APT攻撃とはどのような攻撃かご存じでしょうか。APT攻撃はサイバー攻撃の中でも執拗で、危険度が高い攻撃です。そのため、APT攻撃から身を守るために、総合的なセキュリティ対策が必要不可欠となります。本記事では、APT攻撃の概要から、対策までを解説します。自社をAPT攻撃から守る参考にしてください。
APT攻撃とは
APT攻撃とは、Advanced(高度)Persistent(持続的)Threat(脅威)の頭文字をとったもので、高度で持続的な脅威となるサイバー攻撃の一種です。
APT攻撃は特定の組織や企業を攻撃対象とするため、標的型攻撃と近い性質を持ちますが、APT攻撃と標的型攻撃は目的や手法、期間が異なります。
ここではAPT攻撃の概要と、標的型攻撃との違いを解説します。
APT攻撃の概要
APT攻撃は、機密情報の窃取や破壊といった目的で行われることが多く、長期間にわたって継続的に攻撃を行う点が特徴です。また、攻撃対象の組織は、「攻撃されている」という事に気付いていないケースがほとんどです。
攻撃者は、フィッシングメール、ゼロデイ攻撃、ソーシャルエンジニアリング、脆弱性をついた攻撃などによりシステムに侵入を試みます。
標的のシステムに侵入したら、バックドアを設置し、検知されないように「目立たず」「静か」にシステムの奥深くまで入り込み情報の収集、窃取を行います。
そのため、攻撃を受けた組織や企業は、侵入されていることに気付かず、外部からの指摘により発覚する場合がほとんどです。
APT攻撃と標的型攻撃の違い
APT攻撃と標的型攻撃は、どちらも組織や企業、特定の個人を狙ったサイバー攻撃ですが、その目的や期間、手法が異なります。
APT攻撃は主に、情報の窃取や破壊が目的です。情報の窃取が目的であれば、窃取し続けられるように目立った行動は起こしません。破壊が目的の場合は、重要な情報が他にないかを調べるために、くまなくシステム内を探索します。そのため、APT攻撃は長期間にわたり攻撃が続く傾向があります。
また、特定の組織や企業内にある重要情報が目的のため、攻撃対象のセキュリティが強固な場合でも、高度な攻撃手法を用いて継続的に侵入を試みます。
標的型攻撃は、金銭を得ることを目的にしている場合が多く、セキュリティの甘い企業や組織、個人を標的とします。これは、標的型攻撃が、主に金銭目的であり、侵入対象を問わないため効率よく侵入できる、セキュリティの甘い対象を狙うためです。
特に近年はRaas(Ransomware as a Service)といった、ランサムウェア攻撃を提供するサービスが登場し、それほどスキルを持たない攻撃者でもランサムウェアを使った金銭目的のサイバー攻撃が可能です。
しかし、ランサムウェアはデータを暗号化するため、攻撃されたことがすぐに発覚します。そのため、標的型攻撃の多くは、比較的短期間で終了する傾向があります。
ゼロデイ攻撃とAPT攻撃の併用
ゼロデイ攻撃とAPT攻撃の併用は、サイバー攻撃の中でも特に高度で危険な手法です。
ゼロデイ攻撃とは、ソフトウェアやハードウェアの脆弱性が発見され、対策される前に仕かける攻撃手法を指します。対策が確立していないため、攻撃を防ぐことが難しいです。
一方、APT攻撃は情報の窃取や破壊を行うために、まずは標的のシステムに侵入する必要がありますが、すでに対策の講じられている手法では攻撃時に検知されるため、侵入を防ぐことが可能です。
そのため攻撃者はゼロデイ攻撃とAPT攻撃を併用し、APT攻撃の成功率を高めようとします。そして、ゼロデイ攻撃によりシステムへ侵入を果たし、バックドアの設置により継続的な攻撃へ移行します。
APT攻撃の手口と段階
APT攻撃は、標的の組織や企業の情報を窃取したり破壊したりすることを目的にしています。しかし、標的とされる組織や企業もサイバー攻撃に対する備えを厳重にしている場合がほとんどです。
そのため、APT攻撃を成功させるために、入念に弱点を収集するのです。そして、一旦侵入を果たした後は、段階を踏んで情報を窃取したり破壊したりします。
ここでは、APT攻撃の手口と段階を解説します。
攻撃準備段階
攻撃準備段階では、攻撃者が標的に関する情報を収集し攻撃の計画を立てます。
まずは、Webサイトや公開されている資料をもとにして、標的の弱点を見つけ出します。
例えば、標的のWebサイトに載っている社員情報をもとに、SNSやニュースをチェックしメールアドレスや実際のやり取りを入手するといった方法です。取引先や関連会社などを攻撃し、やり取りしたメールを入手することもあります。
