持続的標的型攻撃(APT): 従来とは異なる対応が必要(CA Security Reminder) | ScanNetSecurity
2024.03.29(金)

持続的標的型攻撃(APT): 従来とは異なる対応が必要(CA Security Reminder)

持続的標的型攻撃とは、標的とする対象を絞った長期的で高度な攻撃のことを指します。攻撃者は国家の支援を受けていることが多く、他国の政府から価値の高い機密情報を盗み出そうとします。この用語は2006年に米国空軍が使い始めたのが最初です。

特集 特集
CA Security Reminder は、コンシューマライゼーションが進行する企業情報システムの情報セキュリティとアイデンティティ管理について考えます。

CA Technologies の Russell Miller がAPTを定義します。

--

持続的標的型攻撃(APT; Advanced Persistent Threat)は、従来のセキュリティリスクとは全く異なる問題を提示しています。Ponemon Instituteの見積りによると2011年におけるセキュリティ侵害の平均コストは550万ドルで、1セキュリティ侵害は企業の上層部にとっても重大な懸念事項となっています。

●定義

持続的標的型攻撃とは、標的とする対象を絞った長期的で高度な攻撃のことを指します。攻撃者は国家の支援を受けていることが多く、他国の政府から価値の高い機密情報を盗み出そうとします。また、攻撃元や攻撃対象は民間組織の場合もあります。この用語は2006年に米国空軍が使い始めたのが最初です。

The National Institute of Standards and Technology (NIST)は、APT攻撃を次のように定義しています。

「持続的標的型攻撃とは、高度な専門知識と十分なリソースを持つ攻撃者が、複数の攻撃ベクトル(サイバー攻撃、物理的な攻撃、詐欺など)を使用して目的達成の機会を作りだすための攻撃で、通常その目的とは、組織の情報技術インフラストラクチャ内に足がかりを築いて拡大し、継続的な情報の盗用、任務やプログラム、組織の重要な側面の妨害、また、将来そうした行為を行えるよう準備することにある。持続的標的型攻撃はまた、長期間にわたり繰り返し標的を追い続け、抵抗する相手の防御に対応して、目的の達成に必要なレベルのインタラクションを執拗に維持する」。

その定義には様々なものがありますが、持続的標的型攻撃とは何かを明らかにするには次の3つの言葉が役立ちます。

・ 高度: 攻撃者は、ターゲットの脆弱性を利用できる高度な技術能力を有します。これには大規模な脆弱性データベースやセキュリティ上の弱点にアクセスでき、コーディングスキルを持っているだけでなく、それまでは知られていなかった脆弱性を見つけ出し利用する能力も含まれることがあります。

・ 持続的: 多くの場合、APT攻撃は長期間にわたって行われます。一時的な機会を利用する短期間の攻撃と異なり、APT攻撃は数年間にわたって続くことがあります。インターネットベースの攻撃からソーシャルエンジニアリングまで、複数の攻撃ベクトルを使用することがあります。重要度の低いセキュリティ侵害を時間をかけて組み合わせ、もっと重要なデータへのアクセスに達することがあります。

・ 脅威: 脅威があるということは、動機と攻撃を成功させる能力の両方を持った攻撃者がいるということです。

組織化されたグループが大規模な攻撃の一部として自動化ツールを使用することはありますが、単に自動化ツールがあるだけではAPT攻撃とは考えられません。

●攻撃の4つの段階

典型的な持続的標的型攻撃は、次の4つの段階で構成される可能性があります。

1. 偵察: 組織の脆弱性についての調査。これにはドメインクエリなど基本的な調査から継、続ポ的なー悪ト用や: 脆弱性のスキャンが含まれることがあります。

2. 初期侵入: 脆弱性を利用してターゲットのネットワークに足がかりを作ります。これは高度な技術的手法を使用する場合や、スピアフィッシング(特定のターゲットを標的としたフィッシング)などを使用して単一システムへの通常のユーザアクセスを獲得する場合があります。「ソーシャルエンジニアリング」や人を利用することも、アクセスを獲得するのによくある方法です。

3. 特権の引き上げとコントロールの拡大: 攻撃者はネットワーク境界への侵入に成功すると、さらなる特権を得て重要なシステムへのコントロールを獲得しようとします。後でネットワークに簡単にアクセスできるように、この段階で「バックドア」ツールを設置することもあります。

4. 継続的な悪用: 攻撃者は一度コントロールを確立すると、継続的に機密データのエクスポートを行うことがあります。第3から第4の段階は、検知されるリスクを減らすために数年間をかけて行われることがあります。

(※この記事は「持続的標的型攻撃(APT):徹底的な防御」の一部を抜粋しました)

(Russell Miller)

筆者略歴:CA Technologies において、ネットワークセキュリティの分野で倫理的ハッキングから製品マーケティングまで様々な役割を務める。現在、CA ControlMinder および CA ControlMinder for Virtual Environments のマーケティング活動を統括
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×