持続的標的型攻撃(APT): APTが他の攻撃と異なる点(CA Security Reminder) | ScanNetSecurity
2021.06.23(水)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

持続的標的型攻撃(APT): APTが他の攻撃と異なる点(CA Security Reminder)

以前は攻撃者が侵入しやすいターゲットを選んでいたため、他の企業より効果の高いセキュリティを備えるだけで事足りました。しかしAPT攻撃の登場によって、強い動機を持ち、別のターゲットに向かわずに時間をかけて脆弱性を探す敵に打ち勝つことが必要になったのです。

特集 特集
CA Security Reminder は、コンシューマライゼーションが進行する企業情報システムの情報セキュリティとアイデンティティ管理について考えます。

前回に引きつづき、CA Technologies の Russell Miller が、持続的標的型攻撃(APT)の既存の攻撃手法との違いを考える。

--

●APTが他の攻撃と異なる点

APT攻撃と「通常」の脅威との決定的な違いは、特定の組織が標的とされることです。「境界」を防御し標準的なセキュリティコントロールを使用すれば、標準的な攻撃からは組織を保護できるかもしれませんが、APT攻撃に対抗するには十分ではありません。執拗な攻撃者は新しい脆弱性が見つかるまで時間をかけたり、一見ささいな脆弱性を複数組み合わせて大規模でダメージの大きい攻撃へと発展させることができます。

このような脅威に直面したとき、通常のやり方では対応できません。以前は多くの攻撃者が侵入しやすいターゲットを選んでいたため、多くの組織にとっては、インターネットに接続する他の組織や企業より効果の高いセキュリティを備えるだけで事足りました。しかしAPT攻撃の登場によって、強い動機を持ち、別のターゲットに向かわずに時間をかけて脆弱性を探す敵に打ち勝つことが必要になったのです。

APTは攻撃にかける期間が長いこともあって、検知が特に困難になっています。標準的なセキュリティ侵害では、短期間で大量のデータがエクスポートされることがあるため、ファイアウォールや侵入検知システムによる検知が可能です。しかしAPTの攻撃者は数か月、あるいは数年をかけてターゲットとするデータをエクスポートすることがあるため、フル機能を備えた優れた構成のシステムでも検知は困難です。

●目的

ターゲットを絞るという性質から多くの場合、APT攻撃の犯人は標準的なインターネットハッカーとは異なる目的を持っており、単なる盗難や遊びではなく、たとえば次のような目的が中心であることが多くなっています。

・政治的な操作
・軍事スパイ
・経済スパイ
・技術スパイ
・金銭的な恐喝

●ターゲット

APT攻撃はしばしば政治がらみで国家が資金を出しているという性質があるため、特定の種類の組織が狙われるリスクが高くなります。

・政府機関
・防衛機関や防衛関係の業者
・重要な社会基盤システム(公益事業、通信システム、輸送システムなど)
・政治団体
・金融機関
・テクノロジ企業

●実例

・RSA … 2011年、RSA SecurityはAPT攻撃の被害を受けたと発表しました。6攻撃者は内部のユーザをだまし、AdobeFlashのゼロデイ脆弱性を悪用したスプレッドシートを添付した電子メールを開かせ、初期侵入を達成しました。そこから特権のレベルを上げ、バックドアを設置し、他のシステムへのコントロールを獲得しました。

攻撃者は、SecurIDとして知られる二要素認証トークンの関連情報を保管するRSAシステムにアクセスすることができました。この情報には「シード」値が含まれていた可能性があり、その値は60秒で変更されるワンタイムパスワードの生成にRSAがトークンとともに使用しているものでした。ソースコード自体が盗まれた場合は、攻撃者はSecurID実装の脆弱性や暗号そのものさえ見つけることが可能です。

・Operation Aurora … Operation Auroraとは、Google、Adobe、Rackspace、Juniper Networksなど多数の大企業を標的として行われたAPT攻撃です。メディア記事はYahoo、Northrup Grumman、Morgan Stanley、Symantec、DowChemicalなど、他にも多くの企業も狙われたことを示唆しています。7中国の共産党政治局が、米国や他の西洋諸国への大規模な組織的作戦の一部として攻撃を指示したと考えられています。

(※この記事は「持続的標的型攻撃(APT):徹底的な防御」の一部を抜粋しました)

(Russell Miller)

筆者略歴:CA Technologies において、ネットワークセキュリティの分野で倫理的ハッキングから製品マーケティングまで様々な役割を務める。現在、CA ControlMinder および CA ControlMinder for Virtual Environments のマーケティング活動を統括
《ScanNetSecurity》

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

IPAやJPCERT/CCより先に連絡を ~ Microsoft がバウンティハンターへ呼びかけ 画像

IPAやJPCERT/CCより先に連絡を ~ Microsoft がバウンティハンターへ呼びかけ
Microsoft Power Appsの欠陥でメールやTeams のメッセージ、OneDriveのファイル盗取の可能性 画像

Microsoft Power Appsの欠陥でメールやTeams のメッセージ、OneDriveのファイル盗取の可能性
我らかく戦えり 第2回「努力の払い損にはならない、送信側にも目に見える効果をもたらす DMARC」 画像

我らかく戦えり 第2回「努力の払い損にはならない、送信側にも目に見える効果をもたらす DMARC」
日立仮想ファイルプラットフォーム製品における OS コマンドインジェクションの脆弱性 画像

日立仮想ファイルプラットフォーム製品における OS コマンドインジェクションの脆弱性
Hitachi Application Server ヘルプにXSSの脆弱性 画像

