Advanced Persistent Threat(APT: 持続的標的型脅威)とは?APTの定義とライフサイクル&防御
目次
APT(Advanced Persistent Threat)とは、攻撃者が長期間にわたって持続的に行う高度なサイバー攻撃の一種です。
単純な他の形態のハッキングとは異なり、APTは多くの場合、高度な知識を持った専門家集団によるものです。通常、このようなイニシアチブは国家レベルやサイバー犯罪グループによって仕掛けられています。ハッカーたちは、自分たちが行ったことで決して逮捕されることはないことを知っています。そして、自分たちを助けてくれる支援団体の様々なリソースを手にしています。
APTの基本概念は新しいものではありません。2006年、アメリカ空軍のアナリストたちが最初にこの用語を使い始めました。ある政府に対して別の政府が仕掛けた攻撃について論じていたのです。
しかし、APTのセキュリティ対策は多くの民間企業にとってToDoリストのトップに躍り出ました。2020年12月に検出された大規模攻撃は、「北米、ヨーロッパ、アジア、中東の政府、コンサルティング、テクノロジー、電気通信、採掘企業」を標的としていました。その結果、多くのセキュリティアナリストが自社の安全を守る必要性に気づいたのです。
APTに直面する可能性はあるのか?
一般的なAPTの標的は、政府機関です。大企業も貴重な資産を保持していると考えられています。攻撃を仕掛けるには時間とリソースが必要であり、ほとんどの攻撃者はその労力と投資を最大限に活かすことに関心を持っています。
しかし、中にはサプライチェーンを狙うAPT攻撃者もいます。このような攻撃者は、主要なターゲットと契約を結んでいる中小企業を乗っ取ろうとします。中小企業を乗っ取るごとに、最終目標に近づくのです。
以下の企業や組織は、危険にさらされている可能性があります。
- 防衛機関と契約のある企業。企業が保有するデータは貴重ですが、大規模な機関とのつながりはそれ以上に価値があります。
- 金融サービス会社。投資銀行を含む銀行は貴重な資産を持っています。しかし、より大規模な攻撃を形成するために利用される機密情報を保有している可能性があります。
- 法的機関。顧客や競合他社に関する情報は、APT攻撃者にとって非常に有益な可能性があります。
- 公益事業。通信回線や送電網などの主要なネットワークをダウンさせることは、大規模な攻撃において非常に有用です。
要するに、ほとんどすべての企業が、いつかはこのような攻撃に直面する可能性があるのです。
APT攻撃とはどのようなものか?
APTについて考える上で、「高度な」と「持続的な」という言葉を覚えておくことが非常に重要です。これらは最新のテクノロジーを駆使した攻撃であり、その目的は貴重な資産を引き出すために可能な限り長くシステム内に留まることです。
典型的な攻撃は、5つの段階を経て進行します。
- 侵入:フィッシングメール、不正アプリ、ソーシャルエンジニアリング、感染ファイルなどで、ハッカーはマルウェアを侵入させる機会を得ます。
- 定着:マルウェアが稼働すると、ハッカーはシステムに簡単にアクセスできるようになります。目標は潜伏することなので、ハッカーはコーディングスキルを使って痕跡を消すことがあります。
- 拡大:ハッカーは管理者権限を得る機会を探します。
- 拡散:ハッカーは他のサーバーを利用し、ネットワークの奥深くまで入り込みます。
- 持続: ハッカーは、何らかの目標を達成するまで潜伏し続けます。そして、必要に応じて再び戻ってこれるような機会を作る可能性もあります。
攻撃の仕方はそれぞれ少しずつ異なります。例えば、インフラや攻撃対象に関するデータを収集するために予備調査段階を実行するハッカーもいます。
しかし、これは長時間に及ぶ、技術的なプロセスであることを知っておいてください。
APTセキュリティプランの作成
APTの「持続的」に着目し、自社と自社の資産を守りましょう。攻撃を検出し、阻止する時間はあります。
ほとんどの企業は、以下のような従来のセキュリティ防御策を備えています。
- シグネチャベースのウィルス対策ツール
- 侵入検知プログラム
- ウイルススキャナー
- ネットワークベースのインスペクションツール( NGFWなど)
