APT攻撃とは？日本企業を狙う国家関与のサイバー攻撃グループの手口と対策【警察庁サイバー脅威レポート2025・第3回】

APT攻撃とは何か

APT攻撃（Advanced Persistent Threat：高度標的型攻撃）とは、特定の標的を定め、高度な技術を駆使して長期間にわたって継続されるサイバー攻撃のことです。無差別なマルウェア攻撃とは異なり、周到な事前調査を経て特定の組織に侵入し、数か月から数年にわたって内部に潜伏しながら情報を窃取します。

APT攻撃の多くは、国家の支援や関与が疑われるグループによって実行されてきました。警察庁が2026年3月に公表した「令和７年におけるサイバー空間をめぐる脅威の情勢等について」は、こうしたAPT攻撃グループの関与が疑われる事案が2025年（令和7年）においても複数確認されたと報告しています。同資料は、地政学的緊張を背景に「重大な事態へと急速に発展していくリスクをはらんでいる」と明確な警戒感を示しています。^※1

本コラムでは特に、国家の関与が疑われるグループによるAPT攻撃に焦点を当てて解説します。

国家関与のAPT攻撃が狙うもの

国家の関与が疑われるサイバー攻撃は、目的によって大きく2つに分けられます。

サイバーテロ（重要インフラへの攻撃・機能停止）

サイバーテロとは、重要インフラの機能を停止させるなどして、社会に混乱や麻痺をもたらすことを目的としたサイバー攻撃です。こうした攻撃は、もはや抽象的な脅威ではなく、国家が関与する現実的なリスクとして認識されています。

2025年5月には、米国および西側諸国当局等が共同サイバーセキュリティアドバイザリーを発出し、ロシア軍参謀本部情報総局GRU（APT28／Fancy Bear）による西側諸国の物流企業やテクノロジー企業へのサイバー活動の存在を明らかにしました。この攻撃は航空・鉄道・港湾といった輸送インフラに関わる組織を対象としており、侵入後にはメールやシステムから輸送計画・貨物情報（出発地・目的地・輸送手段・コンテナ情報など）が収集されていました。また、RTSPサーバを通じてIPカメラにアクセスし、国境付近などで物資の移動状況を把握しようとする動きも確認されています。直ちにインフラを停止させる攻撃ではないものの、物流という社会基盤に影響を及ぼし得る点で、サイバーテロの脅威を考えるうえで無視できない事例です。^※2

一方、昨今の中東情勢においても、イランとアメリカ・イスラエルとの緊張が続く中、サイバー空間での攻撃が現実の脅威として指摘されています。2026年4月7日付のブルームバーグ報道によれば、イランに関連する攻撃主体が米国の水道などの重要インフラを標的としたサイバー攻撃を行っているとされており、水道や下水システムで使用される技術に混乱が生じていると報じられています。物理的な攻撃を伴わずに社会機能に影響を与え得る点で、サイバーテロの性質を持つ動きといえます。^※3

サイバー攻撃には、地理的な距離や国境といった制約がほとんどありません。これまで日本は四方を海に囲まれていることで物理的に一定の安全性を保ってきましたが、サイバー空間ではその前提は通用しません。社会基盤のデジタル化が進む中、日本も同様のリスクにさらされていることを前提に、現実的な脅威として捉える必要があります。

サイバーエスピオナージ（機密情報の窃取）

サイバーエスピオナージとは、国家や組織が機密情報の取得を目的として行うサイバー攻撃を指します。企業や政府機関のシステムに侵入し、業務データや技術情報などを継続的に収集する行為が含まれます。こうした情報の流出は、先端技術や産業競争力に直結するものであり、我が国の経済安全保障にも重大な影響を及ぼしかねません。さらに、重要インフラの警備体制などの機密情報が窃取されることで、現実空間におけるテロの準備行為として利用される可能性も指摘されています。

具体的には、後述するSalt Typhoonのように、中国のAPTグループは主に情報窃取を目的とした活動していると見られており、2025年においてはネットワーク機器の既知の脆弱性や設定不備を悪用して内部へ侵入する手法が確認されています。

