高度持続的脅威攻撃(APT攻撃)とは、攻撃者がネットワークへの不正アクセスを得た後、侵入を継続し、長期間にわたり検知されずに潜伏するタイプのサイバー攻撃です。APT攻撃の目的は、貴重なデータを盗み、脅威の偵察を行い、組織の事業継続性を長期的に妨害することです。APT攻撃は巧妙に仕組まれており、実行には非常に長い時間を要します。
これらは熟練したハッカー集団、国家レベルの主体、組織的な犯罪組織によって仕掛けられます。これらのグループは、強固な足場を築いた後、ネットワークの異なる部分へ横方向に移動して情報を収集することが知られています。APT攻撃は、巧妙に隠蔽され、攻撃者が時間の経過とともに戦術を適応・進化させて組織の強化された防御を回避できるため、防御が困難です。
高度な持続的脅威(APT)とは?
高度持続的脅威(Advanced Persistent Threat)攻撃はステルス型のサイバー攻撃であり、隠密に行われます。攻撃者が組織に関する十分な情報を収集するまで、その存在は露見しません。攻撃者がインフラ調査に費やす時間は驚くほど長く、被害者は全く気付かない。APT攻撃が成功したことは、攻撃の兆候を全く察知できなかった時に初めて判明する。
APT攻撃が危険なのは、攻撃者が標的を継続的に監視しあらゆる手段で侵害を試みる持続性にある。攻撃者はまた、さまざまな角度から悪用を探り、ターゲットをさらに侵害できるかどうかを確認します。これが、高度な持続的脅威攻撃を通常のサイバー攻撃と区別する点です。
APTはどのように機能するのか?
APT攻撃は多層化することができ、他のタイプのサイバー攻撃と比較した場合、それがAPTを非常にユニークなものにしている理由です。攻撃者は標的に関する情報を収集するため、戦術をカスタマイズします。彼らは計画に膨大な時間と細部へのこだわりを注ぎ込みます。他のサイバー攻撃では、攻撃者は汎用的なマルウェアを仕掛け広範囲に拡散させ、可能な限り多くのシステムを感染させることを狙うかもしれません。しかしAPT攻撃は複数の層と段階に分割できます。
彼らはネットワークへの侵入と内部での横方向移動に様々な手法を用いる可能性があります。攻撃者は、ソーシャルエンジニアリングや フィッシング メールを組み合わせて、ユーザーを騙して機密情報を引き出そうとするかもしれません。ソフトウェアやハードウェアの脆弱性を悪用し、ネットワークへの侵入を図る場合もあります。
APT攻撃は適応性が高く、絶えず変化し、予想外の角度から攻撃を仕掛けてくるため、対抗が困難です。予測可能なパターンが存在しないため、組織は強力で多角的なサイバーセキュリティ戦略を実装する必要があります。高度な持続的脅威の攻撃を防止し、自らを守る方法を習得するには、それが唯一の方法です。
高度な持続的脅威を検出する方法とは?
警告サインを認識することで、高度な持続的脅威の攻撃を検出し、その防止方法を学ぶことができます。注意すべき点を以下に示します:
- トラフィック量の急増や、内部デバイスから外部ネットワークや他ネットワークへの異常なデータフローは、通信が侵害されている兆候である可能性があります。業務時間外に仕事用アカウントにアクセスされたり、不審なログインに気づいた場合は、その答えがわかります。
- APT攻撃はバックグラウンドで潜伏し、継続的に重要情報を収集し続ける可能性があります。
- バックドアを構築するマルウェア感染が繰り返し発生することも兆候です。これによりAPT攻撃者は将来的な悪用機会を得ます。マルウェアを拡散させるバックドア、特に繰り返し出現しネットワークに侵入するものを警戒してください。
- 本来存在すべきでない場所にギガバイト単位の大量データが突然出現する場合、APT攻撃の明確な兆候です。組織が通常使用しないアーカイブ形式でデータが圧縮されている場合、直ちに調査を開始する必要があります。
- 組織内の特定の従業員が奇妙なメールを受信している場合、標的となっている可能性があります。APT 攻撃者は、一般的にスピアフィッシングメールを使用しており、これは APT 攻撃のキルチェーンにおいて最も重要な要素のひとつである、侵入の初期段階を形成しています。
