APT攻撃とは、豊富なリソースを有する組織(国家や犯罪組織など)によって実行される、高度かつ継続的なサイバー攻撃のことです。通常、特定の標的に焦点を当てます。APT攻撃は複雑かつ大規模で、長期にわたって実行されます。最初の侵害後、攻撃者は長期間待機することが多いです。その間に攻撃者はアクティビティを監視し、ラテラル ムーブメントを実行して、企業全体にわたって攻撃を拡大します。
APT攻撃の戦術は多岐にわたります。機密データがゆっくりと流出するケースもあれば、大規模な攻撃が1回行われるケースもあります。APT攻撃の目的は、いくつかの種類に分類できます。
- サイバー スパイ
- 破壊と混乱(インフラやネットワークなど)
- 恐喝
- 金融犯罪・盗難
- ハクティビズム
あなたの組織は大丈夫?APT攻撃で狙われている業界
APT攻撃の標的は多岐にわたります。通常は、有益なデータ、機密情報、戦略的に重要な資産を有する組織や業界が標的となります。これらの標的は、政府機関から民間企業に至るまで広範囲に及び、攻撃者の地政学的・経済的・財務的目的に基づいて選出されることが多いです。一般的なAPT攻撃の標的は、次のとおりです。
重要なインフラ
重要なサービスを妨害したり、将来の攻撃リスクに備えて情報を収集したりすることが目的の場合、APT攻撃の一般的な標的は、エネルギー、水道、医療、交通・輸送、通信分野の組織です。
教育・研究機関
大学や研究機関は、防衛・エネルギー・医療に関連する政府出資のプロジェクトに取り組んでいることが多いため、サイバー スパイの格好の標的となります。
エネルギー業界
エネルギー業界がAPT攻撃の標的となるもう1つの理由は、石油、ガス、電力の混乱が、広範囲にわたって経済的・政治的影響を及ぼす可能性があるからです。
金融機関
APT攻撃は、資金の窃取、個人の銀行情報の入手、金融ネットワーク(SWIFTなど)へのアクセスを通じて金銭的利益を得たり、経済を不安定化させたりするために、金融機関を標的とします。
政府・防衛機関
APT攻撃は、機密情報、防衛技術、外交通信など、政府や軍事の機密情報を標的とします。
メディア グループ
APT攻撃は、世論の操作、ジャーナリストに対するスパイ活動、情報フローの妨害を目的として、メディア組織を標的とします。
政治組織
APT攻撃は、政党や選挙インフラを標的として、情報収集、偽情報の拡散、政治プロセスへの干渉を行います。
民間企業
航空宇宙、製造、製薬などの業界の企業は、有益な知的財産(IP)や企業秘密を保持しています。APT攻撃は、特に国家安全保障にとって重要な業界において、経済的利益を得るためにこれらの企業を標的とします。
テクノロジー・通信企業
テクノロジー・通信企業は、経済的利益の獲得や国家安全保障の目的のために使用できる、有益な知的財産(IP)や研究・技術データを保有していることが多いため、APT攻撃の標的となります。
APTを定義する3要素
APT攻撃には、3つの構成要素があります。他の脅威においても、これらの構成要素が1つまたは2つ含まれることがありますが、APT攻撃として認定されるためには、3つの構成要素をすべて備えている必要があります。
高度(Advanced)
高度な脅威は、以下の目的に合わせてエクスプロイトを開発・カスタマイズできるグループによって実行されます。
- 特定の標的の環境や脆弱性を活用
- 一般公開されているエクスプロイトを利用した大規模な攻撃
- 上記の2つを組み合わせて活用
これらの攻撃を高度化させるもう1つの側面は、非常に高度な情報収集機能です。
持続性(Persistent)
APT攻撃の文脈における持続性とは、ある機会をきっかけに攻撃を実行したり、広範囲に展開された作戦の一環として攻撃を実行したりするのではなく、特定の目的のために攻撃が行われることを意味します。攻撃者は支援を受けながら、目的を達成するまで攻撃を継続するため、こうした持続的な性質は特に大きな脅威となります。持続性は、攻撃者が長期にわたって多段階の攻撃を実行できる、またそのような攻撃を実行する可能性が高いことも意味します。
脅威(Threat)
APT攻撃が大きな脅威となる理由は、マルウェアを解き放ち、人間の介入なしに実行できるといった、単純なものではありません。APT攻撃ではマルウェアを使用する場合もありますが、その実行・進捗・アクションには、人間も直接介入します。
