APT攻撃

出典: フリー百科事典『ウィキペディア(Wikipedia)』

APT攻撃(APTこうげき、英:Advanced Persistent Threat、持続的標的型攻撃)はサイバー攻撃の一分類であり、標的型攻撃のうち「発展した/高度な(Advanced)」「持続的な/執拗な(Persistent)」「脅威(Threat)」の略語で長期間にわたりターゲットを分析して攻撃する緻密なハッキング手法[1][2][3]。「ターゲット型攻撃(APT)」とも訳される[4]

独立行政法人 情報通信研究機構(NICT)のサイバー攻撃対策総合研究センター(CYREC)では「特定の相手に狙いを定め、その相手に適合した方法・手段を適宜用いて侵入・潜伏し、数か月から数年にわたって継続するサイバー攻撃」[5]としている。世界のセキュリティー業界では、組織名不明のクラッカー組織を見つけると、イランに拠点を置くハッカー組織APT33、ロシアのAPT29、北朝鮮のAPT38のように「APT+数字」で名前を付ける[3]

経緯[編集]

特定の組織内の情報を窃取するためのコンピュータウイルスマルウェアが標的型脅威Targeted threat)と分類され、これらを用いるサイバー攻撃が標的型攻撃と呼ばれるようになり、無差別に行われる他のサイバー攻撃と区別していた。

2005年7月には、標的型攻撃の中でも、高度な技術を駆使するものについての警告がイギリスのUK-NISCCとアメリカのUS-CERTから発行された [6] [7] 。ただし、当時はまだAPT(Advanced Persistent Threat)という用語は用いていなかった。

最初にAPT(Advanced Persistent Threat)という用語を用いたのは、2006年、アメリカ空軍においてであったという。 正体不明の敵による攻撃について論じる際に、この用語は適していたという [8]

今日、APT攻撃は、標的型攻撃の中で区別されるようになっている [9] [10]

2010年1月、Googleの中国拠点等において発生した「オーロラ作戦Operation Aurora)」という一連の攻撃事件が話題になった [11]

2010年6月、中東の原子力施設を狙った「スタックスネットStuxnet)」というコンピュータワームが発見された。

2010年12月に独立行政法人 情報処理推進機構(IPA)から内容的にAPT攻撃についてのレポートが公開された [12]

2013年4月に独立行政法人 情報通信研究機構(NICT)が設立した「サイバー攻撃対策総合研究センター(CYREC)」の設立理由の筆頭に、このAPT攻撃が記述されている [5]

攻撃プロセス[編集]

攻撃プロセスは、次のように整理できる [13]

  • 初期侵害(Initial Compromise):バックドア不正プログラム投入(通常の標的型攻撃
  • 拠点確立(Establish Foothold):バックドアとの通信を確立、追加機能投入
  • 権限昇格(Escalate Privileges):パスワードクラック、パス・ザ・ハッシュ(Pass the hash)等
  • 内部偵察(Internal Reconnaissance):イントラネット構成調査
  • (水平展開(Move Laterally):イントラネット内を移動)←反復
  • (存在維持(Maintain Presence):バックドアの追加設置等)←反復
  • 任務遂行(Complete Mission):情報の窃取(ファイル圧縮・ファイル転送等)

緩和戦略[編集]

イントラネットの設計・構築・運用管理において、多層防御を行う必要がある [14][15]

  • 潜入しているマルウェア(遠隔操作ツール RAT)を発見するためには、そのRATが行うネットワーク内外への通信を捉えることが重要である[16][8]
  • クライアントPCについて、Windows標準のセキュリティ機能(ZoneID、AppLocker等)を設定することによって、メール添付ファイルの実行を抑止できる[17]
  • マルウェアを検出したクライアントPCをネットワークから自動遮断するソリューションを活用することができる[18]
  • 攻撃者が心理的に「内部偵察」しにくいようにイントラネットのシステムを設計し、攻撃者の「内部偵察」活動を発見するための「トラップ(罠)」を設置し、システム管理者が「水平展開」活動に早期に気付くことができるようにする必要がある。
  • 攻撃の痕跡をデータログに捕捉できるようにサービスや機器を設定する[19]