サイバーエスピオナージの厄介さは、その被害が目に見えにくい点にあります。ランサムウェア攻撃であれば、業務停止や身代金要求という形で被害が顕在化します。しかしサイバーエスピオナージは情報の窃取そのものが目的であるため、侵入に気づいた時点ですでに長期間にわたり内部に潜伏されていた可能性があります。結果として、数年分に及ぶ研究データ・顧客情報・営業秘密といった重要資産が静かに流出していることも十分に考えられます。

日本を狙う主なAPT攻撃グループ

2024年から2025年にかけて、日本国内で活動が観測・公表されたAPT攻撃グループを紹介します。標的や手口はグループによって異なりますが、いずれも高度な持続性と隠密性を持って活動していることが共通しています。

MirrorFace（ミラーフェイス）

2025年1月8日、警察庁および内閣サイバーセキュリティセンター（現・国家サイバー統括室）は「MirrorFace」（別名：Earth Kasha）に関する注意喚起を発出しました。捜査・分析の結果、MirrorFaceの攻撃キャンペーンは「主に我が国の安全保障や先端技術に係る情報窃取を目的とした、中国の関与が疑われる組織的なサイバー攻撃活動」と評価されています。^※4

確認されたキャンペーンは2019年頃から継続して実行されていました。標的は時期によって変化しており、2019年から2023年頃はシンクタンク・政府関係者・政治家・マスコミを中心に標的型メール攻撃を展開。その後は半導体・製造・情報通信・学術・航空宇宙分野のネットワーク機器への侵入に移行しています。2024年6月に発覚した宇宙航空研究開発機構（JAXA）の情報流出事案も、同グループの攻撃によるものとされています。

主な手口としては、標的型メール（なりすましメール）攻撃、VPN機器等の脆弱性を悪用した侵入などが確認されています。侵入後は、Windows Sandboxを悪用してウイルス対策ソフトやEDRの監視を逃れながらマルウェアを実行する手口や、Visual Studio Code（VS Code）の開発トンネル機能を遠隔操作ツールとして悪用する手口も確認されており、証跡の調査を困難にする工夫が施されています。

また、直接の標的組織だけでなく、ビジネス上の取引先・委託先を経由した侵入も考えられます。自社のセキュリティが十分でも、関係先が突破口になるリスクがある点に注意が必要です。

Salt Typhoon（ソルトタイフーン）

2025年8月27日、警察庁および国家サイバー統括室は、米国が作成した国際アドバイザリーへの共同署名に加わり、同文書を公表しました。共同署名には日本を含む13カ国が参加しています。^※5

本アドバイザリーは、「Salt Typhoon」と呼ばれる攻撃者を含む、中国政府の支援を受けたAPT攻撃者による活動について説明したものです。これらの攻撃者は、電気通信・政府・交通・宿泊・軍事インフラを含む世界中のネットワークを標的としています。また、中国の複数企業と関連付けられており、これらの企業は中国人民解放軍（PLA）および中国国家安全部（MSS）にサイバー関連の製品・サービスを提供しているとされています。活動を通じて取得されたデータは、中国の諜報機関による活動に利用されると見られています。

攻撃手法としては、公開された脆弱性や設定不備を悪用したネットワーク機器への侵入、アクセス制御リストの変更やポート開放等によるアクセス維持、認証関連プロトコル等を標的とした情報収集、複数のC2（コマンドアンドコントロール）チャネルを用いたデータ窃取などが確認されています。

APT29 / Earth Koshchei（アースコシュチェイ）

ロシア系の国家関与型APT攻撃グループとして広く知られるのが「APT29」（別名：Cozy Bear、Earth Koshchei）です。ロシアの対外情報庁（SVR）との関連が指摘されており、主に諜報活動を目的として西側諸国の外交・軍事・エネルギー・通信・IT分野の組織を長年にわたって標的にしてきました。

日本への直接の被害については、2026年3月時点で警察庁・NISC（現・国家サイバー統括室）による公式なパブリックアトリビューションは確認されていません。以下は民間セキュリティ企業による調査報告に基づく情報です。

