そもそも、APT攻撃(高度標的型攻撃)とは!?
APT攻撃の対策を講じるには、まずAPT攻撃について知ることです。まず初めに、APT攻撃とはいったい何なのか、それについて詳しく見ていきましょう。
APT攻撃(高度標的型攻撃)とは!?
まず、「APT」とは、“Advanced Persistent Threat”の略で、これを日本語で表現したのが、「高度標的型攻撃」という言葉です。読んで字の如く、「高度な」「標的型攻撃」という意味になるので、この2つを順番にかみ砕いて見ていきましょう。
そもそも標的型攻撃とは!?
標的型攻撃とは、特定のデータを盗み出すなど、何らかの目的のもとに、特定の個人や組織を狙い撃ちするサイバー攻撃のことです。対義語となるのは「無差別型攻撃」で、こちらは不特定多数にマルウェアをばらまく、“ばらまき型攻撃”が該当します。
今まではばらまき型攻撃が主流でしたが、近年ではだんだんと標的型攻撃にシフトしつつあります。
それでは、APT攻撃は何故「高度」なのか?
標準型攻撃が理解できたところで、それでは、APTがどういう点で「高度」なのか、 その点を見ていきましょう。
APTが「高度」と呼ばれる理由は、攻撃に際しての準備や偵察が念入りでかつ、周到になされている点にあります。APTは元々、原子力発電所や軍事施設といった国家にとって重要な機関を狙って行われていた攻撃なので、攻撃者が標的に関する調査に相当な時間を費やしていることが多いのです。その結果、APTの脅威は、我々が日常対処しているウイルスの脅威を遥かに凌ぐレベルの脅威となるため、「高度」と呼ばれていると考えられます。
APT攻撃の特徴
APT攻撃が一体何かを理解したところで、今度はAPT攻撃の特徴について見ていきましょう。
①ばらまき型から標的型へ
冒頭でも少し触れましたが、現代のサイバー攻撃はばらまき型から標的型へシフトしつつあります。無作為にランサムウェアをばらまいていた時代から、特定の個人や組織を、目的をもって狙い撃ちする傾向が強まっています。APTの大きな特徴の一つは、この「標的型」の攻撃であると言えます。
②サプライチェーン攻撃
APTの攻撃手段としては、標的型になる対象を直接攻撃するだけでなく、サプライチェーン攻撃も常套手段として用いられます。
「サプライチェーン」は日本語では「共有連鎖」となり、ひとつの企業内部にとどまらず、複数の企業にまたがり原材料調達から最終的な消費者の手に届くまでの一連の流れを指します。サプライチェーン攻撃は、この流通システム内のセキュリティの守りの弱い部分を悪用し、セキュリティの守りが強固な標的(国家そのものや国家の機密情報を扱う重要機関)の情報を盗み取ろうとする攻撃です。
APTは、攻撃に際して入念な計画が練られるため、サプライチェーンのどこかにセキュリティが脆弱な箇所が見つかると、そこを狙いすまして攻撃する、ということがあります。
③ランサムウェアとの違いは?
APTとよく似たサイバー攻撃に、ランサムウェアがあります。この両者の違いは何なのでしょうか。それはずばり、攻撃の目的の違いにあります。
ランサムウェアは、金銭的な見返りを得ることを目的として行われますが、APT攻撃は、攻撃対象から情報を盗み取ることのみを目的とする場合がほとんどです。
APT攻撃の具体的な事例
APT攻撃がどれほど恐ろしいものか、ここでは実際に起こったAPT攻撃の事例を紹介します
①2009~2010年:オーロラ作戦
中国のElderwoodグループによって行われた、Internet Explorerの脆弱性を利用したゼロデイ攻撃の一種です。GoogleやAdobeSystemsも攻撃の対象とされ、米国Googleが中国から撤退するきっかけにもなった事件です。人権活動家のGmailアカウントにアクセスすることを主目的としていたとする証拠があると言われています。
②2010年:イラン核開発施設の被害
アメリカとイスラエルが共同でマルウェアを使ってイランの核開発施設を攻撃した事例です。この攻撃の結果、イランのウラン濃縮化技術の開発に遅れが生じました。結果としては、核開発を遅らせることになったので、良いことのように思われがちですが、そこで使われた手法はAPT攻撃だったわけです。これがもし悪用されていたら、と考えると恐ろしいですよね。
③2011年:防衛関連企業への被害
日本やアメリカ、イスラエルなど世界複数ヶ国の防衛関連産業の企業数社がサイバー攻撃を受け、ネットワークやファイルの構成が盗まれました。日本では三菱重工などが被害を受けました。
④2015年:日本年金機構 情報漏洩事件
