「標的型攻撃/サイバー攻撃」のノウハウ、賢い使い方のヒント

ユーザー企業のIT担当者を対象に、IT製品/サービスの導入・購買に役立つ情報を提供する無料の会員制メディア「TechTargetジャパン」。このコンテンツでは、運用&Tipsに関する運用&Tipsの記事を紹介します。製品/サービス選定の参考にご覧ください(リンク先のページはPR記事を含みます)。

APT攻撃(高度標的型攻撃)とは何か?

 標的型攻撃は、特定の企業や組織、業界を標的にして機密情報を狙うサイバー攻撃を指す。企業ネットワークにアクセスできるようになった攻撃者が長期間にわたって標的型攻撃を実施することを、APT攻撃(高度標的型攻撃)と呼ぶ。(続きはページの末尾にあります)

標的型攻撃/サイバー攻撃関連の運用&Tips

金銭要求の7割は事後判断 Gartnerが警告する日本企業のランサムウェア対策不足

高度化するランサムウェア攻撃に対し、国内企業の深刻な実態が明らかになった。身代金支払いに関する明確な規定を持つ企業は3割未満で、大半が極限状態での判断を強いられている。なぜ事前の備えが遅れているのか。

(2026/7/13)

「Claude Mythos」が攻撃を自動化? 企業が直面する“致命的なスピード格差”

最先端のAIモデルは、攻撃者に人間離れしたサイバー攻撃能力を与えてしまう。従来のセキュリティ対策では、この圧倒的な速度差に太刀打ちできない。企業が今すぐ変えるべきセキュリティの常識とは何か。

(2026/6/26)

AI導入でやっぱり…… 年間96兆円を吹き飛ばすシステム障害の「隠れた代償」

システム停止による主要企業の損失は、年間6000億ドル規模に膨れ上がっている。被害を食い止めるはずのAIツールが、逆に新たなリスクを生み出している実態が明らかになった。巨額損失の裏で何が起きているのか。

(2026/6/11)

だからフォレンジック調査が失敗する 企業のログ管理と資産把握の盲点とは

サイバー攻撃が増加傾向にある中、デジタルフォレンジック調査の重要性は高まっている。しかし、事前の準備不足によって原因究明が困難になるケースは少なくない。本稿では、情シスが整備すべき備えを紹介する。

(2026/6/10)

サイバー攻撃の損失額を定量的に計算するFAIRモデルとは?

サイバー攻撃の脅威は高まる一方、企業では予算や人員の配分が課題となっている。こうした中、注目されるのがサイバーリスクを定量的に評価する手法だ。その仕組みと、分析に必要なデータの収集方法を解説する。

(2026/6/5)

IT資産「全て正確に把握できている」は2割未満 セキュリティ対策不足の理由は?

SmartHRの調査によると、自社で利用するSaaSやITツールの利用状況を正確に把握できていると答えた企業は19.4%だった。取引先企業に対するセキュリティ対策の強化が求められている中、何が課題となっているのか。

(2026/6/2)

5社に1社が被害? 気付かないうちに広がる「シャドーAI」5つの兆候とは

従業員の個人的なAIツール利用「シャドーAI」がまん延し、深刻な情報漏えいを引き起こし始めている。一見正常な通信に紛れ込む未承認ツールの不審な挙動を示す、5つのサインとはどのようなものか。

(2026/5/11)

AI攻撃に危機感を抱く人は9割、対抗できる人は4割 調査が暴く従業員研修の穴

企業はAI技術を悪用したサイバー攻撃に危機感を募らせているものの、従業員が実際の脅威に対処できると考えるリーダーは4割に過ぎない。Fortinetの調査が浮き彫りにした、致命的なギャップの正体とは。

(2026/5/8)

情シスが知るべき「踏み台サブスク」の脅威 中国企業が運営する20万台規模の攻撃基盤

英国家サイバーセキュリティセンターなどは、中国系ハッカー集団が脆弱なIoT機器を大規模に悪用していると警告した。企業が取るべき対策は。

(2026/4/28)

狙われる発電システム――NATOが“本物の電力インフラ”で挑むサイバー演習

NATOのサイバー演習「Locked Shields」で、「本物の発電システム」を用いた訓練が実施される。同演習を通じて期待されているのはどのような成果か。

(2026/4/24)

AIで巧妙化するサイバー攻撃 情シスが向き合うべきAI時代の国家級リスク

英国はAIによる自動攻撃に対抗すべく「国家サイバーシールド」構築に乗り出す。人間が20年以上見逃した脆弱性をAIが即座に看破する現状に、既製品を導入するだけの対策はもはや通用しない。政府は企業に、セキュリティを経営の義務と位置付ける誓約を求めている。情シスが直面する、AI時代の新たな防衛線とは。

