持続的標的型攻撃(APT): 従来とは異なる対応が必要(CA Security Reminder) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.15(金)

持続的標的型攻撃(APT): 従来とは異なる対応が必要(CA Security Reminder)

特集 特集

CA Security Reminder は、コンシューマライゼーションが進行する企業情報システムの情報セキュリティとアイデンティティ管理について考えます。

CA Technologies の Russell Miller がAPTを定義します。

--

持続的標的型攻撃(APT; Advanced Persistent Threat)は、従来のセキュリティリスクとは全く異なる問題を提示しています。Ponemon Instituteの見積りによると2011年におけるセキュリティ侵害の平均コストは550万ドルで、1セキュリティ侵害は企業の上層部にとっても重大な懸念事項となっています。

●定義

持続的標的型攻撃とは、標的とする対象を絞った長期的で高度な攻撃のことを指します。攻撃者は国家の支援を受けていることが多く、他国の政府から価値の高い機密情報を盗み出そうとします。また、攻撃元や攻撃対象は民間組織の場合もあります。この用語は2006年に米国空軍が使い始めたのが最初です。

The National Institute of Standards and Technology (NIST)は、APT攻撃を次のように定義しています。

「持続的標的型攻撃とは、高度な専門知識と十分なリソースを持つ攻撃者が、複数の攻撃ベクトル(サイバー攻撃、物理的な攻撃、詐欺など)を使用して目的達成の機会を作りだすための攻撃で、通常その目的とは、組織の情報技術インフラストラクチャ内に足がかりを築いて拡大し、継続的な情報の盗用、任務やプログラム、組織の重要な側面の妨害、また、将来そうした行為を行えるよう準備することにある。持続的標的型攻撃はまた、長期間にわたり繰り返し標的を追い続け、抵抗する相手の防御に対応して、目的の達成に必要なレベルのインタラクションを執拗に維持する」。

その定義には様々なものがありますが、持続的標的型攻撃とは何かを明らかにするには次の3つの言葉が役立ちます。

・ 高度: 攻撃者は、ターゲットの脆弱性を利用できる高度な技術能力を有します。これには大規模な脆弱性データベースやセキュリティ上の弱点にアクセスでき、コーディングスキルを持っているだけでなく、それまでは知られていなかった脆弱性を見つけ出し利用する能力も含まれることがあります。

・ 持続的: 多くの場合、APT攻撃は長期間にわたって行われます。一時的な機会を利用する短期間の攻撃と異なり、APT攻撃は数年間にわたって続くことがあります。インターネットベースの攻撃からソーシャルエンジニアリングまで、複数の攻撃ベクトルを使用することがあります。重要度の低いセキュリティ侵害を時間をかけて組み合わせ、もっと重要なデータへのアクセスに達することがあります。

・ 脅威: 脅威があるということは、動機と攻撃を成功させる能力の両方を持った攻撃者がいるということです。

組織化されたグループが大規模な攻撃の一部として自動化ツールを使用することはありますが、単に自動化ツールがあるだけではAPT攻撃とは考えられません。

●攻撃の4つの段階

典型的な持続的標的型攻撃は、次の4つの段階で構成される可能性があります。

1. 偵察: 組織の脆弱性についての調査。これにはドメインクエリなど基本的な調査から継、続ポ的なー悪ト用や: 脆弱性のスキャンが含まれることがあります。

2. 初期侵入: 脆弱性を利用してターゲットのネットワークに足がかりを作ります。これは高度な技術的手法を使用する場合や、スピアフィッシング(特定のターゲットを標的としたフィッシング)などを使用して単一システムへの通常のユーザアクセスを獲得する場合があります。「ソーシャルエンジニアリング」や人を利用することも、アクセスを獲得するのによくある方法です。

3. 特権の引き上げとコントロールの拡大: 攻撃者はネットワーク境界への侵入に成功すると、さらなる特権を得て重要なシステムへのコントロールを獲得しようとします。後でネットワークに簡単にアクセスできるように、この段階で「バックドア」ツールを設置することもあります。

4. 継続的な悪用: 攻撃者は一度コントロールを確立すると、継続的に機密データのエクスポートを行うことがあります。第3から第4の段階は、検知されるリスクを減らすために数年間をかけて行われることがあります。

(※この記事は「持続的標的型攻撃(APT):徹底的な防御」の一部を抜粋しました)

(Russell Miller)

筆者略歴:CA Technologies において、ネットワークセキュリティの分野で倫理的ハッキングから製品マーケティングまで様々な役割を務める。現在、CA ControlMinder および CA ControlMinder for Virtual Environments のマーケティング活動を統括
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  5. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  6. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  7. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  10. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×