トレンドマイクロ株式会社による国内標的型攻撃分析レポート（2025年版）では、2023年まで中国系APTグループのみだった日本国内への標的型攻撃が、2024年にはロシア背景とされるEarth Koshcheiの活動も観測されており、「明確に日本の組織を標的として矛先を向けてきたことが伺える証跡を確認している」と報告されています。^※6

2024年10月から11月にかけて実施された大規模なスピアフィッシングキャンペーンでは、日本を含む欧米・オーストラリアの政府・軍事機関、シンクタンク、クラウドプロバイダーを標的に200以上のフィッシングドメインが登録されたことが確認されています。手口は、RDP（リモートデスクトッププロトコル）設定ファイルを添付したメールを送付するもので、開封するとローカルリソースが攻撃者のサーバーに接続される仕組みでした。

地政学的な観点からは、日本がNATOとの連携を深め、ウクライナ支援を継続する立場を取る中で、ロシア系APTグループからの注目度が高まっていることは自然な流れともいえます。今後も継続的な警戒が求められます。

企業が取り組むべき対策

APT攻撃を完全に防ぐことは現実的には困難です。侵入されることを前提に、検知・対応・復旧までを含めた多層的な体制を整備することが重要です。以下に主要な対策を示します。

基本対策の徹底

多くのAPT攻撃では、既知の脆弱性やVPN機器の設定不備が初期侵入の入口として悪用されています。MirrorFaceではVPN機器の脆弱性・認証情報の悪用、Salt Typhoonでは公開された脆弱性の悪用による初期アクセスが報告されており、いずれも基盤的な弱点が攻撃の起点となっています。

IPAが「情報セキュリティ対策の基本」として挙げるソフトウェアの更新（脆弱性解消）、多要素認証（MFA）の導入、パスワード管理の強化、設定の見直し、バックアップの取得はAPT攻撃に対しても有効な防御の基礎です。特にVPNやネットワーク機器のパッチ適用の徹底は急務です。

ログの収集・監視体制の強化

APT攻撃では侵入後に長期間潜伏するケースが多く、侵害の検知や原因特定にはログの活用が不可欠です。サーバやネットワーク機器のログを適切に取得・保存し、異常の早期検知につなげる体制を整備することが重要です。

侵入後の活動を前提とした対策

APT攻撃では侵入後に認証情報の窃取や内部ネットワークでの横展開（ラテラルムーブメント）を行い、長期間にわたり活動を継続する特徴があります。初期侵入の防止に加え、アクセス権の最小化や内部通信の監視など、侵入後の活動を前提とした対策も重要です。

インシデント対応体制の整備

侵害リスクをゼロにすることはできません。侵害が起きたときに「誰が・何を・どの順序で動くか」を事前に決めておくことが被害の最小化に直結します。初動の遅れは証跡の消失を招き、後の原因究明や法的対応を困難にします。警察への通報・相談体制も平時から整えておきましょう。

公的機関の注意喚起を継続的にウォッチする

本コラムで紹介した各グループへの注意喚起は公的機関により公開されています。警察庁・NISC（現・国家サイバー統括室）・IPA・JPCERT/CC等が発信する脆弱性情報や注意喚起を継続的に確認し、自社の業種・取引先・保有情報と照らし合わせて活用することが重要です。

サプライチェーン全体でのセキュリティ意識の共有

MirrorFaceの事例が示すように、自社のセキュリティが万全でも委託先・取引先が突破口になりえます。委託先のセキュリティ水準を確認する仕組みを持ち、契約において情報セキュリティ上の責任範囲を明確化することが求められます。自社だけの問題として閉じず、エコシステム全体での対策を意識してください。

侵入を前提としたセキュリティ設計

侵入された場合に備えた「多層防御」の考え方が重要です。境界防御に加え、万が一データが持ち出された際にも被害を最小化する仕組みとして、IRM（Information Rights Management）によるファイル暗号化が注目されています。ファイルそのものを暗号化することで、仮に情報が窃取されても第三者には内容を参照できない状態を維持できます。APT攻撃グループが標的とする機密情報・技術情報・個人情報を「盗まれても読めない」状態にすることで、情報漏洩の実害を防ぐ最後の砦となります。