(2026/4/24)

そのセキュリティ対策企業は信用できる? ランサムウェア被害で露呈した「支援企業リスク」

米司法省は2026年4月、ランサムウェア集団に協力したとして、サイバーインシデント対応代行企業の元社員が有罪を認めたと発表した。

(2026/4/24)

レッドチーム演習とは? 実施しないと訴訟で「動かぬ証拠」になるリスク

2026年3月開催のRSA Conference 2026で、レッドチーム演習が法的標準へ進化しつつあるとの認識が共有された。これからレッドチーム演習を実施する企業は何に注意すればいいのか。

(2026/4/9)

サイバー攻撃の保険金下りないかも 国家支援攻撃に備えて情シスが取るべき対策は

サイバー攻撃の主体が国家へと拡大する中、サイバー保険の適用範囲も変化しつつある。企業が保険に依存しないリスク管理と体制作りを推進するには。

(2026/3/31)

サイバー攻撃被害額10億円超の企業の特徴は? 調査結果から見る情シスの“傾向と対策”

KPMGジャパンは、「サイバーセキュリティサーベイ2026」の主要な結果を発表した。サイバー被害額10億円以上とする企業を初確認した他、多くの企業が抱えるセキュリティ課題と被害額が相関する実態が明らかになった。

(2026/3/3)

初期侵入から72分でデータ流出も AIが加速させるサイバー攻撃の“死角”とは

Palo Alto Networksは、50カ国、750件超のインシデントを分析した調査レポートを公開した。AI活用による攻撃高速化だけでなく、ユーザー側の課題も明らかになった。

(2026/2/20)

「セキュリティ内製化」の落とし穴 ベンダー不信の末にあるのは?

ベンダーは製品を売るだけで課題を解決してくれない――。そんな不信感からセキュリティ内製化に踏み切ることが広がっているが、その“自立”が新たな脅威を生み出す恐れがある。

(2026/1/28)

情シスを襲う「MCPサーバ」リスク AI連携に潜む“権限昇格”のわなとは

上司の声を装った送金指示、MCPサーバを狙った攻撃によるデータ流出……。経営層から「AI運用の全責任」を突きつけられるCISOが、今すぐ備えるべき防衛策とは。

(2026/1/26)

AD環境を脅威から守れ 6大脅威と企業が今すぐできる対応策をMicrosoftが公開

Microsoftは、Active Directory Domain Servicesを標的とした代表的な6つの攻撃手法とその対策を公開した。

(2025/12/12)

セガXD、自発的に「楽しくセキュリティを学べる」対戦型カードゲームを販売開始

セガXDは、攻撃の仕組みとセキュリティ対策を学べるカードゲーム『スリーナンバー ~CSIRT vs HACKER~』の法人向け販売を開始した。ゲームを通じ、従業員のセキュリティ意識向上を支援する。

(2025/11/17)

標的型攻撃やAPT攻撃の手口と対策方法

 APT攻撃の主な目的は、標的の組織のネットワークに損害を与えたりシステムを停止させたりすることではなく、機密性の高いデータを盗むことだ。標的となるネットワークに侵入できる状態にして、継続的に情報を盗み取る。

 攻撃者は綿密な計画を立てて、手動でAPT攻撃を実行される。攻撃者は大企業や有名企業の中から標的を選び、長期にわたって情報を盗み出す。そのためAPT攻撃の実行犯は個人のハッカーではなく、資金力のあるサイバー犯罪組織や、国家主導のサイバー犯罪組織になるのが一般的だ。

標的型攻撃でよく使われる手口とは

 標的にした企業ネットワークへのアクセスを得るために、標的型攻撃の実行犯はしばしばソーシャルエンジニアリングといったさまざまな攻撃手法を使用する。ソーシャルエンジニアリングは、対象者の心理を巧みに操って意図通りの行動をさせる詐欺手法だ。

 いったん企業ネットワークに侵入した攻撃者は、標的ネットワークにアクセス可能な状態を維持するために、悪意のあるソースコードを継続的に書き換え、検出を回避するなどの巧妙な回避策を駆使する。APT攻撃を実行するサイバー犯罪組織は、標的となるシステムやソフトウェアに侵入し続けるために、専任の管理者を配置する場合がある。