APT攻撃では、高度なエクスプロイトを実行し、ミッションを確実に成功させるために、テクノロジーと人間の介入・監視が緊密に連携しています。
攻撃者は、特定の目的・熟練したスキル・豊富な資金を持ち、意欲が高く、組織化されています。攻撃者は、国家が支援するグループに限定されません。
APTの概念の誕生と今
2005年、英国と米国のコンピュータ緊急事態対策チーム(米国国土安全保障省の一部門)は、機密情報を狙った巧妙化された攻撃について警告を発しました。サイバー攻撃自体は目新しいものではありませんが、この攻撃は、これまで以上に複雑化していました。
「APT攻撃」という用語は、2007年に米国空軍のGreg Rattray大佐によって生み出されました。
2007年、防衛産業基盤と連携して対処する必要のある、新たな攻撃者を特徴付けるために、私は「APT攻撃」という用語を生み出した。それ以来、APT攻撃という用語と攻撃者の性質はどちらも、変化を遂げてきた。しかし、変わっていないこともある。それは、サイバー空間では、防御力を問わず、高度な攻撃者が、望ましい資産を持つ標的を執拗に狙うということだ。
米国空軍、Greg Rattray大佐
世界を震撼させたAPTインシデント
最も有名なAPT攻撃には、次のようなものがあります。この用語が使用される前に特定されたものもいくつかありますが、現在では、そうした攻撃もAPT攻撃の例として見なされています。
| インシデント名 | 標的場所 | 目的 |
|---|---|---|
| The Cuckoo’s Egg | 米国軍事研究施設 | SDI関連の機密防衛データ窃取 |
| Moonlight Maze | 米国政府機関・大学研究機関 | 軍事研究データなど大量の情報窃取 |
| Titan Rain | 米国政府機関・防衛関連企業 | 軍事データ・技術秘匿情報の窃取 |
| Sykipot | 米国防衛企業・政府機関、英国企業 | スマートカード脆弱性を悪用した知財窃取 |
| GhostNet | 世界100か国以上の政府・外交機関(ダライ・ラマ事務所等) | システム制御と通信監視によるスパイ活動 |
| Operation Aurora | 米国大手企業(Google、Adobe、Intel等) | 知的財産・ソースコード窃取、人権活動家メール侵害 |
| RSA攻撃 | RSA Security | SecurIDトークン関連機密データ窃取 |
| Stuxnet | イラン核施設ナタンズの産業制御システム | 遠心分離機破壊による核開発妨害 |
| Flame | 中東諸国の政府省庁・教育機関・個人 | 音声録音・キーログ等による広範情報収集 |
以下、それぞれ解説します。
The Cuckoo’s Egg
The Cuckoo’s Eggは、最初期に取り上げられたAPT攻撃の1つです。この攻撃は、軍事研究施設を標的として、西ドイツのハッカーによって実行されました。ネットワーク化されたコンピュータに侵入し、「Star Wars」プログラムと呼ばれる戦略防衛構想(SDI)に関連する機密情報(機密防衛データ、軍事研究通信、SDI関連企業からの戦略研究データなど)を窃取しました。
Moonlight Maze
Moonlight Mazeは、大規模なサイバー スパイ キャンペーンです。このAPT攻撃は、国防総省、NASA、軍事関連企業、エネルギー省などの米国政府機関、および軍事研究に携わる大学や研究機関を標的としていました。初期に国家主導のAPT攻撃として実行されたMoonlight Mazeのもう1つの例は、ロシアによるものとされています。攻撃者はコンピュータ システムに侵入し、機密の軍事情報、研究、地図など、膨大な機密データを窃取しました。
Titan Rain
Titan Rainは、米国政府機関、防衛関連企業、民間企業を対象とした一連のサイバー攻撃です。中国政府は関与を否定しましたが、攻撃は中国政府が支援するハッカーによるものとされています。
このAPT攻撃は、軍事データ、知的財産、技術秘密などの機密情報を窃取することに焦点を当てていました。攻撃者は、Lockheed Martin、NASA、Sandia National Laboratoriesなどの組織のシステムに侵入し、重要な防衛関連情報にアクセスしました。
Sykipot
