用し、委託先やソフトウェアの更新プログラムなどを経由して標的企業へ侵入することがあります。そのため、自社だけでなく、サプライチェーン全体のセキュリティを考慮した対策が求められています。
APT攻撃ではサプライチェーンが重要な侵入経路となる
APT攻撃では、攻撃者は侵入に成功する可能性が高い経路を選択します。近年確認されている侵入経路には、
- VPN機器の脆弱性
- リモートアクセス機器
- クラウドサービス
- 標的型メール
- サプライチェーン経由
などがあります。サプライチェーン攻撃はその中でも特に影響範囲が広く、一つの委託先やソフトウェアベンダーが侵害されることで、多数の企業へ被害が波及するおそれがあります。実際に近年発生した大規模インシデントでも、ソフトウェア更新機能やファイル転送ソフトの脆弱性などが悪用され、多くの企業や政府機関が影響を受けました。
こうした事例については、「APT攻撃事例から学ぶ―国内外の被害事例と企業が取るべき対策」で詳しく紹介します。
APT攻撃は企業規模を問わず対策が必要
APT攻撃というと、政府機関や大企業だけが狙われるイメージを持たれることがあります。しかし現在では、中堅・中小企業が取引先への侵入口として狙われるケースも少なくありません。「自社には狙われるほどの情報はない」と考えるのではなく、「取引先との関係性を悪用される可能性がある」という視点で対策を考えることが重要です。そのためには、自社システムだけでなく、委託先のセキュリティ評価やサプライチェーン全体のリスク管理にも目を向ける必要があります。
APT攻撃への基本的な備え
APT攻撃にせよ、サプライチェーン攻撃にせよ、いまや完璧な防御を望むのは困難となっています。こうした脅威への対策における重要なポイントは2つあります。
「攻撃・侵入される前提」で取り組む
| 侵入への対策 目的:システムへの侵入を防ぐ |
侵入後の対策 目的:侵入された場合の被害を最小化する |
|
| ・多要素認証の実装 ・不要なアカウント情報の削除(退職者のアカウント情報など) ・公開サーバ、公開アプリケーションの脆弱性を迅速に発見・解消する体制の構築 ・VPNやリモートデスクトップサービスを用いる端末 ・サーバのバージョン管理(常に最新バージョンを利用) ・ファイアウォールやWAFによる防御 など |
・社内環境におけるネットワークセグメンテーション ・ユーザ管理の厳格化、特権ユーザの限定・管理(特にWindowsの場合) ・侵入検知(IDS/IPSなど)、データバックアップといった対策の強化 ・SIEMなどでのログ分析、イベント管理の実施 ・不要なアプリケーションや機能の削除・無効化 ・エンドポイントセキュリティ製品によるふるまい検知の導入 |
|
| 対策の有効性の確認方法 | ||
| ・脆弱性診断 ・ペネトレーションテスト |
・ペネトレーションテスト | |
近年では、従来型のアンチウイルス製品だけでは検知が難しいAPT攻撃への対策として、EDR(Endpoint Detection and Response)の導入も広がっています。EDRは、端末上で発生する不審な挙動や侵害の兆候を検知・記録し、侵入後の迅速な対応や被害拡大の防止を支援します。APT攻撃のように長期間潜伏する攻撃への対策として重要な役割を担っています。
侵入を前提とした多層防御
- 標的型攻撃メール訓練等による社員のセキュリティ
- 教育インシデント時の対応フロー・ポリシー・ガイドラインの整備策定・見直し
- 情報資産の棚卸
- ゼロトラスト
近年では「侵入される可能性」を前提としたゼロトラストの考え方が広く採用されています。社内外を問わずすべてのアクセスを検証し、利用者や端末ごとに適切なアクセス制御を行うことで、万が一APT攻撃による侵入を許した場合でも、被害の拡大を抑えることが期待できます。
攻撃・侵害されることが前提の時代において、被害を受けてから慌てて対応するのではなく、予防的対策をしっかり行い、かつセキュリティ事故発生時に影響を最小限に抑えられる体制および環境作りを心掛けましょう。
APT攻撃対策については、検知・監視・初動対応まで含めて「APT攻撃対策とは―検知・監視・初動対応の考え方」で詳しく解説しています。
まとめ
APT攻撃は単なる標的型メールではなく、長期間にわたり情報収集・侵入・潜伏・情報窃取をAPT攻撃は、特定の企業や組織を標的として長期間にわたり侵入・潜伏し、情報窃取や破壊活動を行う高度なサイバー攻撃です。標的型メールだけでなく、VPN機器の脆弱性やサプライチェーン、認証情報の悪用など、複数の手法を組み合わせて侵入するため、単一のセキュリティ対策だけで防ぐことは困難です。また、近年では国家支援型攻撃グループによる活動だけでなく、ランサムウェア攻撃の前段階としてAPT型の手法が利用されるケースも増えており、企業規模を問わず対策が求められています。企業には、侵入を完全に防ぐことだけではなく、「侵入される可能性」を前提として、早期検知・迅速な対応・被害最小化までを含めた多層的なセキュリティ対策を整備することが重要です。
APT攻撃についてさらに理解を深めたい方は、以下の記事もあわせてご覧ください。
【関連記事】
- APT攻撃の手口とは―侵入から情報窃取までの流れを解説
- APT攻撃対策とは―検知・監視・初動対応の考え方
- APT攻撃事例から学ぶ―国内外の被害事例と企業が取るべき対策
公開日:2025年10月22日
更新日:2026年6月17日
編集責任:木下
APT攻撃への備えをご検討中の方へ
APT攻撃は、侵入を完全に防ぐことが難しい高度なサイバー攻撃です。侵入経路の把握や脆弱性管理、監視体制の強化など、継続的な対策が求められます。弊社、ブロードバンドセキュリティ(BBSec)では、脆弱性診断、アタックサーフェス管理調査、セキュリティ運用サービス、コンサルティングサービスなど、企業のセキュリティ対策を支援するサービスを提供しています。
- アタックサーフェス調査
- SQAT® 脆弱性診断
- G-MDR®
※外部サイトにリンクします。 - インシデント初動対応準備支援
※外部サイトにリンクします。
ウェビナー開催のお知らせ
最新情報はこちら