2015年5月、日本年金機構から約125万人分もの個人情報が盗み出された事件。日本国内にAPT攻撃の脅威を知らしめるきっかけとなった事件と言われています。この事件においては、標的型メール攻撃が波状的に3度も行われた結果の情報漏洩であり、標的型メール攻撃の危険性が伺えます。
ランダムにばらまかれるメールよりも、個別のメールアドレスを指定して送られてくるメールの方がユーザーが騙されやすいため、効果的な攻撃となり得ます。
⑤2020年:SolarWindsを対象としたサプライチェーン攻撃
2020年3月、アメリカでコロナウイルスの被害が懸念され始めたのと時期を同じくして、 ロシア政府がSolarWindsのネットワーク監視ソフトウェア「Orion」をハッキングし、アメリカの政府機関やIT企業のセキュリティにサイバー攻撃を仕掛けました。
この攻撃は、後ほどご紹介するロシア政府との関連性が指摘されているハッカー、The Dukesと呼ばれるAPT集団が関与していると言われています。The Dukesは、ハッキングしたSolarWindsのプログラム経由で、18,000以上の政府および民間ネットワークに侵入しました。これは、ネットワーク内に保存されていた、ユーザーID、パスワード、財務記録、ソースコードなど、あらゆる情報がロシアの諜報員の手に渡ってしまったといっても過言ではないくらいの重大事件です。
APTグループとは!?
何度かお伝えしてきたように、APT攻撃はターゲットを攻撃するために、入念に計画を練り、組織立って仕掛けることがケースがほとんどです。ここでは、代表的なAPT攻撃グループを2つご紹介します。
①The Dukes / APT29 / Cozy Bear / Nobelium
10年以上も前から活動していると言われており、2016年の米大統領選挙でハッキングを行ったグループの1つとされています。上記でご紹介したSolarWindsを標的としたサプライチェーン攻撃で関与を疑われたのもこのAPTグループです。
②Lazarus Group / Hidden Cobra
日本の大手電機メーカーのグループ会社に攻撃を仕掛けたこともあり、日本国内では最も有名なAPTグループです。少なくとも2009年からの活動が確認されているグループで、2017年のWannaCryptor(別名:WannaCry)の大規模なインシデントなど、注目を集めた大規模事件の首謀者でもあります。また、本グループ内に朝鮮軍のハッキング部隊に所属していたメンバーが在籍しているので、北朝鮮との関与も指摘されています。
APT攻撃への対策とは!?
APT攻撃への対策は、様々な企業や機関が力を入れていることもあり、推奨ガイドラインが多数公開されています。
『高度標的型攻撃』対策 に向けたシステム設計ガイド
IPA(情報処理推進機構)が公表しているガイドで、「高度標的型攻撃」という名前が広く使われ始めたきっかけともいえるかもしれません。 本ガイドではまず、「高度標的型攻撃」という名前が使われるに至った経緯が示されます。
『2013年12月に日本政府が発表した国家安全保障戦略において、「国家の関与が疑われるものを含むサイバー攻撃から我が国の重要な社会システムを防護する」ことが規定されました。これは、サイバー攻撃が国民の安全や国益を侵害するものとして捉えられ、国家の安全保障の枠組みの中でも対処していく必要性が出てきたことを示しています。 2011年頃から米国政府を中心に国際的課題となっている、特定の攻撃意図を持ち、国家や企業等の情報窃取やシステム破壊を行うサイバー攻撃(高度サイバー攻撃)を対象分野とする「サイバー空間(領域)問題」への対処も、この一環になります。』 つまり、サイバー攻撃が高度化したため、国家レベルで対策を講じる必要があると、国が認識をしたということです。
『IPAでは、国と同じ問題意識を持ち、政府機関だけでなく、民間企業にも広く影響を与えかねない重大な攻撃であるとして、対策実施の重要性を訴えるために、「高度標的型攻撃」という単語を使うようになったと記載があります。』 『これまで、特定組織を狙った攻撃の特性等から本攻撃を「標的型メール攻撃」と呼称してきましたが、日本政府と同じ問題認識に立ち、この問題が政府機関のみならず、企業秘密や知財情報を扱う民間企業や社会インフラを支える関連業種に広く及ぶ重大な攻撃であるとの認識に至りました。』『そこで、対策実施の重要性を伝えるために、サイバーセキュリティ2014における「高度サイバー攻撃」という表現に倣い、本書では「高度標的型攻撃」という呼び方を採用することとしました。』