Sykipotは、中国のハッカーによるサイバー スパイ キャンペーンです。このAPT攻撃は、悪意のある添付ファイル、感染したWebサイトへのリンク、ゼロデイ エクスプロイトを含む高度なスピア フィッシング メールを使用して、安全なネットワークにアクセスしました。
侵入後、攻撃者はスマート カード技術の脆弱性を悪用して、認証システムを回避し、知的財産を窃取しました。このAPT攻撃は、米国の防衛関連企業や政府機関、英国の企業を標的としていました。
GhostNet
GhostNetは、中国のハッカーが関与していると考えられているもう1つの大規模なサイバー スパイ活動です。ただし、中国政府は関与を否定しています。このAPT攻撃キャンペーンは、主に政府機関や外交機関に焦点を当てており、Dalai Lamaの事務所をはじめとした100か国以上の政治・経済・メディア関連の組織を標的としていました。
GhostNetは、悪意のある添付ファイルを含むスピア フィッシング メールを使用して、リモート コマンド アンド コントロール システムからのコマンドを実行するトロイの木馬を読み込み、マルウェアをダウンロードすることで、侵入したシステムを完全に制御しました。このAPT攻撃は、録音・録画端末を使用して、侵入したシステムにおける複数の場所の通信を監視しました。
Operation Aurora
Operation Auroraは、ゼロデイ エクスプロイトを使用して、Hydraqという悪意のあるトロイの木馬をインストールし、情報を窃取しました。このサイバー攻撃も中国政府によるものとされていますが、中国政府は関与を否定しています。このAPT攻撃は、米国の大手企業(Google、Adobe、Intelなど)を標的としていました。
目的は、知的財産、企業データ、ソースコードを窃取することでした。ハッカーは、高度なスピア フィッシング手法を使用してWebブラウザーの脆弱性を悪用し、企業ネットワークにアクセスしました。
標的となった企業は当初、攻撃を公表しませんでした。ただし、Googleは例外でした。ハッカーが人権活動家のGmailアカウントも標的にしていたことが発覚した後、同社は攻撃を受けたことを明らかにしました。
RSA攻撃
RSAのAPT攻撃は、二要素認証ソリューションの大手プロバイダーであるRSA Securityを標的としていました。国家の支援を受けているとみられる攻撃者は、当時広く出回っていたリモート アクセス トロイの木馬である「PoisonIvy」というマルウェアを組み込んだ、スピア フィッシング メールを使用しました。
このマルウェアは、悪意のあるExcelファイルのスプレッドシートをメールに添付し、そこに埋め込まれたAdobe Flashの脆弱性を悪用しました。攻撃者は、このマルウェアを使用してRSAのネットワークに侵入し、RSA SecurIDトークン(RSAの認証技術)に関連する機密データを窃取しました。RSA SecurIDトークンは、安全な認証のために多くの組織で使用されています。この侵害は、深刻な影響を及ぼしました。攻撃者は、窃取したデータを使用して、防衛関連企業や政府機関を含む、RSAの顧客のセキュリティ対策を回避できる可能性があったからです。
Stuxnet
Stuxnetは、産業用制御システム(ICS)、特にイランのナタンズにある核施設の遠心分離機を管理するシステムを標的として設計された、革新的なAPT攻撃です。一般的に、米国とイスラエルの共同作戦によるものと考えられていますが、両国とも関与を否定しています。Stuxnetは、イランの核開発計画を妨害するために設計されており、遠心分離機に物理的損傷を与え、その妨害行為を通常の操作に見せかけます。
これは、インフラに物理的損傷を与えることに成功した、最初のサイバー攻撃の1つです。Stuxnetは、指定された日時にAPT攻撃を消去するようにプログラムするために使用されたプログラマブル ロジック コントローラー(PLC)ルートキットを含む、最初のマルウェアとしても知られています。
Flame
Flameは、主に中東諸国を標的とし、イラン、イスラエル、スーダン、シリア、レバノン、サウジアラビア、エジプトの1,000台以上のシステムを感染させた、高度なAPT攻撃です。このAPT攻撃は、国家の支援を受けていると考えられており、Stuxnetと同じ人物が関与していると考えられます。