不用意な攻撃は標的側の警戒心を向上させるため、この段階ではまだ攻撃は行いません。ここでは、攻撃の成功確率を向上させるための情報を入念に収集するに留めます。入手したメールアドレスや、やり取りしたメールなどを用いて、初期潜入の成功率を向上させるのです。
初期潜入段階
初期潜入段階では、攻撃者が標的のネットワークへの侵入を試みます。標的が備えているサイバー攻撃対策機能を回避するために、多様な手法を用います。主な侵入方法を見ていきましょう。
フィッシングメール
フィッシングメールは、標的となる社員に不正なメールを送り、マルウェアに感染させたり、ダウンロードさせたりする手法です。信頼できる取引先や上司を装ったメールを送り、メールや添付ファイルを開かせることでマルウェアに感染させます。
しかし、セキュリティ意識の高い社員は、不審な相手からのメールや添付ファイルを安易に開くことはありません。
ここで攻撃者が利用する情報が、攻撃準備段階で入手したメールアドレスや、実際にやり取りしたメールです。やり取りしたメールをもとにすれば、メールの書き方や表現の仕方を偽装することもできるでしょう。
知っている取引先が相手で、自分自身に関係しそうなメールであれば警戒心が緩み、メールや添付ファイルを開く可能性が上がります。
攻撃者はこのようなメールを複数の社員に対して送付し、1人でもメールや添付ファイルを開かせようとしてきます。
サプライチェーン攻撃
初期潜入段階では、直接攻撃をせずにサプライチェーン攻撃を行う場合もあります。サプライチェーン攻撃は、標的の取引先やサプライヤーを経由して攻撃を行う手法です。
例えば、大きな組織や大企業はセキュリティが高く、直接侵入できません。そこで、セキュリティが手薄な取引先企業や子会社に対してサイバー攻撃を行い、取引先企業や子会社を経由して標的のネットワークに侵入するのです。
また、標的が利用しているOSやソフトウェアのアップデートにマルウェアを仕込み、脆弱性のアップデートとして適用させるケースもあります。特に、OSS(オープンソースソフトウエア)の公式パッチや、取引先や子会社が開発したプログラムであれば、疑うことなくアップデートするでしょう。
このようにして、標的以外の取引先や子会社も狙われる場合があります。
ゼロデイ攻撃
ゼロデイ攻撃とAPT攻撃の併用で解説したように、ゼロデイ攻撃を伴うケースが多くあります。
上述したフィッシングメールやサプライチェーンによる侵入は、組織や企業のサイバー攻撃対策機能により検知される可能性があります。そこで、フィッシングメールやサプライチェーンとゼロデイ攻撃を組み合わせて、標的のサイバー攻撃対策機能を回避して侵入を果たすのです。
ソーシャルエンジニアリング
APT攻撃の初期侵入段階では、ソーシャルエンジニアリングを利用してユーザIDやパスワードを盗み出す可能性もあります。
ソーシャルエンジニアリングとは、人間の心理的な隙や行動のミスを利用してユーザIDやパスワードといった機密情報を盗み出す手法です。
ソーシャルエンジニアリングには以下の手法があります。
| 手法 | 説明 |
|---|---|
| なりすまし) | 関係者に成りすまし、電話やメールで機密情報を聞き出す方法 |
| ショルダーハッキング | 社員がユーザIDやパスワードを入力するときに、肩越しに盗み見する方法 |
| トラッシング | 社員がいないときにパソコンのごみ箱をあさって、機密情報を収集する方法 |
このように、侵入のために攻撃者が標的に実際に接触するケースもあります。
攻撃基盤構築段階
攻撃基盤構築段階では、攻撃者が標的に常時侵入できるようにバックドアを仕掛けます。
そして、C&Cサーバ(Command and Controlサーバ:サイバー攻撃者がマルウェアに感染したデバイスを遠隔操作するために使用するサーバ)を通じて、調査や破壊のためのマルウェアをダウンロードさせるのです。
バックドアからの通信が標的のサイバー攻撃対策機能に検知される恐れがあるため、攻撃者はHTTPSなどの社員が常時使用する通信を利用し、サイバー攻撃を隠蔽します。
C&Cサーバは、各々のウイルス対策ソフトベンダーによってデータベース化されており、C&Cサーバとの通信は自動的にブロックされます。このため、攻撃者はウイルス対策ソフトベンダーのブロックを回避するために、C&Cサーバに新たなIPアドレスを設定するケースがほとんどです。
システム調査段階
システム調査段階では攻撃者が標的のネットワーク内を探索し、重要な情報やシステムの弱点を見つけ出します。
