持続的標的型攻撃(APT): 従来とは異なる対応が必要(CA Security Reminder) | ScanNetSecurity
2024.06.22(土)

持続的標的型攻撃(APT): 従来とは異なる対応が必要(CA Security Reminder)

持続的標的型攻撃とは、標的とする対象を絞った長期的で高度な攻撃のことを指します。攻撃者は国家の支援を受けていることが多く、他国の政府から価値の高い機密情報を盗み出そうとします。この用語は2006年に米国空軍が使い始めたのが最初です。

特集 特集
CA Technologies社 Russell Miller氏
CA Technologies社 Russell Miller氏 全 1 枚 拡大写真
CA Security Reminder は、コンシューマライゼーションが進行する企業情報システムの情報セキュリティとアイデンティティ管理について考えます。

CA Technologies の Russell Miller がAPTを定義します。

--

持続的標的型攻撃(APT; Advanced Persistent Threat)は、従来のセキュリティリスクとは全く異なる問題を提示しています。Ponemon Instituteの見積りによると2011年におけるセキュリティ侵害の平均コストは550万ドルで、1セキュリティ侵害は企業の上層部にとっても重大な懸念事項となっています。

●定義

持続的標的型攻撃とは、標的とする対象を絞った長期的で高度な攻撃のことを指します。攻撃者は国家の支援を受けていることが多く、他国の政府から価値の高い機密情報を盗み出そうとします。また、攻撃元や攻撃対象は民間組織の場合もあります。この用語は2006年に米国空軍が使い始めたのが最初です。

The National Institute of Standards and Technology (NIST)は、APT攻撃を次のように定義しています。

「持続的標的型攻撃とは、高度な専門知識と十分なリソースを持つ攻撃者が、複数の攻撃ベクトル(サイバー攻撃、物理的な攻撃、詐欺など)を使用して目的達成の機会を作りだすための攻撃で、通常その目的とは、組織の情報技術インフラストラクチャ内に足がかりを築いて拡大し、継続的な情報の盗用、任務やプログラム、組織の重要な側面の妨害、また、将来そうした行為を行えるよう準備することにある。持続的標的型攻撃はまた、長期間にわたり繰り返し標的を追い続け、抵抗する相手の防御に対応して、目的の達成に必要なレベルのインタラクションを執拗に維持する」。

その定義には様々なものがありますが、持続的標的型攻撃とは何かを明らかにするには次の3つの言葉が役立ちます。

・ 高度: 攻撃者は、ターゲットの脆弱性を利用できる高度な技術能力を有します。これには大規模な脆弱性データベースやセキュリティ上の弱点にアクセスでき、コーディングスキルを持っているだけでなく、それまでは知られていなかった脆弱性を見つけ出し利用する能力も含まれることがあります。

・ 持続的: 多くの場合、APT攻撃は長期間にわたって行われます。一時的な機会を利用する短期間の攻撃と異なり、APT攻撃は数年間にわたって続くことがあります。インターネットベースの攻撃からソーシャルエンジニアリングまで、複数の攻撃ベクトルを使用することがあります。重要度の低いセキュリティ侵害を時間をかけて組み合わせ、もっと重要なデータへのアクセスに達することがあります。

・ 脅威: 脅威があるということは、動機と攻撃を成功させる能力の両方を持った攻撃者がいるということです。

組織化されたグループが大規模な攻撃の一部として自動化ツールを使用することはありますが、単に自動化ツールがあるだけではAPT攻撃とは考えられません。

●攻撃の4つの段階

典型的な持続的標的型攻撃は、次の4つの段階で構成される可能性があります。

1. 偵察: 組織の脆弱性についての調査。これにはドメインクエリなど基本的な調査から継、続ポ的なー悪ト用や: 脆弱性のスキャンが含まれることがあります。

2. 初期侵入: 脆弱性を利用してターゲットのネットワークに足がかりを作ります。これは高度な技術的手法を使用する場合や、スピアフィッシング(特定のターゲットを標的としたフィッシング)などを使用して単一システムへの通常のユーザアクセスを獲得する場合があります。「ソーシャルエンジニアリング」や人を利用することも、アクセスを獲得するのによくある方法です。

3. 特権の引き上げとコントロールの拡大: 攻撃者はネットワーク境界への侵入に成功すると、さらなる特権を得て重要なシステムへのコントロールを獲得しようとします。後でネットワークに簡単にアクセスできるように、この段階で「バックドア」ツールを設置することもあります。

4. 継続的な悪用: 攻撃者は一度コントロールを確立すると、継続的に機密データのエクスポートを行うことがあります。第3から第4の段階は、検知されるリスクを減らすために数年間をかけて行われることがあります。

(※この記事は「持続的標的型攻撃(APT):徹底的な防御」の一部を抜粋しました)

(Russell Miller)

筆者略歴:CA Technologies において、ネットワークセキュリティの分野で倫理的ハッキングから製品マーケティングまで様々な役割を務める。現在、CA ControlMinder および CA ControlMinder for Virtual Environments のマーケティング活動を統括

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

    グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

  2. 「プレミアムバンダイ」会員情報漏えいの可能性、委託先従業員が私物ハードディスクを使用

    「プレミアムバンダイ」会員情報漏えいの可能性、委託先従業員が私物ハードディスクを使用

  3. フジクラのタイ子会社に不正アクセス、国際ネットワーク経由で日本のグループ各社のサーバにも痕跡

    フジクラのタイ子会社に不正アクセス、国際ネットワーク経由で日本のグループ各社のサーバにも痕跡

  4. セキュリティ企業の セキュリティ企業による セキュリティ企業のための投資ファンド ~ GSX 青柳史郎が語る「日本サイバーセキュリティファンド」設立趣旨

    セキュリティ企業の セキュリティ企業による セキュリティ企業のための投資ファンド ~ GSX 青柳史郎が語る「日本サイバーセキュリティファンド」設立趣旨PR

  5. 横浜国立大学 学生間でメールアドレスが閲覧可能に 1万人利用可のクラウドサービスで

    横浜国立大学 学生間でメールアドレスが閲覧可能に 1万人利用可のクラウドサービスで

  6. 杏林大学職員 詐欺サイト クリックしたら不正アクセス被害

    杏林大学職員 詐欺サイト クリックしたら不正アクセス被害

  7. 今日もどこかで情報漏えい 第25回「2024年5月の情報漏えい」“いたずらに混乱” しているのはおまえらでは

    今日もどこかで情報漏えい 第25回「2024年5月の情報漏えい」“いたずらに混乱” しているのはおまえらでは

  8. ID リンク・マネージャーおよびFUJITSU Software TIME CREATORに複数の脆弱性

    ID リンク・マネージャーおよびFUJITSU Software TIME CREATORに複数の脆弱性

  9. 日本の CISO の 66%「ヒューマンエラーは最大のサイバー脆弱性」 ~ プルーフポイント「CISO意識調査レポート 2024」

    日本の CISO の 66%「ヒューマンエラーは最大のサイバー脆弱性」 ~ プルーフポイント「CISO意識調査レポート 2024」

  10. イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

    イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

ランキングをもっと見る