このように、APTの脅威とその対策の重要性を説いた上で、本ガイドでは、APT対策について、以下のように記載しています。
『OS や利用しているアプリケーションを最新の情報に更新して、脆弱性を解消したセキュアな状態の端末を使用することは、セキュリティ対策の基本とされています。しかし、高度標的型攻撃の場合、必ずしも「セキュアな端末=防御可能」な訳ではありません。(中略)
これは、完全に脆弱性対策を実施していても、約8割はマルウェアに感染する可能性があることを示しています。脆弱性対策だけでは、マルウェア感染を防止できないことを念頭に、システム内部に侵入されるリスクを考慮した対策を検討していくことが重要です。』
実は、こちらの最後の記載が重要です。脆弱性対策だけではマルウェア感染を100%防ぐことは難しいため、システム内部に「侵入されない対策」だけではなく、「侵入されることを前提とした対策」が必要となるということです。
その他の参考情報
APT対策を考えるうえで参考になる情報を2つ紹介します。
NISTサイバーセキュリティフレームワーク(CSF)
NIST CSFは、2013年2月のオバマ大統領令に基づいて、NIST(National Institute of Standards and Technology;米国国立標準技術研究所)が政府や民間から意見を集めて作成、2014年2月に初版が公開されたフレームワークで、多数あるセキュリティフレームワークの中でも一番手の選択肢となっているものです。
「特定」「防御」「検知」「対応」「復旧」の5つの機能に対して、対策をカテゴリ化し、サイバーセキュリティ対策の継続的改善を促すガイダンスです。「対応」「復旧」のフェーズはまさに「侵入されることを前提とした対策」に焦点が置かれていることを表しています。
サイバーセキュリティ経営ガイドライン
経済産業省が策定したガイドラインで、最新版は2017年に公表されました。IT企業やITの活用が不可欠な企業の経営者を対象としたガイドラインで、企業のサイバーセキュリティ対策を推進することを目的としたものです。
サイバー攻撃から企業を守るという観点で、経営者が認識する必要のある「3原則」、及び経営者が情報セキュリティ対策を実施する上での責任者に指示すべき「重要10項目」をまとめています。
おすすめの対策方法
「侵入させない」対策から、「侵入を前提とした対策」へ
「『高度標的型攻撃』対策 に向けたシステム設計ガイド」のところでもご紹介しましたが、脆弱性対策などの「侵入させない」対策のみから、「侵入を前提とした対策」、つまり侵入されるリスクを評価し、その被害を最小限に留めるための対策が主流となっています。
脅威を侵入させないための対策「事前対策」と、脅威が侵入してしまった後の対策「事後対策」では、どちらがより重要ということではなく、違うのはその役割です。 事前対策と事後対策を組み合わせて、多重防御するセキュリティ施策が最も望ましいとされています。
有効な対策ツール
脅威の侵入は防げない前提に立ち、検知と復旧を迅速に行うことを目的とした製品として第一に上げられるのが、「EDR(Endpoint Detection and Response)」の活用です。
EDRの仕組みや選定時のポイントを解説した記事は、こちらからご覧いただけます。
まとめ
APTとは何か、過去のAPT攻撃例、さらにはその対策について、説明してきました。
IT技術は日進月歩、目まぐるしいスピードで進歩していますが、それは脅威とその対策についても同様のことが言えます。
事前対策と事後対策を組み合わせて、多重防御するセキュリティ施策を講じられることをおすすめします。
最後にESETより、標的型攻撃に向けた対策に有効なソリューションを2つ紹介します。
ESETは、未知の脅威も検出するクラウドサンドボックスのセキュリティ対策製品、ならびに、攻撃の検知から侵入後の脅威の駆除、影響を受けるIT資産の切り離しなどの対応を迅速に行えるEDR(Endpoint Detection and Response)ソリューションを提供しています。
未知の脅威も検出するクラウドベースのサンドボックスセキュリティ機能を含む統合エンドポイント製品「ESET Protect Advanced」の詳細はこちらをご覧ください。
ESETのEDR(Endpoint Detection and Response)、「ESET Enterprise Inspector」の詳細はこちらをご覧ください。