この段階では、ネットワークトラフィックの監視やファイルの検索が行われ、機密情報が保存されているサーバやデータベース、ユーザIDやパスワードを収集します。
組織や企業は、自社のネットワークやアクセス権を公開しないため、このシステム調査段階は長い期間が必要です。また、侵入を検知されないように慎重に調査を継続します。例えば、社員のいない深夜に外部との通信量が増加した場合、セキュリティ担当者は侵入に気付くこともあるでしょう。
そのため、就業時間内に侵入するなど、標的に合わせた攻撃を執拗に繰り返します。場合によっては、バックドアにより必要なマルウェアを都度、ダウンロードさせるケースもあります。
攻撃最終目標の遂行段階
攻撃最終目標の遂行段階では、攻撃者が必要な機密情報の窃取や破壊などを行います。
破壊が目的であれば、標的となる情報システムが破壊された時点でAPT攻撃が発覚します。仮にランサムウェアの場合は、この時点で情報が暗号化され身代金の要求が始まるでしょう。
しかし、情報の入手が目的である場合、既に侵入経路が確立しているため、何度も情報の窃取が可能です。この攻撃は、APT攻撃が発覚するまで長期的に続き、甚大な被害となります。
APT攻撃の被害事例
APT攻撃は、標的に対して長期的に行われる高度なサイバー攻撃です。そのため発覚した際には既に大きな被害を受けているケースがほとんどです。
ここではAPT攻撃による、代表的な被害事例を紹介します。
Googleなど30社以上の企業を狙った大規模サイバー攻撃
2009年末から2010年初頭にかけて、GoogleやYahoo、Adobe、Symantecを含む30社以上の大企業が「オーロラ作戦」と呼ばれるAPT攻撃の標的となりました。
「オーロラ作戦」では、主に不正なURLを設置したフィッシングメールが利用され、バックドアを設置、個人情報の窃取が行われました。なお、このマルウェアは、未公表の脆弱性をついたゼロデイ攻撃によるものです。
この事件は、企業のセキュリティ対策の重要性を再認識させるきっかけとなり、Google社は中国市場から撤退しました。
日本の電機メーカーへの大規模サイバー攻撃
2020年には、日本のある電機メーカーがAPT攻撃を受けました。この攻撃は、まず脆弱性を利用したゼロデイ攻撃で子会社の端末へ侵入し、ネットワーク上で拡散、クラウドサービスや関連サーバにログインし、個人情報や機密情報を窃取しています。
マルウェアに感染したと疑われる端末は130台以上で、端末のメモリー内で活動するファイルレスマルウェアという手法が用いられており、最初の感染から検知するまでに3カ月以上を要しました。
採用応募者情報や従業員情報、技術資料といった情報に加えて、安全保障上の機微な情報が流出した可能性があると防衛省により発表されました。この安全保障に影響を及ぼす可能性のある流出情報は59件にのぼるとされています。
日本年金機構へのサイバー攻撃
2015年、日本年金機構がAPT攻撃を受け約125万件もの個人情報が流出しました。
この攻撃では、合計124通にも上るフィッシングメールが確認され、うちメールの添付ファイルを開いた職員は5名、感染した端末は合計31台に上りました。
このAPT攻撃を検知したのは、日本年金機構ではなく外部機関(内閣サイバーセキュリティセンター)です。
最初の検知から、インターネットとの接続を遮断するまでに20日間あり、その間に125万件のデータが流出しています。流出した個人情報が125万件にものぼったのを確認したのは、流出元となった端末のログを解析した結果です。
アメリカのIT管理ソフトウェア企業S社へのサイバー攻撃
2020年、アメリカのIT管理ソフトウェア企業S社がAPT攻撃を受けました。
攻撃者は、Orionというネットワーク監視ツールの自動更新プログラムに、バックドアのマルウェアを混入させ、ユーザにマルウェアを拡散しました。結果、17,000社もの企業にバックドアを設置し、政府関係機関を含む100社ほどへ侵入し、機密情報を窃取しています。
このAPT攻撃は9カ月もの間、検知されることなく続きました。この攻撃を検知したのは、攻撃対象となった企業のエンジニアが偶然発見した結果です。この偶然がなければ、さらに長期的な機密情報の窃取が続いていたと考えられます。
APTグループとは
MITRE Corporationは、サイバーセキュリティの脆弱性を識別するためのCVE(共通脆弱性識別子)を管理しているアメリカのシンクタンクです。また、MITREはサイバー攻撃の戦術や手法を体系化したフレームワークであるMITRE ATT&CK(Adversarial Tactics Techniques and Common Knowledge)を運営しています。
