ITパスポート 令和8年度 問96：securityに関する問題

答えは a（APT攻撃） です。

ふつうのサイバー攻撃は『一発ドカン』ですが、APT攻撃は違います。特定の会社や人を狙い、いろんな手口を使いながら、長い時間をかけてジワジワ侵入し続けるしつこい攻撃です。

たとえるなら、一度の押し入りではなく『何ヶ月も家を見張って、すきを探し続けるストーカー』のようなイメージ。

👉 覚え方：APT＝特定の相手を、長期間、しつこく狙う。

ほかの選択肢：b DDoS＝大量アクセスでパンクさせる／c ゼロデイ＝修正前の弱点を即攻撃／d パスワードリスト＝盗んだパスワード一覧で次々ログイン試行、です。

なぜこれが正解か

正解は a。APT攻撃（Advanced Persistent Threat）は、機密情報の窃取などを目的に、特定の組織・個人を標的として、複数の攻撃手法を組み合わせ、長期間にわたり継続的・執拗に行う攻撃。問題文の『特定の標的・複数手法・長期間・継続的』がすべてAPTの特徴に一致する。

各選択肢の解説

• a：APT攻撃＝標的型・長期継続。正しい。
• b：DDoS攻撃＝多数の端末から大量アクセスを送りサービスを停止させる（標的の長期潜入ではない）。
• c：ゼロデイ攻撃＝修正パッチ公開前の脆弱性を突く攻撃（タイミングが論点）。
• d：パスワードリスト攻撃＝流出した認証情報リストで不正ログインを試みる。

覚え方・ひっかけ注意

APTの『P＝Persistent（持続的）』が最大のキーワード。『長期間・継続的・標的型』が出たらAPT。単発で広範囲を狙うDDoSや、タイミングを突くゼロデイとの性質の違いで識別する。

理論的背景

APT（Advanced Persistent Threat：高度標的型攻撃）は本問正解aの「特定の組織・個人を標的に、複数の攻撃手法を使って長期間継続的に攻撃を行うサイバー攻撃」として定義される。APTの3要素：Advanced（高度：ゼロデイ脆弱性利用・カスタムマルウェア・高度なソーシャルエンジニアリング等の先進的手法）・Persistent（持続的：数ヶ月〜数年間にわたる継続的な侵入維持・潜伏）・Threat（脅威：目的を持った意図的な攻撃者集団）。

APTの代表的事例：APT28（Fancy Bear：ロシア連邦軍参謀本部情報総局GRUに帰属）・APT29（Cozy Bear：ロシアSVRに帰属）・APT41（中国国家支援の国家犯罪グループ）・Lazarus Group（北朝鮮情報機関RGB帰属、WannaCry・バングラデシュ中央銀行サイバー強盗等）。これらの脅威アクターはMITRE ATT&CKフレームワークで詳細な戦術・技術・手順（TTPs）が文書化されている。

APTの典型的な攻撃チェーン（MITRE ATT&CK Killchain）：初期侵入（フィッシング・水飲み場攻撃・サプライチェーン攻撃）→実行→永続化（レジストリ書き換え・スケジュールタスク）→権限昇格→防御回避→認証情報窃取→横断移動（ラテラルムーブメント）→収集→C2通信→情報持ち出し（Exfiltration）。

実務での使われ方

日本のAPT被害事例：JAXAへのサイバー攻撃（2016〜2017年・中国系APT帰属）・三菱電機情報漏洩（2020年・Tick/APT関連）・防衛関連企業への連続攻撃（2021年・中国系APT起訴）等。日本政府はACTIVE DEFENSE（能動的サイバー防御）法制化を推進しており、2024年以降にAPT対策が国家安全保障の中核課題として位置づけられた。

企業のAPT対策：SIEM（Splunk・Microsoft Sentinel）でのTTPs検知ルール実装・EDRによる横断移動検知・SOAR（Security Orchestration Automation Response）での自動遮断・Threat Huntingチームによる能動的脅威探索・OSINT・ISAC（Information Sharing and Analysis Center）での脅威情報共有が現代の防御体制の標準。

試験での位置づけ

APT攻撃はITパスポートのセキュリティ分野で近年出題頻度が増加しているトピック。DDoS攻撃・ゼロデイ攻撃・パスワードリスト攻撃・APT攻撃の4種類の識別問題が典型的な出題パターン。APTの識別キーワード：「特定の組織・個人を標的」「長期間にわたる継続的攻撃」「複数の攻撃手法の組み合わせ」「機密情報の窃取目的」。DDoS攻撃（大量トラフィックによるサービス停止）・ゼロデイ攻撃（パッチ未公開脆弱性の悪用）との区別が問われる。基本情報技術者試験ではMITRE ATT&CK・サイバーキルチェーン・APT帰属分析・国際的なサイバーセキュリティ規範（タリン・マニュアル等）まで踏み込んだ問題が出題される可能性がある。

選択肢の発展補足

DDoS攻撃（選択肢b）はDistributed Denial of Service攻撃で、多数のボット（マルウェア感染端末）から標的サービスに大量トラフィックを送り込みサービスを停止させる。APTとの最大の違いは「持続性・標的の特定性・情報窃取目的」の有無。DDoS攻撃は通常短時間・広域ターゲット・サービス妨害目的。APTは長期間・特定標的・機密情報窃取または破壊工作目的。ゼロデイ攻撃（選択肢c）はパッチが未公開の脆弱性を悪用する攻撃で、APTの初期侵入手段として使われることが多い（APTの一要素）。ゼロデイ脆弱性は闇市場で数億円で取引される希少な攻撃リソース。パスワードリスト攻撃（選択肢d）は他サービスから漏洩したパスワードリストを使ってアカウントへの不正ログインを試みる「クレデンシャルスタッフィング」攻撃であり、大量の認証試行を自動化するが「特定の組織への長期潜伏」というAPTの本質的特徴を持たない。Have I Been Pwned（HIBP）・Google Password Checkupは漏洩パスワードの確認・交換を促すサービスとしてパスワードリスト攻撃対策に機能する。