初心者でも理解できる「仕組み・検知・対策」【CompTIA学習に役立つ】
この記事のねらい
APTは「長期的に静かに侵入して目的を達成する」タイプの攻撃です。まずは全体像をつかみ、どこを見ると兆候に気づけるか、どこから実務対策を始めるかを最短で学びます。Security+ / CySA+ 学習にも直結する視点で整理しました。
APTとは?
ポイント:APTは「狙いを定めて、気づかれないように長く居座る攻撃」。
理由:金銭・知的財産・機密情報など明確な目的があり、侵入→拠点化→横展開→静かな窃取を繰り返すから。
例え:空き巣ではなく、家の合鍵を作って押し入れに小さな隠しカメラを置くようなもの。
要点:ウイルスを消して終わりではなく、根(永続化・C2)を断つのが肝。
APTの特徴(初心者チェックリスト)
- 標的選定が明確(企業・部署・特定の個人)
- フィッシング/脆弱性悪用/サプライチェーンなど複線で侵入
- 永続化(自動起動・OAuth悪用・スケジュールタスク等)
- 横展開(認証情報窃取、AD探索、共有サーバ侵入)
- 低ノイズ通信(ビーコン間隔やDNSを利用したC2など)
攻撃のライフサイクル(MITRE ATT&CKに当てはめて理解)
ポイント:流れで覚えると、どこで検知・遮断できるか見える。
理由:どの段階でも“手口(TTPs)”がログに残るから。
具体像(代表例)
- 偵察:社員や技術情報をSNS/OSSから収集
- 初期侵入:スピアフィッシング、WAF未保護の脆弱API、VPN脆弱性など
- 実行:Office→PowerShell、WMI、ScriptHost などでコード実行
- 永続化:Runキー、サービス作成、タスク登録、OAuth同意の乗っ取り
- 権限昇格:トークン偽装、脆弱ドライバ悪用
- 防御回避:署名付きツール乱用、LOLBin(正規ツール悪用)
- 資格情報アクセス:LSASSダンプ、ブラウザ保存PW、クラウド鍵
- 探索・横展開:AD/共有の列挙、RDP/SMB横断
- 収集・流出:共有から一括取得、圧縮し分割送信、クラウドへ搬出
- C2:DNS/TLS/Tor/CDN経由など低観測なビーコン
要点:各段階に“検知の糸口”がある。
侵入経路で多いもの(優先して塞ぐ)
ポイント:フィッシング・脆弱性・クラウド設定ミスが三大原因。
理由:攻撃コストが低く、再現性が高い。
例:
- メール添付のマクロ・HTMLスミッシング・リンク先の偽ログイン
- VPN/SSL-VPN機器の既知脆弱性(未パッチ)
- S3やストレージのパブリック公開/過剰権限のサービスアカウント
要点:MFAとパッチ運用、メール対策、クラウドの最小権限が最初の壁。
兆候(IoA/IoC)の見つけ方:どのログをどう見る?