このMITRE ATT&CKではAPT攻撃を行うグループを、APTグループと設定しその活動を追跡中です。
大規模なAPT攻撃には、これらのAPTグループが関与していると考えられており、日本に対する攻撃も確認されています。
日本の外務省高官も、APTグループの脅威について公式に言及しています。
出典:外務省ホームページ
APT攻撃の対策
APT攻撃により、大量の機密情報を窃取される恐れがあり、事業が継続できないほどの深刻な影響を受ける可能性があります。
APT攻撃への対策は、個々の機器だけではなくサーバを含むネットワーク全体の対策が必要です。ここでは、APT攻撃への対策方法を紹介します。
入口対策
まず、外部からの侵入を防ぐために、以下の入り口対策が有効です。
- ファイアウォール
- ウイルス対策ソフト
- IDS/IPS(侵入検知システム/侵入防止システム)
更に近年は、次のような防御方法の活用が進んでいます。
- 無害化装置(サニタイズ)
メールやダウンロードしたデータを検査し、不審なコードを除去または書き換えます - サンドボックス装置
メールやダウンロードデータを隔離された環境で実行し、安全かどうか挙動を確認します - 仮想化装置(VDI)
システムを仮想環境に配置し、安全に利用します。仮にマルウェアに感染しても、感染は仮想環境内に留まり、自社ネットワークが感染することはありません - EDR
不審な動きがないか端末の挙動を監視します。不審な挙動を検知した場合は、ネットワークから自動的に隔離する製品もあります
これらの技術を用いて、侵入を防いでいきましょう。
脆弱性対策
脆弱性対策は、システムやソフトウェアの脆弱性を修正し、攻撃者の侵入を防ぐことを目的とします。
定期的なパッチ適用やソフトウェアのアップデートを行い、最新のセキュリティ対策の維持が重要です。これにはウイルス対策ソフトやOS、ソフトウェアだけでなく、スイッチやルータ、VPN装置といった機器のファームウェアのアップデートも含まれます。
近年、VPN装置の脆弱性を狙った攻撃が多発しています。これは、フィッシングメールのように相手が罠にかかるのを待つのではなく、攻撃者が能動的に侵入してくる手法です。
脆弱性へのパッチ適用は、システムやサービスの一時停止を伴う場合がありますが、適用を遅らせると侵入を許すリスクが高まります。そのため、脆弱性に対するパッチは速やかに適用することが重要です。
また、システムに対する定期的な脆弱性診断も有効な方法です。外部の専門家による脆弱性診断やリスクを分析するペネトレーションテストが有効です。
出口対策
出口対策は、APT攻撃に侵入を許した場合に被害を最小限に抑えるために実施します。
以下の対策が有効です。
- ネットワークを適切に分割し、ウイルスの蔓延防止を図る
- 外部通信はプロキシを必ず経由し、通信を監視する
- ネットワーク通信量を定期的に監視し、情報の窃取を検知する
- 重要な情報を持つサーバをインターネットから隔離する
特に、ネットワーク通信量の定期的な監視は、大量の情報窃取に対して有効です。例えば、通常よりも通信量が大幅に増えたり、社員のいない深夜に通信量が増大したりした場合、機密情報を外部に送信している可能性が高くなります。
侵入されない対策だけでなく、侵入された後の対策も重要です。
アクセス権の制御
アクセス権の制御は、ユーザーごとにアクセス権限を適切に設定し、不必要な情報へのアクセスを制限することを目的とします。RBAC(ロールベースアクセス制御)を導入し、役割(ロール)に応じたアクセス権限を設定することで、情報漏えいのリスクを低減します。
例えば、端末がマルウェアに感染しても、サーバへのアクセス権がなければ、情報の窃取を防止可能です。また、サーバへアクセスできる端末を限定する方法も有効です。
その他に、アクセスできるプログラムを特定する方法もあります。例えば、ブラウザのみアクセスを許可し、リモート接続やコマンドによる接続を許可しないなどです。
これらを組み合わせて、より機密情報へのアクセスを防止できる仕組みを構築しましょう。
情報の暗号化
情報の暗号化は、侵入に対する直接的な対策ではありません。あくまでも、侵入を許し情報を窃取されたとしても、利用されないようにするための対策です。
