現在はセキュリティ脅威の高度化、凶悪化が著しくなっています。その最たるものがAPT攻撃といわれ、攻撃の標的は国家機関のほか、世界的な大企業、インフラ企業など、社会的に影響力の高い組織がほとんどです。
今回は恐るべきAPT攻撃の概要と対策についてお伝えします。
APT攻撃とは
APT攻撃(高度標的型攻撃)とは、標的の組織のネットワークに長期潜伏して、機密情報の漏えい、インフラや組織の機能停止を目論むサイバー攻撃です。明るみに出た被害から、攻撃者に国家のような強大な組織の背後関係があると疑われています。
APTとは「Advanced Persistent Threats」の略で、直訳すると「高度で継続的な脅威」です。ITセキュリティの支援機関の「JPCERT/CC」は、APT攻撃の特徴を頭文字の「A」「P」「T」から、以下のように説明しています。
先進的(A) | 標的組織を徹底的に調査し、目的達成のために最適化された必要最小限のツールを使用する |
---|---|
執拗な(P) | 標的組織のネットワークに繰り返しアクセスを図り、長期にわたって居座り続ける |
脅威(T) | 長期的な活動をおこなうための潤沢なリソース、体制、能力を持つ国家の支援や大規模な犯罪組織の関与が疑われることもある |
APT攻撃は金銭窃取、破壊等の単純な犯罪目的、政治的な示威ではなく、国の情報機関や軍隊による諜報やテロなどの工作活動を目的として実行されているふしがあります。さらにさまざまな勢力が介在するとみられ、最終的な指示者の特定が困難なのが実情です。
APT攻撃の流れ
次に、APT攻撃がどのようなプロセスを経るか、例をあげて簡単に説明します。
JPCERT/CCは「APTの活動モデル」として4段階のアプローチを提示するとともに、各段階における攻撃活動の例をあげています。
段階 | アプローチ内容 | 攻撃活動の例 | |
---|---|---|---|
1 | 準備 | 侵入前に標的を入念に調査し、手はずを整える | - |
2 | 潜入 | 標的の防御システムをくぐり抜けて侵入、足がかりを確立 | 外部組織のサーバー乗っ取り標的型攻撃メールを送信、マルウエア感染乗っ取ったサーバーから標的組織の端末を遠隔操作 |
3 | 横断的侵害 | 権限奪取等で活動基盤を広げて内偵、目的の情報資産に到達 | マルウエア感染の拡大 |
4 | 活動 | 情報資産の窃取・収集、改ざん等の実行 | 機密情報の流出 |
JPCERT/CCではこれらの活動を「インディケータ情報(攻撃と侵害の兆候を示す諸情報)」から察知できると指摘、また攻撃予測や分析に「ヒートマップ(活動状況を可視化した図表)」を活用している事例を紹介しています。
なお、被害組織が攻撃に気づくのは難しいという米国のMandiant社のレポートがあります。それによると53%の組織が外部からの通知を受けて、ようやく侵入に気がついたといいます。さらに侵入から発見までの平均期間は146日(約5か月)と長期に及びます。
APT攻撃による被害事例
ここでは過去に明るみになった国内外のAPT攻撃の事案を2つ紹介します。
国内の大手電機メーカーの度重なる被害
国内の大手電機メーカーが2020年1月と2月に公表した内容によれば、中国系のハッカー組織からとみられる大規模なサイバー攻撃を受け、個人情報のほか企業の機密情報が外部に漏えいしたとのことです。
その経緯として、2019年3月に同社の中国拠点のサーバーが脆弱性を突かれて攻撃され、4月にマルウエア感染が国内拠点に拡大し、不正アクセスが7月まで続いたとしています。流出した情報には個人情報のほか、防衛や電力・鉄道のインフラ関係、自動車など国内外の企業、また官公庁のデータが含まれていました。
手口は巧妙で、中国拠点のウイルス対策管理サーバーを介して検知困難な「ファイルレスマルウエア」を配布、さらにログを消去して被害確定を不能にするという手の込んだものでした。
さらに2020年11月にテレワークによる接続緩和措置が狙われて、別のサイバー攻撃が発生、口座情報など取引先の情報が外部流出しました。これらの事例は国防やインフラなど社会基盤に関わる企業が狙われている実態を示した一つにすぎません。
米国の大統領選挙戦中の電子メール暴露事件
APT攻撃は国政に大きな影響を及ぼすことがあります。以下は米国で起こった一連の騒動のごく一部にすぎませんが、APT攻撃があったと認定された例の一つです。
