持続的標的型攻撃（APT）: APTが他の攻撃と異なる点（CA Security Reminder）

CA Security Reminder は、コンシューマライゼーションが進行する企業情報システムの情報セキュリティとアイデンティティ管理について考えます。

前回に引きつづき、CA Technologies の Russell Miller が、持続的標的型攻撃（APT）の既存の攻撃手法との違いを考える。

--

●APTが他の攻撃と異なる点

APT攻撃と「通常」の脅威との決定的な違いは、特定の組織が標的とされることです。「境界」を防御し標準的なセキュリティコントロールを使用すれば、標準的な攻撃からは組織を保護できるかもしれませんが、APT攻撃に対抗するには十分ではありません。執拗な攻撃者は新しい脆弱性が見つかるまで時間をかけたり、一見ささいな脆弱性を複数組み合わせて大規模でダメージの大きい攻撃へと発展させることができます。

このような脅威に直面したとき、通常のやり方では対応できません。以前は多くの攻撃者が侵入しやすいターゲットを選んでいたため、多くの組織にとっては、インターネットに接続する他の組織や企業より効果の高いセキュリティを備えるだけで事足りました。しかしAPT攻撃の登場によって、強い動機を持ち、別のターゲットに向かわずに時間をかけて脆弱性を探す敵に打ち勝つことが必要になったのです。

APTは攻撃にかける期間が長いこともあって、検知が特に困難になっています。標準的なセキュリティ侵害では、短期間で大量のデータがエクスポートされることがあるため、ファイアウォールや侵入検知システムによる検知が可能です。しかしAPTの攻撃者は数か月、あるいは数年をかけてターゲットとするデータをエクスポートすることがあるため、フル機能を備えた優れた構成のシステムでも検知は困難です。

●目的

ターゲットを絞るという性質から多くの場合、APT攻撃の犯人は標準的なインターネットハッカーとは異なる目的を持っており、単なる盗難や遊びではなく、たとえば次のような目的が中心であることが多くなっています。

・政治的な操作
・軍事スパイ
・経済スパイ
・技術スパイ
・金銭的な恐喝

●ターゲット

APT攻撃はしばしば政治がらみで国家が資金を出しているという性質があるため、特定の種類の組織が狙われるリスクが高くなります。

・政府機関
・防衛機関や防衛関係の業者
・重要な社会基盤システム（公益事業、通信システム、輸送システムなど）
・政治団体
・金融機関
・テクノロジ企業

●実例

・RSA … 2011年、RSA SecurityはAPT攻撃の被害を受けたと発表しました。6攻撃者は内部のユーザをだまし、AdobeFlashのゼロデイ脆弱性を悪用したスプレッドシートを添付した電子メールを開かせ、初期侵入を達成しました。そこから特権のレベルを上げ、バックドアを設置し、他のシステムへのコントロールを獲得しました。

攻撃者は、SecurIDとして知られる二要素認証トークンの関連情報を保管するRSAシステムにアクセスすることができました。この情報には「シード」値が含まれていた可能性があり、その値は60秒で変更されるワンタイムパスワードの生成にRSAがトークンとともに使用しているものでした。ソースコード自体が盗まれた場合は、攻撃者はSecurID実装の脆弱性や暗号そのものさえ見つけることが可能です。

・Operation Aurora … Operation Auroraとは、Google、Adobe、Rackspace、Juniper Networksなど多数の大企業を標的として行われたAPT攻撃です。メディア記事はYahoo、Northrup Grumman、Morgan Stanley、Symantec、DowChemicalなど、他にも多くの企業も狙われたことを示唆しています。7中国の共産党政治局が、米国や他の西洋諸国への大規模な組織的作戦の一部として攻撃を指示したと考えられています。

（※この記事は「持続的標的型攻撃（APT）:徹底的な防御」の一部を抜粋しました）

（Russell Miller）

筆者略歴：CA Technologies において、ネットワークセキュリティの分野で倫理的ハッキングから製品マーケティングまで様々な役割を務める。現在、CA ControlMinder および CA ControlMinder for Virtual Environments のマーケティング活動を統括