APT攻撃（Advanced Persistent Threat）とは？手口と対策

APT攻撃とは、主に国家主導の攻撃で、スパイ行為または妨害工作を遂行するために組織へのセキュリティ侵害を行い、なおかつ長期間検知されないことを目的とした攻撃です。

APT (Advanced Persistent Threat)という用語は誤って使用されることがよくあります。 脅威に対する特定の技術的アプローチではなく、攻撃者（または攻撃者グループ）や攻撃者がもたらす脅威の背景にある、単なる一過性のスパイ行為や金銭的利益、犯罪ではない動機について説明するためのものです。

APTは、貴重な企業秘密や知的財産を盗むことを目的とした企業スパイ行為、または、組織の計画やインフラストラクチャーの破壊のいずれかを動機としています。

APTの攻撃者は、他の物理的および外部のエクスプロイトテクニックを借りて、メールスプーフィングやフィッシングなど、電子メールを使った様々な手法で攻撃を仕掛けます。 APT攻撃には、他の形式の攻撃には見られない典型的な特徴があります。

• 予備調査： APTの攻撃者は通常、目的を果たすために役立つ、偵察から得た情報を持ち、特定の標的ユーザーが誰か、システムは何であるかを知っています。 これらの情報は、ソーシャルエンジニアリング、パブリックフォーラム、また最も可能性が高いものとして、国家の安全保障情報によって収集されます。
• 有効期限： APTの攻撃者は、金銭的な利益を動機とする攻撃に見られるような短い感染期間ではなく、長期間にわたって検知を回避するテクニックを採用します。 攻撃者は自分の痕跡を消し、通常、営業時間外に役割を遂行しようとします。 最初のアクセスが検知された場合に備え、再び侵入できるように必ずバックドアを残します。 これにより継続性を保ちます。
• 高度なマルウェア： APTの攻撃者は、既知のものに加え、利用可能な侵入テクニックはすべて使用し、どのような攻撃においても、目標に到達するために多くの手法を組み合わせています。 こうした攻撃者は、市販のクライムウェアやキットを利用することもありますが、多くの場合、カスタマイズされた環境やシステムに必要な場合は、独自のカスタムツールやポリモーフィック型マルウェアを作成する技術と専門知識を持っています。
• フィッシング： インターネット駆動のエクスプロイト手法を採用するAPTは、ソーシャルエンジニアリングとスピアフィッシングから始まります。 ユーザーのマシンのセキュリティの侵害や、ネットワーク認証情報の流出があった場合、攻撃者は積極的に独自のツールを展開し、求めている情報を見つけるまで、マシンからマシン、ネットワークからネットワークへと必要に応じて監視し、ネットワーク全体に拡散させる手段をとります。
• 能動的な攻撃： APTでは、典型的なクライムウェアの攻撃にある、収集したデータを攻撃者に送り返すだけの完全に自動化された悪意のあるコードではなく、攻撃者からの極めて組織的な人的関与があります。 このケースの脅威アクターは、豊富な資金とスキルを備え、動機付けと方向性のある攻撃者であり、そのアプローチと対応は極めて能動的です。

APTの脅威アクターから企業を守る確実な方法はありません。これらのAPTと攻撃者は、組織内に侵入した後も継続性を維持しようとします。そのため、ログを三角測量し、企業ネットワーク内で異常な動作を特定できる技術を組み合わせて活用することがカギとなります。 APT防御戦略の焦点は、標的、攻撃者が使用する方法、攻撃者の活動の頻度、APTの発生源、攻撃者の動機に関連したリスクなどについての情報を提供できる、最良の検知ソリューション群を選ぶことにあります。

Verizon社のデータ漏洩調査レポートによると、標的型脅威とAPTの95%は攻撃の手始めとして何らかのスピアフィッシングを使用しているため、企業のAPT防御戦略の一環として検知ソリューションが必要とされています。検知ソリューションは、トラフィックの異常なパターンに基づいてメール内の標的型脅威の検索を試み、不審なメールの埋め込みURLを書き換え、サンドボックス内でURLの悪質な動作の監視を常に行います。 こうしたアプローチにより、攻撃を防御・検知する可能性があり、どのユーザーがセキュリティ侵害を受け、いつ、どれくらいの期間にわたって行われたかを知ることは、APTの脅威アクターとその動機についてより深く理解するうえで非常に有利です。