ポイント:プロセス連鎖・認証の異常・DNS/通信の規則性をまず疑う。
理由:APTは「静かに」「繰り返し」動くため、不自然な組合せや周期で分かる。
例(Windows/EDR/SIEMでの典型シグナル)
WINWORD.EXE → powershell.exeなどOffice発のスクリプト実行Event ID 4624/4672(特権ログオンの連発)、深夜の成功ログオン- サービス作成
7045、不審なスケジュールタスク登録 - DNSで存在しないドメインへの定期的クエリ(ビーコン)
- 同一端末から少量の外向き通信が周期的に続く
すぐ試せるKQL例(Microsoft 365 Defender / Sentinel想定)
// 不審な PowerShell 実行フラグ
DeviceProcessEvents
| where FileName =~ "powershell.exe"
| where ProcessCommandLine has_any ("-nop", "-w hidden", "EncodedCommand", "FromBase64String", "IEX")
// Office からのスクリプト実行
DeviceProcessEvents
| where InitiatingProcessFileName in~ ("WINWORD.EXE","EXCEL.EXE","POWERPNT.EXE")
| where FileName in~ ("powershell.exe","wscript.exe","cscript.exe","mshta.exe")
// 周期的な外向き通信(簡易)
DeviceNetworkEvents
| summarize cnt=count(), minTime=min(Timestamp), maxTime=max(Timestamp) by DeviceId, RemoteUrl
| where cnt > 20
Sigmaルール例(概略)
title: Office Spawns PowerShell
logsource:
product: windows
category: process_creation
detection:
selection:
ParentImage|endswith:
- '\WINWORD.EXE'
- '\EXCEL.EXE'
- '\POWERPNT.EXE'
Image|endswith: '\powershell.exe'
condition: selection
level: high
初心者でもできる多層防御(まずはここから)
ポイント:MFA・パッチ・EDR・メール対策・権限最小化の5本柱。
理由:Aptが踏み台にする“当たり前の穴”を塞ぐのが最短の効果。
実務アクション
- MFA徹底(VPN・管理者・SaaS・Git)
- パッチ運用(OS/ブラウザ/機器の定期更新、緊急パッチのSLA化)
- EDR配備とアラート整備(上のKQL/Sigma観点を反映)
- メールセキュリティ(SPF/DKIM/DMARC、リンク保護、添付無害化)
- 最小権限(グループ見直し、サービスアカウント鍵の棚卸し・期限化)
- ネット分割と出口制御(全ポート許可をやめ、DNS/HTTPの監視強化)
- バックアップ(オフライン/不変ストレージ、復元演習)
要点:道具だけでなく**運用(SLA・演習・レビュー)**をセットで。
中小企業向け 80/20 優先順位
- 管理者・VPN・主要SaaSのMFA
- OS/ブラウザ/ファームウェアの月例パッチSLA
- メール訓練+ゲートウェイ+拡張保護
- EDRの導入と最小限の検知ルール運用
- 重要データのバックアップと復元テスト(月1)
CompTIA学習に直結する観点(Security+ / CySA+)
ポイント:試験は「概念+実務の型」を問う。
理由:用語暗記だけでなく、ログやユースケースを説明できるかが鍵。
学習マップ
- 脅威アクター:国家・犯罪組織・ハクティビスト、資金・動機・TTP
- APTのTTP:フィッシング、永続化、横展開、C2、データ流出
- インシデント対応:準備→検知→封じ込め→根絶→復旧→振り返り
- SIEM活用:UEBA、相関ルール、誤検知の扱い
- ハンティング:仮説→データ抽出(KQL)→検証→封じ込め
- クラウド:ID基盤、条件付きアクセス、キー管理、監査ログ
ミニ確認クイズ
- APTが「気づかれにくい」根拠になる活動は?
→ 永続化と低ノイズC2。 - 初動で最優先に確認する三つのログは?
→ 認証(成功/失敗の傾向)、プロセス作成、DNS/外向き通信。 - CySA+で問われやすい“相関ルール”の例は?
→ Office → PowerShell かつ 特権ログオン かつ 新規サービス作成 の組合せ。
実務で役立つミニ・チートシート
- Windows:4624/4672(ログオン)、4688(プロセス)、7045(サービス)、4698(タスク)
- よく見るLOLBin:
powershell,wscript,cscript,mshta,rundll32,regsvr32 - 不審コマンド断片:
-nop,-w hidden,EncodedCommand,FromBase64String,IEX - クラウド:OAuth同意の急増、共有リンク外部化、APIキーのローテ不備
よくある誤解
- 「APT=国家だけ」:実際は犯罪組織も長期侵入で金銭化。
- 「EDRがあれば安心」:運用(チューニング・対応SLA)がないと見逃す。
- 「ウイルス駆除=解決」:永続化や資格情報が残っていると再侵入される。
まとめ
要点:APTは「静かに長く」。流れ(ATT&CK)で理解し、MFA・パッチ・EDR・メール・最小権限の基本を運用で固める。検知はプロセス連鎖/認証傾向/DNS・通信の規則性から始める。これがCompTIA学習でも実務でも効く“最短ルート”です。