組織内にCSIRT(Computer Security Incident Response Team)を編成し、運営する[20]

APTグループ[編集]

国名 APT グループ名 別名 出典
中国 APT1 中国人民解放軍61398部隊 Comment Crew、Comment Panda、GIF89a、Byzantine Candor [21]
APT2 PLA Unit 61486
APT3 Buckeye UPS Team[21] [22]
APT4 Maverick Panda、Sykipot Group、Wisp [21]
APT6 [21]
APT7 [21]
APT8 [21]
APT9 [21]
APT10 Red Apollo英語版 APT10 (by Mandiant)、MenuPass (by ファイア・アイ)、Stone Panda (by Crowdstrike)、POTASSIUM (by マイクロソフト) [23][24]
APT12 Numbered Panda英語版 Calc Team [21]
APT14 [21]
APT15 ニッケル (ハッカー集団)英語版 KE3CHANG、Vixen Panda、Royal APT、Playful Dragon [25]
APT16 [21]
APT17 Tailgator Team、DeputyDog [21][26]
APT18 Wekby [21]
APT19 Codoso Team
APT20 Wocao Twivy[21] [27][28]
APT21 Zhenbao [21]
APT22 Barista [21]
APT23 [21]
APT24 PittyTiger [21]
APT25 Uncool、Vixen Panda、Ke3chang、Sushi Roll、Tor [21]
APT26 [21]
APT27 [29]
APT30 PLA Unit 78020 Naikon
APT31 ジルコニウム (ハッカー集団) [30][31]
APT40 Periscope Group英語版 BRONZE MOHAWK、FEVERDREAM、G0065、Gadolinium、GreenCrash、Hellsing、Kryptonite Panda、Leviathan、MUDCARP、Periscope、Temp.Periscope、Temp.Jumper
APT41 ダブルドラゴン (ハッカー集団)英語版 Winnti Group、Barium、Axiom [32][33][34][35]
Tropic Trooper [36][37]
ハフニウム [38][39]
イラン APT33 Elfin Team英語版 Refined Kitten(by Crowdstrike)、マグナリウム (by Dragos)、ホルミウム (by マイクロソフト) [40][41][42]
APT34 Helix Kitten英語版
APT35 Charming Kitten英語版 APT35 (by Mandiant)、Phosphorus (by Microsoft)[43]、Ajax Security (by ファイア・アイ)[44]、NewsBeef (by カスペルスキー)[45][46]
APT39
Pioneer Kitten [47]
イスラエル 8200部隊
北朝鮮 キムスキー ベルベット・チョンリマ、ブラック・バンシー
APT37 Ricochet Chollima英語版 Reaper、ScarCruft
APT38 ラザルスグループ
ロシア APT28 ファンシーベア Fancy Bear、APT28 (by Mandiant)、Pawn Storm、Sofacy Group (by Kaspersky)、Sednit、Tsar Team (by ファイア・アイ)、ストロンチウム (by マイクロソフト) [48][49]
APT29 コージーベア英語版 CozyCar[50]、CozyDuke[51][52] (by F-Secure)、Dark Halo、The Dukes (by Volexity)、NOBELIUM、Office Monkeys、StellarParticle、UNC2452、YTTRIUM
サンドワーム Unit 74455、Telebots、ブードゥー・ベア、アイアン・バイキング [53]
ベルセルクベア英語版 Crouching Yeti、Dragonfly、Dragonfly 2.0、DYMALLOY、Energetic Bear、Havex、IRON LIBERTY、Koala、TeamSpy [54][55][56]
FIN7
Venomous Bear
アメリカ イクエーション・グループ [57]
ウズベキスタン サンドキャット ウズベキスタン国家保安庁 [58]
ベトナム APT32 OceanLotus英語版 [59][60]
不明 APT5 [21]