2016年米国の大統領選挙戦の最中に民主党本部と候補者陣営がハッキングされ、関係者のメールが公になる事件がありました。直接攻撃を受けた主な被害者は米国民主党の2つの組織と大統領候補の選挙責任者です。いずれもスピアフィッシングメールという標的型攻撃メールにだまされ、情報漏えいに至りました。
経緯
攻撃段階 | 日付 | 場所 | 内容 |
---|---|---|---|
潜入 | 2016年4月6~18日頃 | 議会選挙対策委員会 | スピアフィッシングにより職員からログインパスワードを窃取、ネットワークに侵入議会選挙対策委員会と全国委員会の双方にログイン権限を持つ職員からパスワードを窃取 |
横断的侵害 | ~2016年6月 | 全国委員会 | ネットワークに侵入、33台のパソコンにアクセス |
活動 | 2016年5~6月 | 全国委員会 | 数千通のメールを窃取 |
攻撃段階 | 日付 | 内容 |
---|---|---|
潜入 | 2016年3月19日頃 | 選対責任者の個人メールアドレスにスピアフィッシングメールを送信、ログインパスワードを入手 |
活動 | - | 5万通のメールを窃取 |
大統領選挙戦の当時に、民主党候補者がかつて公務のメールを私的なアカウントで扱っていたことが問題視されていました。そこに狙いすましたかのように窃取されたメールが大量に暴露され、民主党陣営が動揺、その後の選挙戦にも大きく影響したようです。
この事件について、米国政府は2016年10月にロシア政府によるものと非難、2017年1月には調査報告書にてロシアによる大統領選挙戦の妨害工作の存在を認定しています。
APT攻撃の対策
ここではAPT攻撃に有効とされる多層防御や、具体的な対策決定のためのリスク評価、他の組織との連携について説明します。
APT攻撃発覚時の対応
APT攻撃対策にはネットワーク侵入を前提とする「多層防御」が定石とされます。
- 多層防御
-
- 入口対策:侵入阻止
- 内部対策:活動痕跡の検出&拡散防止
- 出口対策:情報持ち出しなど
多層防御は何にでも一律に適用せず、システムの用途や業務の性質、またリスクやリソースを勘案し、何においてどのレイヤーを重点的に対策するか決めます。その決定には次項のリスク評価が必要です。
なおAPT攻撃の対策として攻撃発覚からの体制と対応手順を整備するほか、定期的な多層防御の点検・評価、標的型攻撃の耐性を高めていくことも望まれます。それには教育や対応訓練が有効的です。
システムや業務ごとのリスク評価
APT攻撃のリスク評価では、業務の特性や被害による影響度を勘案します。APT攻撃のリスクが高くても、通信遮断により業務に支障をきたす対象(メール等)には完全な防御策をとれません。適切なリスク評価と多層防御策により、万一侵入されてもその後の2つの段階(内部対策・出口対策)で防御し、事業運営とリスク回避の最適なバランスを取るようにします。
入口 | 内部活動 | 出口 | |
---|---|---|---|
事象 | Webサーバーの不正アクセス | ホームページの改ざん | 誤情報の伝達ページ表示によるマルウエア拡散 |
リスク度合い | 本質的でない | 本質的でない | 重大 |
対策 | 脆弱性排除不審なアクセスの検知・防御 | 改ざん検知 | 公開停止 or 修復 |
難易度/コスト | 高 | 比較的低め | 低 |
上記はあくまで一例で、事業や社会に多大な影響を及ぼすAPT攻撃のリスク度合いや防御の難易度・技術面・コストを考慮して評価や対策案を決定します。この例ではWebサーバーやWebアプリを経由する侵入対策よりは、内部活動の検知と出口対策(情報改ざんによる被害抑止)に重点を置くことで実効性を高めています。
他組織との情報連携
APT攻撃は標的の対象となった組織のみならず、その組織と親しい産業団体やグループ企業を攻撃して踏み台とすることがあります。そのため、普段から他の組織と交流するなど、情報交換のパイプを作っておくことは有益であると考えられます。いざというときに情報提供などで協力したり、もしかしたら支援を受けられるかもしれません。
それには他の組織との常設窓口を設置し、セキュリティベンダーやJPCERT/CC、任意団体など、どんな組織と何を共有・協力するのかをあらかじめ決めておくといいでしょう。
まとめ
APT攻撃は標的型攻撃のなかでトップクラスの脅威で、長期にわたり執拗に行われるため非常に厄介です。組織内でAPT攻撃の抵抗力を高め、事業運営とリスクを考慮して対処し、攻撃者のサプライチェーンを断ちましょう。