残念ながら、これらの従来のツールは標準的なAPTに対しては機能しません。このような攻撃は巧妙で、多くの場合、その道の第一人者が仕掛けてきます。自社を真に守るためには、既成概念にとらわれない発想が必要です。
まずは攻撃の兆候を理解することから始めましょう。以下の点にお気づきかもしれません。
- 深夜のログイン。攻撃は多くの場合、遠く離れたタイムゾーンに住む人々によって開始されます。
- 奇妙なデータの動き。大きなデータストリームが安全なコンピューターから外部のモニターに移動します。また、エクスポート待ちのデータの集合体が表示されることもあります。
- フィッシングターゲット。ほとんどのフィッシング詐欺は無作為に送付されます。適切な電子メールのドメイン名を持つ人なら誰にでも送られます。しかし、上級役員だけに送られるメールなど、戦略的な手口が見られる場合は、専門家の助けが必要かもしれません。
一部の企業は、ディープラーニングを利用して進行中の攻撃を特定しています。コンピューターは、ネットワークが正常な状態でどのように動作すべきかを学習し、人間よりもいち早く異常を検出することができます。こうしたプログラムの成功率は85%を超えますが、構築にはかなりの時間がかかります。
外部の力を借りるのも賢明かもしれません。このようなサービスを提供する企業の数は年々増加しており、その多くはシステムを監視し、必要に応じて対応する高度なプログラムを持っています。
ただし、ブロックしたつもりの攻撃がまだ進行中であるかもしれないことも忘れてはいけません。ハッカーの多くは裏口や罠をたくさん残していくため、いつでも好きなように戻ってくることができます。これらの侵入口をひとつ閉じたとしても、何百、何千もの侵入口が残っている可能性があるのです。
少なくとも一度でも攻撃を受けたことがある場合、再びこの問題に直面する可能性は高いでしょう。問題はそれがいつなのかということです。
従業員教育は、非常に重要です。このような攻撃の多くは、正式に見えるメールや無害に見える添付ファイルから始まります。常に攻撃されることを想定した考え方を身につけ、会社を破滅に追い込むような行動を取る前に、まずセキュリティ担当者に連絡するよう、組織の全メンバーに呼びかけましょう。
APTの発生源は?
わずかな時間と創造性があれば、どんなハッカーでもAPTを仕掛けることができます。ただし、通常、こうした問題の大半は海外で発生しています。
攻撃の大半は中国から発生していますが、他にも活発に活動している組織を持つ国があります。
- イラン
- 北朝鮮
- ロシア
- ウズベキスタン
- ベトナム
少数のAPTは米国でも発生しているようです。APTの手法が広まるにつれて、攻撃を受ける国も増えるでしょう。
Oktaと連携してオンプレミスリソースの保護の強化
APTの脅威は、実に高度で執拗です。しかし、専門家チームの助けがあれば、恐怖を乗り越えて未来に進むことができます。
当社は、お客様のセキュリティ環境を俯瞰し、現在の環境を把握し、お客様のためのセキュリティの壁を構築します。始めるにあたり、是非お問い合わせください。
参考文献
Assessing Outbound Traffic to Uncover Advanced Persistent Threat(2011年5月、SANS Technology Institute)
Advanced Persistent Threats (APTs)(2020年5月、Medium)
The Advanced Persistent Threat(2013年6月、Internet Security Alliance)
5 Signs You've Been Hit With an APT(2019年2月、CSO)
Early Detection of the Advanced Persistent Threat Attack Using Performance Analysis of Deep Learning(2020年9月、Cornell University)
Worldwide Advanced Persistent Threat Protection Industry to 2026: Key Drivers and Restraints(2021年1月、PR Newswire)