持続的標的型攻撃(APT): 従来とは異なる対応が必要(CA Security Reminder) | ScanNetSecurity
2024.04.16(火)

持続的標的型攻撃(APT): 従来とは異なる対応が必要(CA Security Reminder)

持続的標的型攻撃とは、標的とする対象を絞った長期的で高度な攻撃のことを指します。攻撃者は国家の支援を受けていることが多く、他国の政府から価値の高い機密情報を盗み出そうとします。この用語は2006年に米国空軍が使い始めたのが最初です。

特集 特集
facebookLINE
CA Technologies社 Russell Miller氏
CA Technologies社 Russell Miller氏 全 1 枚 拡大写真
CA Security Reminder は、コンシューマライゼーションが進行する企業情報システムの情報セキュリティとアイデンティティ管理について考えます。

CA Technologies の Russell Miller がAPTを定義します。

--

持続的標的型攻撃(APT; Advanced Persistent Threat)は、従来のセキュリティリスクとは全く異なる問題を提示しています。Ponemon Instituteの見積りによると2011年におけるセキュリティ侵害の平均コストは550万ドルで、1セキュリティ侵害は企業の上層部にとっても重大な懸念事項となっています。

●定義

持続的標的型攻撃とは、標的とする対象を絞った長期的で高度な攻撃のことを指します。攻撃者は国家の支援を受けていることが多く、他国の政府から価値の高い機密情報を盗み出そうとします。また、攻撃元や攻撃対象は民間組織の場合もあります。この用語は2006年に米国空軍が使い始めたのが最初です。

The National Institute of Standards and Technology (NIST)は、APT攻撃を次のように定義しています。

「持続的標的型攻撃とは、高度な専門知識と十分なリソースを持つ攻撃者が、複数の攻撃ベクトル(サイバー攻撃、物理的な攻撃、詐欺など)を使用して目的達成の機会を作りだすための攻撃で、通常その目的とは、組織の情報技術インフラストラクチャ内に足がかりを築いて拡大し、継続的な情報の盗用、任務やプログラム、組織の重要な側面の妨害、また、将来そうした行為を行えるよう準備することにある。持続的標的型攻撃はまた、長期間にわたり繰り返し標的を追い続け、抵抗する相手の防御に対応して、目的の達成に必要なレベルのインタラクションを執拗に維持する」。

その定義には様々なものがありますが、持続的標的型攻撃とは何かを明らかにするには次の3つの言葉が役立ちます。

・ 高度: 攻撃者は、ターゲットの脆弱性を利用できる高度な技術能力を有します。これには大規模な脆弱性データベースやセキュリティ上の弱点にアクセスでき、コーディングスキルを持っているだけでなく、それまでは知られていなかった脆弱性を見つけ出し利用する能力も含まれることがあります。

・ 持続的: 多くの場合、APT攻撃は長期間にわたって行われます。一時的な機会を利用する短期間の攻撃と異なり、APT攻撃は数年間にわたって続くことがあります。インターネットベースの攻撃からソーシャルエンジニアリングまで、複数の攻撃ベクトルを使用することがあります。重要度の低いセキュリティ侵害を時間をかけて組み合わせ、もっと重要なデータへのアクセスに達することがあります。

・ 脅威: 脅威があるということは、動機と攻撃を成功させる能力の両方を持った攻撃者がいるということです。

組織化されたグループが大規模な攻撃の一部として自動化ツールを使用することはありますが、単に自動化ツールがあるだけではAPT攻撃とは考えられません。

●攻撃の4つの段階

典型的な持続的標的型攻撃は、次の4つの段階で構成される可能性があります。

1. 偵察: 組織の脆弱性についての調査。これにはドメインクエリなど基本的な調査から継、続ポ的なー悪ト用や: 脆弱性のスキャンが含まれることがあります。

2. 初期侵入: 脆弱性を利用してターゲットのネットワークに足がかりを作ります。これは高度な技術的手法を使用する場合や、スピアフィッシング(特定のターゲットを標的としたフィッシング)などを使用して単一システムへの通常のユーザアクセスを獲得する場合があります。「ソーシャルエンジニアリング」や人を利用することも、アクセスを獲得するのによくある方法です。

3. 特権の引き上げとコントロールの拡大: 攻撃者はネットワーク境界への侵入に成功すると、さらなる特権を得て重要なシステムへのコントロールを獲得しようとします。後でネットワークに簡単にアクセスできるように、この段階で「バックドア」ツールを設置することもあります。

4. 継続的な悪用: 攻撃者は一度コントロールを確立すると、継続的に機密データのエクスポートを行うことがあります。第3から第4の段階は、検知されるリスクを減らすために数年間をかけて行われることがあります。

(※この記事は「持続的標的型攻撃(APT):徹底的な防御」の一部を抜粋しました)

(Russell Miller)

筆者略歴:CA Technologies において、ネットワークセキュリティの分野で倫理的ハッキングから製品マーケティングまで様々な役割を務める。現在、CA ControlMinder および CA ControlMinder for Virtual Environments のマーケティング活動を統括

《ScanNetSecurity》

関連記事

この記事の写真

/

関連リンク

特集

PageTop

アクセスランキング

  1. 東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

    東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

  2. マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出

    マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出

  3. 「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

    「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

  4. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  5. プルーフポイント、マルウェア配布する YouTube チャンネル特定

    プルーフポイント、マルウェア配布する YouTube チャンネル特定

  6. 警察庁、サイバー事案通報の統一窓口を設置

    警察庁、サイバー事案通報の統一窓口を設置

  7. 委託事業者が回収処理した国民健康保険証、拾得物として警察署に届く

    委託事業者が回収処理した国民健康保険証、拾得物として警察署に届く

  8. チラシ記載の QR コードを誤って管理者用 URL から作成、申込者の個人情報が閲覧可能に

    チラシ記載の QR コードを誤って管理者用 URL から作成、申込者の個人情報が閲覧可能に

  9. 転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し

    転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し

  10. マイクロソフトが 4 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 1 件

    マイクロソフトが 4 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 1 件

ランキングをもっと見る
ホーム 特集 特集 記事
TOP