Flameは、広範にわたる情報収集を目的として設計されました。ローカル ネットワークやUSBスティックを介して拡散し、音声の録音、スクリーンショットのキャプチャ、キー入力のログ記録、ネットワーク トラフィックの傍受を行うことができます。また、近くにあるBluetooth®対応端末から連絡先情報を窃取することもできます。
このAPT攻撃は、地政学的情報に重点を置き、政府省庁、教育機関、個人に対してスパイ活動を行うために使用されました。Flameは、その複雑さ、規模、長期間検出されない能力により、これまでに発見されたAPT攻撃ツールの中で最も高度なものの1つとなっています。Flameの発見により、スパイ活動や情報収集において、サイバー ツールの使用が増加していることが浮き彫りになりました。
APTライフサイクルの4段階を解剖
APT攻撃は、検出を回避するために、一連の短い手順で実行することも、長期間にわたって実行することもできる、いくつかの体系的な手順で構成されています。APT攻撃の主な実行手順は、次のとおりです。
アクセスまたは侵入
APT攻撃は、標的を選出した後、認証済みのユーザー、ネットワーク リソース、Web資産という3つの主要なベクトルを通じて標的に侵入します。攻撃者は、次のようないくつかのアプローチを使用して、標的に侵入します(標的の注意をそらすために、分散型サービス拒否(DDoS)攻撃を補完的に実行する場合もあります)。
- アプリケーションの脆弱性
- フィッシング メール
- スピア フィッシング
- ランサムウェア
- リモート ファイル インクルージョン(RFI)
- ソーシャル エンジニアリング攻撃
- SQLインジェクション
- 正規のソフトウェアを装ったトロイの木馬
- 水飲み場型攻撃
- ゼロデイ エクスプロイト
足場を築く
攻撃者は、標的に侵入すると、バックドアとトンネルのネットワークを作成し、検知されることなくシステムを移動できるようにします。多くの場合、マルウェアは攻撃者が移動する際に残した痕跡を隠すように設計されています。また、コマンド アンド コントロール(CnC)サーバーを使用して、ネットワークへのリモート アクセスを確立します。
拡大とエスカレーション
足場を築いた後、攻撃者はラテラル ムーブメントによってアクセス権限を拡大して制御を強化し、複数のサーバー、ネットワークの安全な場所、その他のネットワークに侵入し、侵害を拡大させます。侵入後、キーロガーやブルート フォース攻撃(総当たり攻撃)を使用して、特権アカウント情報を取得し、特権を強化します。
攻撃の開始と情報の抽出
攻撃者は、望ましいアクセス権限を取得した後、情報抽出プロセスを開始します。このプロセスでは通常、情報の一元化、暗号化、圧縮が行われ、抽出を迅速化することで検出を回避します。多くの場合、これでAPT攻撃が終わるわけではありません。脅威はバックグラウンドに隠れたまま、次の攻撃を待つか、ひそかにデータを窃取し続けます。
多層防御で挑むAPT対策
APT攻撃は、大規模かつ複雑です。そのため、APT攻撃を緩和するためには、組織のセキュリティ プログラムやエンド ユーザーの多くの要素を活用する、多面的なアプローチが必要です。
APT攻撃を緩和するために使用できるサイバー セキュリティ・インテリジェンス ソリューションには、次のようなものがあります。
- アプリケーションとドメインの許可リスト
- 暗号化
- エンドポイント保護
- 侵入検知
- マルウェア検出
- ネットワーク マイクロセグメンテーション
- ネットワーク ソフトウェアとOSの脆弱性に対するパッチの適用
- ペネトレーション テスト
- セキュリティ情報イベント管理(SIEM)と連携して使用される、侵害インジケーター(IOC)などのテクニカル インテリジェンス
- トラフィックの監視
- Webアプリケーション ファイアウォール(WAF)
まとめ
APT攻撃は、その性質上、非常に創造的かつ効果的な方法で脆弱性を狙います。APT攻撃を効果的に防御するには、強力なセキュリティ体制と、セキュリティに対する包括的なアプローチが必要です。マシンと人間のあらゆる侵入ポイントを把握し、防御する必要があります。
このアタックサーフェス(攻撃対象領域)は広範囲にわたりますが、防御に役立つシステムやサービスは数多くあります。ただし、APT攻撃による深刻な事態を阻止または緩和するには、そうしたシステムやサービスだけでなく、あらゆる人間の攻撃ベクトルに対する意識を高めることも必要です。
