対象試験と出題頻度
2020年に日本の大手電機メーカーが8,000人分の個人情報を盗まれた事件。
原因は、数か月にわたり社内ネットワークに潜伏し続けたAPT攻撃でした。
IPA試験でも繰り返し問われるこのテーマ、「標的型攻撃メール」との違いや、攻撃の段階ごとの動きを整理しておくと得点に直結します。
対象試験と頻出度を確認する
ITパスポート
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★★★★
ランクS(超重要)絶対に覚える必要あり
用語の定義
セキュリティ分野を勉強していると、「標的型攻撃とAPTは同じもの?違うもの?」と迷う場面が出てきます。ここで整理しておきましょう。
標的型攻撃(APT:Advanced Persistent Threat)とは、一言で言うと
「特定の組織や個人を狙い、複数の手法を組み合わせて数か月~数年にわたり持続的に行われるサイバー攻撃」
のことです。
イメージとしては、「プロの空き巣団」です。
一般的な泥棒は、無施錠の家を見つけて場当たり的に侵入します。一方、プロの空き巣団は下見に数週間かけ、住人の行動パターンを分析し、留守の時間帯に合わせて侵入。
金庫の場所も特定済みで、侵入の痕跡を消して去っていきます。標的型攻撃(APT)もこれと同じ構造です。
📊 標的型攻撃(APT)の基本情報
| 項目 | 内容 |
|---|---|
| 英語名 | Advanced Persistent Threat |
| 日本語の別名 | 持続的標的型攻撃、ターゲット型攻撃 |
| 攻撃対象 | 特定の組織・個人(政府機関、軍需産業、大手企業など) |
| 攻撃期間 | 数か月~数年単位 |
| 最終目的 | 知的財産・個人情報など機密情報の窃取 |
解説
なぜ「持続的」が重要なのか
一般的なサイバー攻撃は「ばらまき型」です。
フィッシングメールを不特定多数に送り、引っかかった人から情報を盗みます。攻撃者は「数打てば当たる」の戦略です。
APTはこれとまったく異なります。攻撃者は最初からターゲットの組織を決め、その組織に合わせた偽装メールを作り、社内ネットワークに侵入した後も痕跡を消しながら数か月かけて内部を偵察します。
正規のIDとパスワードを奪ってログインするため、管理者から見ると「普通の業務アクセス」と区別がつきません。
この「気づかれない」ことこそが、APTの最大の特徴です。被害組織が攻撃に気づくまでの平均期間は半年以上とも言われています。
攻撃の流れ ― 7段階で理解する
APTの攻撃プロセスは、Lockheed Martin社が提唱した「サイバーキルチェーン」のモデルで整理すると理解しやすくなります。
攻撃者の行動を7段階に分解したものです。
APT攻撃の7段階フロー
① 偵察
標的組織の公開情報・SNS・社員名簿を調査
② 武器化
偽装メールに添付するマルウェアを作成
③ 配送(デリバリー)
取引先を偽装したメールで標的の社員に送付
④ 攻撃(エクスプロイト)
添付ファイルを開いた瞬間に脆弱性を悪用して実行
⑤ インストール
端末にバックドア(裏口)を設置して再侵入経路を確保
⑥ C&C通信(遠隔操作)
外部の指令サーバと通信し、内部偵察・権限昇格を実行
⑦ 目的の実行
機密ファイルを圧縮・暗号化して外部へ持ち出す
※ ⑤⑥は発覚するまで数か月~数年にわたって繰り返される
ポイントは、③の配送段階で使われるのが「標的型攻撃メール」だという点です。
つまり、標的型攻撃メールはAPTの一部分(入口の手法)であって、APTそのものではありません。ここを混同すると選択問題で落とします。
標的型攻撃メール・水飲み場攻撃・やり取り型攻撃の使い分け
APTの初期侵入経路には複数のパターンがあります。選択肢で紛れ込むことが多い3手法の違いを表で確認してください。
| 手法 | 攻撃の概要 | 見分けキーワード |
|---|---|---|
| 標的型攻撃メール | 取引先等を偽装したメールでマルウェアを送りつける | 業務に関係する件名、添付ファイル |
| 水飲み場攻撃 | 標的がよく訪れるWebサイトを改ざんして待ち伏せする | 正規サイトの改ざん、アクセスしただけで感染 |
| やり取り型攻撃 | 最初は無害なメールで信頼関係を築き、数回やり取りした後にマルウェアを送る | 複数回の正常なやり取り後にマルウェア送付 |
覚えるのはここだけ
・APT = 「特定組織」×「複数手法」×「長期間」の3要素がすべて揃った攻撃
・標的型攻撃メールはAPTの”入口”であって、APTそのものではない
・一般的なばらまき型攻撃との最大の違いは「攻撃対象の限定」と「持続性」
試験ではこう出る!
