持続的標的型攻撃(APT): APTが他の攻撃と異なる点(CA Security Reminder) | ScanNetSecurity
2024.06.19(水)

持続的標的型攻撃(APT): APTが他の攻撃と異なる点(CA Security Reminder)

以前は攻撃者が侵入しやすいターゲットを選んでいたため、他の企業より効果の高いセキュリティを備えるだけで事足りました。しかしAPT攻撃の登場によって、強い動機を持ち、別のターゲットに向かわずに時間をかけて脆弱性を探す敵に打ち勝つことが必要になったのです。

特集 特集
CA Technologies社 Russell Miller氏
CA Technologies社 Russell Miller氏 全 1 枚 拡大写真
CA Security Reminder は、コンシューマライゼーションが進行する企業情報システムの情報セキュリティとアイデンティティ管理について考えます。

前回に引きつづき、CA Technologies の Russell Miller が、持続的標的型攻撃(APT)の既存の攻撃手法との違いを考える。

--

●APTが他の攻撃と異なる点

APT攻撃と「通常」の脅威との決定的な違いは、特定の組織が標的とされることです。「境界」を防御し標準的なセキュリティコントロールを使用すれば、標準的な攻撃からは組織を保護できるかもしれませんが、APT攻撃に対抗するには十分ではありません。執拗な攻撃者は新しい脆弱性が見つかるまで時間をかけたり、一見ささいな脆弱性を複数組み合わせて大規模でダメージの大きい攻撃へと発展させることができます。

このような脅威に直面したとき、通常のやり方では対応できません。以前は多くの攻撃者が侵入しやすいターゲットを選んでいたため、多くの組織にとっては、インターネットに接続する他の組織や企業より効果の高いセキュリティを備えるだけで事足りました。しかしAPT攻撃の登場によって、強い動機を持ち、別のターゲットに向かわずに時間をかけて脆弱性を探す敵に打ち勝つことが必要になったのです。

APTは攻撃にかける期間が長いこともあって、検知が特に困難になっています。標準的なセキュリティ侵害では、短期間で大量のデータがエクスポートされることがあるため、ファイアウォールや侵入検知システムによる検知が可能です。しかしAPTの攻撃者は数か月、あるいは数年をかけてターゲットとするデータをエクスポートすることがあるため、フル機能を備えた優れた構成のシステムでも検知は困難です。

●目的

ターゲットを絞るという性質から多くの場合、APT攻撃の犯人は標準的なインターネットハッカーとは異なる目的を持っており、単なる盗難や遊びではなく、たとえば次のような目的が中心であることが多くなっています。

・政治的な操作
・軍事スパイ
・経済スパイ
・技術スパイ
・金銭的な恐喝

●ターゲット

APT攻撃はしばしば政治がらみで国家が資金を出しているという性質があるため、特定の種類の組織が狙われるリスクが高くなります。

・政府機関
・防衛機関や防衛関係の業者
・重要な社会基盤システム(公益事業、通信システム、輸送システムなど)
・政治団体
・金融機関
・テクノロジ企業

●実例

・RSA … 2011年、RSA SecurityはAPT攻撃の被害を受けたと発表しました。6攻撃者は内部のユーザをだまし、AdobeFlashのゼロデイ脆弱性を悪用したスプレッドシートを添付した電子メールを開かせ、初期侵入を達成しました。そこから特権のレベルを上げ、バックドアを設置し、他のシステムへのコントロールを獲得しました。

攻撃者は、SecurIDとして知られる二要素認証トークンの関連情報を保管するRSAシステムにアクセスすることができました。この情報には「シード」値が含まれていた可能性があり、その値は60秒で変更されるワンタイムパスワードの生成にRSAがトークンとともに使用しているものでした。ソースコード自体が盗まれた場合は、攻撃者はSecurID実装の脆弱性や暗号そのものさえ見つけることが可能です。

・Operation Aurora … Operation Auroraとは、Google、Adobe、Rackspace、Juniper Networksなど多数の大企業を標的として行われたAPT攻撃です。メディア記事はYahoo、Northrup Grumman、Morgan Stanley、Symantec、DowChemicalなど、他にも多くの企業も狙われたことを示唆しています。7中国の共産党政治局が、米国や他の西洋諸国への大規模な組織的作戦の一部として攻撃を指示したと考えられています。

(※この記事は「持続的標的型攻撃(APT):徹底的な防御」の一部を抜粋しました)

(Russell Miller)

筆者略歴:CA Technologies において、ネットワークセキュリティの分野で倫理的ハッキングから製品マーケティングまで様々な役割を務める。現在、CA ControlMinder および CA ControlMinder for Virtual Environments のマーケティング活動を統括

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

    グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

  2. 約 30 名の学生がフィッシング被害に ~ 明治薬科大学教員の M365 アカウントに不正アクセス

    約 30 名の学生がフィッシング被害に ~ 明治薬科大学教員の M365 アカウントに不正アクセス

  3. イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

    イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

  4. 役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

    役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

  5. オイレス工業にランサムウェア攻撃、生産活動に影響なし 出荷通常通り

    オイレス工業にランサムウェア攻撃、生産活動に影響なし 出荷通常通り

  6. 「プレミアムバンダイ」会員情報漏えいの可能性、委託先従業員が私物ハードディスクを使用

    「プレミアムバンダイ」会員情報漏えいの可能性、委託先従業員が私物ハードディスクを使用

  7. 米政府、病院 IT システムの自動パッチ適用ツールに 80 億円投入

    米政府、病院 IT システムの自動パッチ適用ツールに 80 億円投入

  8. KADOKAWA グループ複数サイトで障害、サイバー攻撃の可能性

    KADOKAWA グループ複数サイトで障害、サイバー攻撃の可能性

  9. ニデックインスツルメンツにランサムウェア攻撃、複数のサーバ内ファイルが暗号化被害

    ニデックインスツルメンツにランサムウェア攻撃、複数のサーバ内ファイルが暗号化被害

  10. セキュリティ企業の セキュリティ企業による セキュリティ企業のための投資ファンド ~ GSX 青柳史郎が語る「日本サイバーセキュリティファンド」設立趣旨

    セキュリティ企業の セキュリティ企業による セキュリティ企業のための投資ファンド ~ GSX 青柳史郎が語る「日本サイバーセキュリティファンド」設立趣旨PR

ランキングをもっと見る