- 攻撃者はまた、エンドポイントを調査し、分析するために多くの時間を費やします。セキュリティポリシーの脆弱性を探し、システムのコンプライアンス違反を引き起こすなど、あらゆる欠陥や弱点を悪用しようと試みます。
APT攻撃を防止・軽減するためのベストプラクティス
高度な持続的脅威(APT)攻撃を阻止する方法を学ぶための第一歩は、その攻撃が標的とするデータのカテゴリーと分類方法を理解することです。APT攻撃は、知的財産に関する情報を密かに盗み出し、金融犯罪や窃盗を引き起こし、組織の破壊を目的とします。
ハクティビストもまた、企業を暴露し情報を漏洩させることを狙います。高度な持続的脅威攻撃には3つの段階があります:侵入、エスカレーションと横方向移動、そして情報漏洩です。データ漏洩は最終段階であり、彼らは発見されることなく文書やデータから情報を抽出します。攻撃者はボトルネックや注意散漫戦術を用いて大量のホワイトノイズを発生させ、被害者の注意をそらす可能性があります。DNSトンネリングは検知が困難なため、厳重なスクリーニングが必要です。
APT攻撃を防止・軽減するためのベストプラクティスは以下の通りです:
- ネットワークパラメータの監視を開始し、最適なエンドポイントセキュリティソリューションを導入してください。侵入トラフィックと流出トラフィックを分析し、バックドアの作成を防止するとともに、盗まれたデータの抽出試行をブロックする必要があります。
- 最新のWebアプリケーションファイアウォールを導入し、システムにパッチを適用して常に最新の状態を維持してください。これにより脆弱な攻撃対象領域を保護し、影響範囲を最小化できます。
- これらの脅威に対処する際、ファイアウォールはアプリケーション層攻撃を隔離し、RFIやSQLインジェクションの試行を防止します。内部トラフィック監視ツールは詳細な可視性を提供し、異常なトラフィック行動の検出を支援します。
- システムへのアクセスを監視し、機密ファイルの共有を防止できます。バックドアシェルを削除し、攻撃者のリモートリクエストを通過させないことでインフラの脆弱性を検出します。
- 許可リスト(アロワリスト)により、ドメイン管理やユーザーがインストール可能なアプリのホワイトリスト化が可能です。アプリケーションのインストールや利用可能な攻撃対象領域を制限することで、APT攻撃の成功率を低下させることができます。ただし、信頼性の高いドメインでさえ侵害される可能性があるため、この方法が常に有効とは限りません。
- 攻撃者は悪意のあるファイルを正当なソフトウェアに見せかける可能性があります。許可リストを機能させるには、厳格な更新ポリシーを実施し、ユーザーが許可リスト上の全アプリの最新バージョンを使用していることを認識させる必要があります。
APT 攻撃の実例
APT 攻撃の実例をいくつかご紹介します。
- 実世界における APT 攻撃の典型的な例は、RAM Scraper 攻撃による Target データ侵害事件です。この事件は10年前に発生しましたが、史上最も成功した高度持続的脅威攻撃の一つとなりました。攻撃者は侵害されたベンダーを悪用し、標的のエコシステムへの不正アクセス権を獲得しました。標的のPOS端末に侵入し、約3週間にわたりネットワークに潜伏し続け、約400億枚のクレジットカード情報を盗み出しました。攻撃者はこの膨大なデータを単一の転送で密かに持ち出した。
- カスペルスカイはラザルス派生グループによる新たなAPT攻撃を発見した。攻撃者は既知のマルウェア「DTrack」を改変し、新規開発の「Maui」ランサムウェアを使用した。標的は世界中の著名組織であった。同グループは攻撃地域を拡大し、ランサムウェア株で公共機関や医療機関を攻撃した。マルウェアは埋め込みシェルコードとして展開・実行され、最終的なWindowsインメモリペイロードをロードした。DTrackは一連のWindowsコマンドを通じてシステムデータとブラウザ履歴を収集した。標的ネットワーク内での潜伏期間は、活動が検知されるまで数ヶ月間に及んだ。
- LuckyMouseグループは、Mimiメッセージングサービスのトロイの木馬型亜種を用いて組織へのバックドアアクセスを獲得した。macOS、Windows、Linuxデバイスを標的とし、台湾とフィリピンで少なくとも13社を乗っ取った。