APTは全試験区分で出題されています。IP・SG・FEでは午前の選択問題、APでは午後の長文読解でも登場する頻出テーマです。
📊 過去問での出題実績
| 試験回 | 出題内容 | 問われたポイント |
|---|---|---|
| IP R8年度 問96 |
機密情報の取得を目的に、特定の組織に複数手法で長期間攻撃を行うサイバー攻撃を選ぶ問題 | ・「長期間」「継続的」がAPTの識別子 ・DDoS攻撃、ゼロデイ攻撃、パスワードリスト攻撃がひっかけ |
| SG H28春 問19 |
APTの説明として正しいものを選ぶ問題 | ・「特定の目的」「複数手法の組合せ」「執拗に繰り返す」が正解の根拠 ・DoS攻撃の繰り返し、場当たり的攻撃、不特定多数へのばらまきがひっかけ |
| FE H27秋 問39 |
標的型攻撃メールのソーシャルエンジニアリング手法を問う問題 | ・「受信者の業務に関係がありそうな内容」が正解 ・スパムメール、架空請求、フィッシングがひっかけ |
| AP R1秋 午後 問1 |
標的型サイバー攻撃のシナリオを読み、対策を論述する問題 | ・出入口対策(プロキシでのC&C通信遮断) ・内部対策(ログ監視、権限の最小化)の両面が必要 |
📝 出題パターンと得点のコツ
パターン1:「APTの説明を選べ」(IP・SG)
4つのサイバー攻撃の説明文が並び、APTに該当するものを選ぶ形式。ひっかけの定番は「不特定多数へのばらまき」と「DoS攻撃の繰り返し」です。APTの識別キーワードは「特定組織」「複数手法」「長期間・持続的」の3つ。この3要素が揃っている選択肢だけが正解になります。
パターン2:「標的型攻撃メールの特徴を選べ」(FE・AP午前)
ソーシャルエンジニアリングの手法として、標的型攻撃メールの特徴を問う形式。「業務に関係する件名・本文で受信者を騙す」が正解パターンです。「無差別に送信する」という文言が入っている選択肢は即除外してください。
パターン3:午後問題での対策論述(AP)
APの午後では、侵入後の内部拡散(ラテラルムーブメント)をどう防ぐかが問われます。ここは午前対策の範囲を超えるため、FE以下の受験者は深追い不要です。
受験生がつまずく「APT vs 標的型攻撃メール」の境界線
過去問の解説を読むと「標的型攻撃」「標的型攻撃メール」「APT」の3つが混在しており、どこまでが同じでどこからが違うのか分かりにくい状態です。
整理するとこうなります。
3つの用語の包含関係
標的型攻撃(広義)
=特定の組織・個人を狙ったサイバー攻撃全般
APT(持続的標的型攻撃)
=長期間・複数手法・高度な技術を駆使する標的型攻撃
標的型攻撃メール
=APTの侵入手段の1つ(入口段階で使われる手法)
▲ 3つは入れ子構造。試験では「どのレベルの話をしているか」を問題文から読み取る
IPAの過去問では、問題文に「長期間」「持続的」と書いてあればAPTを指し、「メールによるソーシャルエンジニアリング」と書いてあれば標的型攻撃メールを指しています。この書き分けに気づけるかどうかが正答率を分けます。
【確認テスト】理解度チェック
Q. APT(Advanced Persistent Threat)の特徴として、最も適切なものはどれでしょうか?
- A. ソフトウェアの脆弱性が修正される前に、その脆弱性を突いて攻撃を仕掛ける手法である。
- B. 複数のPCから特定のサーバに大量のリクエストを同時に送信し、サービスを停止させる攻撃である。
- C. 特定の組織や個人を標的にし、複数の手法を組み合わせて長期間にわたり持続的に情報窃取を行う攻撃である。
正解と解説を見る
正解:C
解説:
APTは「Advanced(高度)」「Persistent(持続的)」「Threat(脅威)」の名が示すとおり、特定組織を標的に、複数の攻撃手法を組み合わせて数か月~数年単位で継続する攻撃です。「特定組織」「複数手法」「長期間」の3条件が揃っている選択肢Cが正解です。
選択肢Aはゼロデイ攻撃の説明です。脆弱性の修正パッチが提供される前に悪用する点がゼロデイ攻撃の特徴であり、APTの「持続的」「特定組織を標的」という要素とは異なります。選択肢BはDDoS攻撃(分散型サービス妨害攻撃)の説明です。DDoS攻撃の目的はサービスの停止であり、機密情報の窃取を目的とするAPTとは攻撃の意図が根本的に異なります。
よくある質問(FAQ)
Q. APTは国家レベルの攻撃だけを指すのですか?
IPA試験の範囲では「国家レベルに限定される」とは扱われていません。NIST SP800-39では国家支援型を典型例として挙げていますが、犯罪組織や産業スパイによるものもAPTに分類されます。試験問題では「特定の目的をもち、長期間にわたり持続的に行われる」かどうかだけで判断すれば十分です。
Q. APTへの対策として組織はどのような体制を整えるべきですか?
「入口対策」だけでは不十分です。メールフィルタやファイアウォールで侵入を完全に防ぐのは現実的に難しいため、「侵入される前提」で内部対策を重ねる多層防御が基本です。具体的には、ネットワーク内の通信ログを監視するSIEM(Security Information and Event Management)の導入、管理者権限の最小化、インシデント対応チーム(CSIRT)の設置などが実務で採用されています。
Q. ランサムウェア攻撃とAPTはどう違うのですか?
最大の違いは目的です。ランサムウェア攻撃は「ファイルを暗号化して身代金を要求する」金銭目的の攻撃です。対してAPTは「機密情報を気づかれずに盗み出す」ことが目的で、攻撃者は存在を隠し続けます。ランサムウェアは「被害者に気づかせる」必要がある(でないと身代金を払わない)のに対し、APTは「被害者に気づかせない」ことが成功条件です。ただし、最近ではAPTの最終段階でランサムウェアを展開するケースも報告されており、両者の境界は曖昧になりつつあります。
Q. IPA自身はAPTについて何か公式に情報を出していますか?
IPAは2010年12月に「『新しいタイプの攻撃』の対策に向けた設計・運用ガイド」を公開し、APTの攻撃プロセスや対策を体系的に整理しています。また、J-CRAT(サイバーレスキュー隊)はAPTの被害を受けた組織への支援を行う実働組織として活動しています。IPA試験でJ-CRATの役割を問う出題もあるため(R3 ITパスポート 問81)、名前と目的だけは押さえておいてください。
