高度の継続的な脅威

どのようなしくみか

ほとんどの場合、国家が支援している攻撃で、スパイ行為や目標の破壊を遂行するために組織へのセキュリティ侵害を行い、なおかつ長期間検知されないことを目的とした攻撃。

高度の継続的な脅威(APT)という用語は誤って使用されることがよくあります。 脅威に対する特定の技術的アプローチというよりは、攻撃者(または攻撃者グループ)と、脅威の背景にある、一度限りのスパイ行為でも金銭的利益および犯罪でもない、攻撃者の動機を説明する意味で使われています。

高度の継続的な脅威(APT)は、貴重な営業秘密と知的財産を盗むための企業スパイ行為、または、組織の計画やインフラストラクチャーの破壊のいずれかを動機としています。

高度の継続的な脅威の攻撃者は、あらゆるメールベースのテクニックを使用し、他の物理的および外部のエクスプロイトテクニックも借りて攻撃を仕掛けます。 高度の継続的な脅威には、他の形式の攻撃には見られない典型的な特徴があります:

  • 予備調査: 高度の継続的な脅威の攻撃者は通常、目的を果たすために役立つ、偵察から得た情報を持ち、特定の標的ユーザーが誰か、システムは何か等を知っています。 この情報の収集は、ソーシャルエンジニアリング、パブリックフォーラムや、また最も可能性が高いものとして、国家の安全保障情報を通して行われます。
  • 有効期限: 高度の継続的な脅威の攻撃者は、金銭的な利益が動機の攻撃に見られるような短い感染期間ではなく、長期間にわたって検知を回避するテクニックを採用します。 攻撃者は自分の痕跡を消し、通常、営業時間外に役割を遂行しようとします。 最初のアクセスが検知された場合に備え、再び侵入できるよう、必ずバックドアを残します。 これにより永続性を保つのです。
  • 高度のマルウェア: 高度の継続的な脅威の攻撃者は、既知のものに加え、利用できる侵入テクニックはすべて使用し、侵入の際、目標に到達するために数種類の方法を組合せます。 こうした攻撃者は、販売されているクライムウェアとキットを利用しますが、カスタマイズされた環境やシステムに必要な場合は、自らカスタムツールと多形のマルウェアを作成する技術と専門知識を持っていることもよくあります。
  • フィッシング: インターネット駆動のエクスプロイト技術を採用した、最も高度で継続的な脅威は、ソーシャルエンジニアリングとスピアフィッシングから始まります。 ユーザーのマシンのセキュリティの侵害や、ネットワーク認証情報の流出があった場合、攻撃者は、必要に応じてマシンからマシンへ、ネットワークからネットワークへ、求める情報が見つかるまで能動的にステップを踏み、ネットワーク全体を監視し、広がるための専有ツールを展開します。
  • 能動的な攻撃: 高度の継続的な脅威では、典型的なクライムウェアの攻撃にある、収集したデータを攻撃者に送り返すだけの完全に自動化された悪意のあるコードではなく、攻撃者からの極めて組織的な人間の関与があります。 この場合の敵は、豊富な資金とスキルを備え、動機付けと方向性のある攻撃者であり、アプローチと対応が非常に能動的になっています。

高度の継続的な脅威からどう保護するか

APTのアクターから企業を守る確実な方法はありません。 これらの高度の継続的な脅威と攻撃者は、組織の内部に侵入すると永続性を維持しようとします。そのため、ログを三角測量し、企業ネットワーク内で異常な動作を特定できる技術の組み合わせを活用することがカギとなります。 防御戦略の焦点は、標的、攻撃者が使用する方法、攻撃者の活動の頻度、高度の継続的な脅威の起因、攻撃者の動機に関連したリスクなどについての情報を提供できる、最良の検知ソリューション群を選ぶことにあります。

Verizon社のデータ漏洩調査レポートによると、標的型脅威とAPTの95%は攻撃の手始めとして何らかのスピアフィッシングを使用しているため、企業のAPT防御戦略の一環として検知ソリューションが含まれるべきです。検知ソリューションは、トラフィックの異常なパターンに基づいてメール内の標的型脅威を探し、不審メール内の埋め込みURLを書き換えて、悪意のある動作がないか、サンドボックス内でURLの定期的な監視を行います。 こうしたアプローチにより、攻撃から防御でき、また攻撃を検知する可能性があります。また、どのユーザーがセキュリティ侵害を受け、いつ、どれくらいの期間にわたって行われたかを知ることは、APTのアクターとその動機についてより深く理解するうえで非常に有利です。