 APT攻撃でよく使われる手口には、以下のようなものがある。

  • スピアフィッシング

 特定のユーザーを標的にしたフィッシング詐欺をスピアフィッシングと呼ぶ。攻撃者はスピアフィッシングメールを使用して、標的のユーザーに個人情報を漏えいさせたり、悪意のあるコードを実行するための有害なリンクをクリックさせたりする。これらのメールは本物らしく見えるように書かれており、標的のユーザーに合わせた内容になっている。

  • ゼロデイ攻撃

 最近発見されたもののまだパッチが適用されていないソフトウェアやハードウェアのゼロデイ脆弱(ぜいじゃく)性を利用した攻撃をゼロデイ攻撃という。攻撃者はゼロデイ脆弱性を悪用することで、標的にしたシステムに不正アクセスができるようになる。

  • 水飲み場型攻撃

 水飲み場型攻撃は、標的のユーザーがよく利用するWebサイトを改ざんし、ユーザーの端末をマルウェアに感染させる攻撃を指す。

  • サプライチェーン攻撃

 サプライチェーン攻撃は、標的となる組織と取引する、セキュリティレベルの低い関連企業や子会社を標的にする。標的となる組織の関連会社のネットワークに侵入した攻撃者は、そのネットワークを経由して標的となる組織のシステムに侵入する。

  • クレデンシャル(ユーザー認証に用いる情報)の盗難

 標的となるシステムにログインするための認証情報を入手するために、攻撃者はさまざまな手法を利用する。具体的にはユーザーのキーボードでの入力内容を不正に監視するキーロギングや、データ分析技術でパスワードを特定するパスワードクラッキング、フィッシングなどの手法が挙げられる。攻撃者はこうして盗み取ったIDやパスワードといった認証情報を使い、機密情報にアクセスする。

  • コマンド&コントロール(C&C)サーバ

 サイバー攻撃を制御するC&Cサーバは、侵害した企業ネットワークに継続的にコマンドを送信する。これにより攻撃者は侵害されたネットワークを制御し、ハッキングされたシステムからデータを流出させることができる。

  • セキュリティ対策の回避

 組織のセキュリティ対策システムに発見されるのを避けるため、APT攻撃者はしばしば、実際に組織で使われているツールや難読化されたコード、解析防止策を使用して、その活動を隠す。

APT攻撃の標的になる組織の特徴

 標的型攻撃やAPT攻撃の動機はさまざまだ。例えば国家をスポンサーとする攻撃者は、特定の産業で競争の優位性を得るために、知的財産(IP)や機密データを盗み取る。電力会社や通信会社といったインフラ会社、ソーシャルメディア、報道機関、金融機関、政府機関などが狙われる傾向にある。

APT攻撃を防ぐセキュリティ対策

 APT攻撃の有無は特定が難しい。しかしセキュリティツールを利用すれば、データが盗難に遭うことは検知できる。組織からデータが流出することが、自組織のネットワークが攻撃を受けていることを知る唯一の手掛かりになる場合がある。ネットワークがAPT攻撃の標的になっていないかどうかを確認するにはまず、送信データの異常を検出することに重点を置くとよい。

 APTを回避したり軽減したりするには、セキュリティチームは包括的なセキュリティ戦略を策定する必要がある。APTに対する主なセキュリティ対策には、以下のようなものがある。

  • ネットワーク管理ソフトウェアやOSの脆弱性にパッチ(修正プログラム)を当てる。

 自組織で利用するインフラの脆弱性にできるだけ早くパッチを当てることは、攻撃者が既知の弱点を悪用してゼロデイ攻撃を実行するのを防ぐのに役立つ。

  • リモート接続時のセキュリティ対策

 従業員が社外から社内システムにリモートアクセスする際は、暗号化を使って通信を保護する。攻撃者がこれらの通信を悪用するのを阻止して、社内システムへの不正アクセスを防ぐ。

  • 受信メールのフィルタリング

 受信メールのフィルタリングは、スパムメールやフィッシング攻撃を防ぐ重要なステップとなる。

  • セキュリティイベントのログを取る

 セキュリティインシデントが発生したらすぐにログを取ることで、取得したログを基にセキュリティポリシーを改善できる。

  • リアルタイムのトラフィック監視

 企業はバックドアの設置や機密データの外部への持ち出しを抑止するために、ネットワークで送受信されるデータの種類を監視する必要がある。

  • Webアプリケーションファイアウォール(WAF)の設定

 ネットワークのエンドポイントやエッジにWAFを導入して、自組織が運用するWebサーバやWebアプリケーションを侵入から守る。

 企業のIT部門は、進化する巧妙なサイバー脅威からデータとネットワークを守るために、常に警戒を怠ってはならない。