機密情報を暗号化すれば、情報が盗まれたとしても暗号が解読できずに流出を防ぐことができます。ただし、暗号化には一定以上の強度が必要です。古い暗号化技術は脆弱性がある場合が多いため、最新で強度の高い暗号化技術を利用しましょう。
また、通信そのものの暗号化も効果的です。VPNを利用した暗号化や、AES256(無線の暗号化技術)などを利用した暗号化通信は、盗聴されても解読される可能性を大幅に低減できます。
これらの技術を用いて、APT攻撃による被害を最小限に抑える環境を構築しましょう。
システム監視、ログ分析
システム監視とログ分析は、ネットワークやシステムの異常を早期に検知し、迅速に対応するための対策です。
SIEM(セキュリティ情報およびイベント管理)のような監視ツールを導入し、リアルタイムでの監視とログを分析して攻撃を早期に検知します。不審な通信をいち早く検知し、対策すれば被害を最小限に抑えることができるでしょう。
システム監視とログ分析の重要な点は、恒常的なシステム監視とログ分析です。これは普段の傾向を把握しておかなければ、不審な動きに気付かない恐れがあるためです。また、恒常的な監視のできる管理ツールはどのシステムやネットワークが攻撃されているか、把握できる点もメリットといえます。
脆弱性診断
脆弱性診断は、システムやネットワークといった環境に対し、脆弱性がないかをチェックし修正するための対策です。ペネトレーションテストや脆弱性スキャンを実施し、潜在的な脆弱性を検知・修正してサイバー攻撃のリスクを低減します。
例えば、専門家によるペネトレーションテストを定期的に実施し、システムの脆弱性を客観的に評価することで、効果的なセキュリティ対策が可能です。
特に近年はクラウドサービスの利用により、外部との接点が増加しています。セキュリティ専門家による脆弱性診断は非常に有効な対策です。
社員への教育
社員への教育は、セキュリティ意識を高め、サイバー攻撃のリスクを低減するための重要な対策です。
どれだけ高機能なセキュリティ対策ソフトや監視ツールを導入しても、社員がフィッシングメールによりマルウェアに感染してしまっては意味がありません。社員に対しフィッシングメールやソーシャルエンジニアリングに対する教育を行い、セキュリティ意識を向上させる必要があります。
例えば、フィッシングメールのシミュレーションを行い、社員が実際にどのように対応すべきかを学ぶことで、実際の攻撃に対して適切に対応可能です。
また、S社へのAPT攻撃のように、APT攻撃を人が検知するケースもあります。このような事例を学ぶことで、社員はより高度な攻撃に対する警戒心を持つことができるでしょう。
現代において、セキュリティ対策は必要不可欠です。社員に対して積極的に教育を行いましょう。
体制の整備と訓練
体制の整備と訓練は、セキュリティインシデントに対する迅速な対応を可能にするための重要な対策です。事前に体制を整備し、訓練を行わなければ、APT攻撃を受けたときに指揮命令系統が明確にならず的確な対策が行えません。
体制の整備と訓練は、APT攻撃だけでなくランサムウェアなどのサイバー攻撃全般の対策としても有効です。
例えば、インシデント対応シミュレーションを実施し、チームが迅速かつ効果的に対応できるように訓練することで、被害を最小限に抑えることができます。
さらに、セキュリティポリシーの整備と徹底も重要です。セキュリティポリシーは、組織全体としてどのようにセキュリティ運用をしていくかを規定するものであり、普段から体制を整備し、セキュリティに対する意識の醸成を図ることが求められます。
APT攻撃対策にはSCT SECUREセキュリティ診断を
APT攻撃に対しては、専門家による脆弱性診断やペネトレーションテストが非常に有効です。
三和コムテックが提供する「SCT SECURE セキュリティ診断」であれば、経験豊富な専門家によるペネトレーションテストやWebアプリケーション診断などを、定期的に実施可能です。
脆弱性情報だけでなく、対策方法や解決のためのソリューションを分かりやすいレポートで提供いたします。
ご相談をお待ちしております。
まとめ
APT攻撃は1度でも侵入を許すと、気付かれないように潜み、重要な情報を窃取する危険なサイバー攻撃です。
侵入検知も困難で、攻撃に気付いたときには取り返しのつかない事態になっている恐れがあります。場合によっては、事業継続ができなくなる場合もあるでしょう。
APT攻撃の手口は多岐にわたるため、特定の防御方法では防ぎきれません。多層防御を構築し、専門家による適切な支援が有効です。
APT攻撃を正しく理解し、適切に対策して組織の情報資産を守りましょう。