- ロシア支援のSEABORGIUMと名乗るグループも、5年間にわたり欧州でスパイ活動を実施。一連のフィッシングメールを用いてOneDriveとLinkedInアカウントに侵入した。
脅威インテリジェンスの強化結論
強力なアクセス制御は、高度で持続的な脅威(APT)に対する最初の防御手段となります。また、エンドポイント検出と対応(EDR)および拡張検知・対応(XDR)ソリューションを導入し、APT脅威に対抗するとともに、インフラストラクチャへのリアルタイム可視性を確保してください。ペネトレーションテストとトラフィック監視が鍵となります。組織のAPT攻撃に対する検知・対応・防御能力を向上させることで、将来の攻撃発生確率を低減できます。セキュリティを包括的に捉え、適切なサイバー衛生管理を徹底することで、攻撃者がユーザーの軽信につけ込んだり、潜在的なシステム欠陥や脆弱性を悪用したりする余地をなくします。自ら早期に発見できる体制を整えることが肝要です。
FAQs
APTとは、ネットワークに潜入し迅速な検知を回避する隠れたサイバー脅威です。攻撃者は数週間から数か月かけて企業を調査し、弱点を探った上で攻撃を仕掛けます。データ窃取、業務妨害、機密情報の収集などが目的です。
APTが「持続的」と呼ばれるのは、完全に消えることがないためです。潜伏を続け、最も警戒していない瞬間に再び行動を起こす準備をしています。
攻撃者は十分な時間をかけて計画を練り、通常のセキュリティルールを回避する方法を知っているため、阻止が困難です。コードを偽装したり、ネットワーク内を移動して痕跡をほとんど残さなかったりします。防御が強化されても素早く適応するため、潜伏を続けられます。忍耐強く行動するため、より多くのデータを奪取したり、さらに大きな損害を与える機会を得られるのです。
APTグループはしばしばステルススパイのように行動します。フィッシングメールや脆弱なアプリケーションを通じて潜入し、内部システムを慎重に移動します。価値あるファイルを監視し、機密情報を収集し、より深い攻撃を仕掛ける準備を整えます。
日常的に使用されるソフトウェアに潜伏することもあり、誰も問題に気づきません。異変に気づいた時には、既に標的の重要資産を網羅的に把握しているのです。
高度持続的脅威(APT)は忍耐力、ステルス性、巧妙な攻撃手法を重視します。大企業や政府機関など特定の標的を厳選する傾向があります。これらの脅威は長期間にわたり活動を続け、内部情報を収集した後に攻撃を実行します。
隠蔽されたマルウェアや偽のログイン情報など、様々な手法を用いて通常の通信に紛れ込みます。一度侵入すると、セキュリティ対策の強化にも適応するため、継続的な脅威となります。
組織は警戒を強化し迅速に対応することでAPTに対抗できます。異常なデータフローや不審なログイン試行を検知するため、ネットワークの綿密な監視が必要です。不審なメールを遮断し、既知の脆弱性を修正するため全ソフトウェアを更新します。脅威を発見した場合は、影響を受けたシステムを隔離し、問題の原因を徹底的に調査すべきです。このアプローチにより攻撃者を遮断し、重要なデータを将来の被害から保護できます。
企業は常にネットワークを監視し、強力なパスワードルールを設定すべきです。また、新しいパッチを確認し、すぐにインストールすることで、システム内の危険な脆弱性を塞ぐことができます。
一部の組織では、犯罪者に先んじて防御の穴を見つけるため、セキュリティテスターを雇っています。従業員が不審なメールやリンクを察知できれば、攻撃が定着する前に阻止できるため、スタッフ研修も有効です。
APT攻撃者はフィッシング、スピアフィッシング、ゼロデイ攻撃といったステルス手法に依存します。感染ファイルを開かせたり怪しいリンクをクリックさせたりして侵入します。内部に潜入すると、通常のシステムプロセスに偽装して早期検知を回避します。バックドアを設置してアクセスを維持したり、隠れた経路で盗んだデータを転送したりすることもあります。時間の経過とともに、攻撃者は更新を回避し標的への支配を維持するため、戦術を高度化させます。