Hitachi Application Server ヘルプにXSSの脆弱性
病院向け情報管理システム OpenClinic GA に複数の脆弱性 画像

病院向け情報管理システム OpenClinic GA に複数の脆弱性

インシデント・事故 記事一覧へ

セゾン自動車火災保険の契約者専用ページに不正ログイン、約1万件が被害に 画像

セゾン自動車火災保険の契約者専用ページに不正ログイン、約1万件が被害に
大阪メトロサービスのメールサーバへ不正アクセス、不審メール送信の踏み台に 画像

大阪メトロサービスのメールサーバへ不正アクセス、不審メール送信の踏み台に
ランサムウェア被害の岡野バルブ製造、調査結果と再発防止策を発表 画像

ランサムウェア被害の岡野バルブ製造、調査結果と再発防止策を発表
エスプレッソマシン専門ECサイトへ不正アクセス、最大2,551枚のカード情報流出の可能性 画像

エスプレッソマシン専門ECサイトへ不正アクセス、最大2,551枚のカード情報流出の可能性
パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認 画像

パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認
スポーツクラブNASへランサムウェア攻撃、会員管理システムに障害発生 画像

スポーツクラブNASへランサムウェア攻撃、会員管理システムに障害発生

調査・レポート・白書 記事一覧へ

プルーフポイント、パンデミックの1年間を経て世界のCISOが直面する課題を調査「2021 Voice of the CISO」発表 画像

プルーフポイント、パンデミックの1年間を経て世界のCISOが直面する課題を調査「2021 Voice of the CISO」発表
「情報通信業」では9割以上がテレワーク導入、インターネットへの不安は「情報漏えい」が9割超 画像

「情報通信業」では9割以上がテレワーク導入、インターネットへの不安は「情報漏えい」が9割超
「デジタル子会社」に分類される企業は47社中5社と僅か、不足する職種や能力を補う方法を提示 画像

「デジタル子会社」に分類される企業は47社中5社と僅か、不足する職種や能力を補う方法を提示
7割が知らない、ダークウェブ認知度 画像

7割が知らない、ダークウェブ認知度
「ICTサイバーセキュリティ総合対策2021」(案)への意見募集、COVID-19 対応を受けたセキュリティ対策を推進 画像

「ICTサイバーセキュリティ総合対策2021」(案)への意見募集、COVID-19 対応を受けたセキュリティ対策を推進
公開Webサイトのほとんどに何らかの脆弱性 ~ IPA 2020年度サイバーセキュリティお助け隊報告書から 画像

公開Webサイトのほとんどに何らかの脆弱性 ~ IPA 2020年度サイバーセキュリティお助け隊報告書から

研修・セミナー・カンファレンス 記事一覧へ

プルーフポイント、サイバージムと共同で内部脅威をテーマとしたWebセミナーを開催 画像

プルーフポイント、サイバージムと共同で内部脅威をテーマとしたWebセミナーを開催
NICT、3Dモデリングの Interop Tokyo 2021 展示会場オンライン公開 画像

NICT、3Dモデリングの Interop Tokyo 2021 展示会場オンライン公開
クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威 画像

クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威
質疑応答は無制限、CrowdStrikeがエンドポイント保護のウェビナー6月24日開催 画像

質疑応答は無制限、CrowdStrikeがエンドポイント保護のウェビナー6月24日開催
リセラー・SIer 対象、Proofpoint Email Security 商談事例と販売方法 オンライン解説 画像

リセラー・SIer 対象、Proofpoint Email Security 商談事例と販売方法 オンライン解説
実践的サイバー防御演習「CYDER」の2021年度開催概要を公開、Cコース(準上級)、オンラインAコース(初級)を新設 画像

実践的サイバー防御演習「CYDER」の2021年度開催概要を公開、Cコース(準上級)、オンラインAコース(初級)を新設

製品・サービス・業界動向 記事一覧へ

「Proofpoint CASB」、Microsoft Teams の DLP パートナーに認定 画像

「Proofpoint CASB」、Microsoft Teams の DLP パートナーに認定
「セキュリティ専門家による訪問指導4回」中小企業が考える適正価格 画像

「セキュリティ専門家による訪問指導4回」中小企業が考える適正価格
FireEye、製品事業を現金12億ドルで売却 画像

FireEye、製品事業を現金12億ドルで売却
東証一部上場の人材派遣大手、全社員2万人に多要素認証導入 画像

東証一部上場の人材派遣大手、全社員2万人に多要素認証導入
MBSDと米Cloudflare業務提携、Cloudflare WAFのマネージドサービス開始 画像

MBSDと米Cloudflare業務提携、Cloudflare WAFのマネージドサービス開始
オンプレミス版 純国産ログ分析プラットフォーム「LogStare Quint」出荷開始 画像

オンプレミス版 純国産ログ分析プラットフォーム「LogStare Quint」出荷開始

おしらせ 記事一覧へ

セキュリティ業界最強の「ヤバイTシャツ屋」でも売っていないもの ~ 2021年 CrowdStrike カレンダー読者プレゼント 画像

セキュリティ業界最強の「ヤバイTシャツ屋」でも売っていないもの ~ 2021年 CrowdStrike カレンダー読者プレゼント
ScanNetSecurity システム更新のお知らせ 画像

ScanNetSecurity システム更新のお知らせ
特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄 画像

特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄
ScanNetSecurity 創刊22周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊22周年御礼の辞(上野宣)
上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity) 画像

上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity)
上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード) 画像

上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード)
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×