APT(Advanced Persistent Threat)という言葉は、10年以上前にFireEye社が初めて使いました。当初は、特定の人や組織、政府を重点的に攻撃するグループを指す言葉として使われていました。このような攻撃は、数か月から数年をかけて行われることもあります。しかし現在では、非常に巧妙で検知や駆除が困難な高度な攻撃を指す言葉としても使われます。
標的型攻撃とは、攻撃者が特定の被害者を狙って特別に設計する攻撃のことです。一般的にこの攻撃では、攻撃者は攻撃を開始する前に、対象となる被害者についてできる限りの調査を行います。例えば標的型攻撃は、知人やFacebookの友達を装った送信者からのメールという形で行われることがあります。この場合、正しいメールアドレスから送られているように見えたり、いつもの話題について話しているように見えたりするため、そのメールが偽物であると判断するのが難しいのです。
APTグループの多くは、標的型攻撃を行っています。これらの攻撃は、攻撃者が多大な労力を投入して被害者専用の攻撃を構築しているため、見分けるのは非常に困難です。攻撃者は成功の確率を高めるために、攻撃を開始する前に、数週間から数ヶ月にわたって被害者の情報を調査することもあります。このような綿密な調査により、攻撃対象の弱点を見つけるのです。
また、APTグループは潤沢な資金を持ち、何らかの明確な動機があります。だからこそ、時間とリソースをかけて1人の被害者を攻撃することができるのです。このような攻撃者の動機は、必ずしも金銭的な利益とは限りません。データを盗むことが目的の場合もあれば、業務を妨害したりインフラを破壊したりして損害を与えることが目的の場合もあります。NotPetyaや、最近ではSamSamやSynAckにもこうした動機が見られます。