関連項目[編集]

脚注[編集]

[脚注の使い方]
  1. ^ ターゲット型攻撃(APT)への対策”. トレンドマイクロ. 2015年6月11日閲覧。
  2. ^ 中山 貴禎 (2013年9月2日). “脅威の本質を知る:断固たる決意で襲ってくる「APT攻撃」とは”. ZD Net Japan. 2015年6月11日閲覧。
  3. ^ a b 「北朝鮮のハッカー組織、海外で1260億円奪おうとした」朝鮮日報」『』。2018年10月4日閲覧。
  4. ^ 「持続的標的型攻撃」とは?”. シスコシステムズ. 2015年6月11日閲覧。
  5. ^ a b サイバー攻撃対策総合研究センター(CYREC)
  6. ^ JPCERT/CC REPORT 2005-07-13”. JPCERT/CC (2005年7月13日). 2015年6月14日閲覧。
  7. ^ TRTA05-189A「トロイの木馬」添付メールの流布”. JVN (2005年7月11日). 2015年6月14日閲覧。
  8. ^ a b Beth E. Binde; Russ McRee, Terrence J. O'Connor. “Assessing Outbound Traffic to Uncover Advanced Persistent Threat (PDF)”. SANS Technology Institute. 2015年6月14日閲覧。
  9. ^ サイバー攻撃 : 標的型攻撃とは、APTとは”. Symantec. 2015年6月13日閲覧。
  10. ^ Sean Bodmer; Dr. Max Kilger; Gregory Carpenter; Jade Jones (2012). Reverse Deception: Organized Cyber Threat Counter-Exploitation. McGraw-Hill Osborne Media. ISBN 978-0071772495 
  11. ^ Mikko Hypponen (2010年1月14日). “Googleに対する標的型攻撃”. ITmedia. http://www.itmedia.co.jp/enterprise/articles/1001/14/news085.html 2015年6月18日閲覧。 
  12. ^ IPAテクニカルウォッチ『新しいタイプの攻撃』に関するレポート”. IPA. 2015年6月11日閲覧。
  13. ^ APT1: Exposing One of China's Cyber Espionage Units (PDF)”. Mandiant. pp. 63-65 (2013年). 2015年6月11日閲覧。
  14. ^ 河野 省二 (2014年9月1日). “多層防御と情報セキュリティコストの最適化”. dit. 2015年6月15日閲覧。
  15. ^ 標的型サイバー攻撃から重要資産を守るために、いま企業がやるべきこと:第2回 本当の多層防御を考える”. McAfee Blog (2012年1月18日). 2015年6月15日閲覧。
  16. ^ “「標的型メールは防げない」――年金機構の情報流出から学ぶべきこと、トレンドマイクロが公開”. ITmedia. (2015年6月11日). http://www.itmedia.co.jp/news/articles/1506/11/news137.html 2015年6月13日閲覧。 
  17. ^ 北河 拓士 (2015年9月16日). “続・設定を見直すだけ、いますぐ簡単にできる「標的型メール攻撃対策」”. @IT. 2015年12月19日閲覧。
  18. ^ 大塚 昭彦 (2015年7月1日). “キヤノンITS、ウイルス感染端末の自動遮断ソリューション”. ASCII. http://ascii.jp/elem/000/001/024/1024165/ 2015年12月11日閲覧。 
  19. ^ 高度サイバー攻撃への対処におけるログの活用と分析方法 (PDF)”. JPCERT/CC (2015年11月17日). 2015年12月13日閲覧。
  20. ^ 組織内CSIRT の必要性 (PDF)”. JPCERT/CC (2015年11月26日). 2015年6月13日閲覧。
  21. ^ a b c d e f g h i j k l m n o p q r s t APT攻撃グループ”. ファイア・アイ. 2022年1月17日閲覧。
  22. ^ Buckeye: Espionage Outfit Used Equation Group Tools Prior to Shadow Brokers Leak”. Symantec (2019年5月7日). 2019年5月7日時点のオリジナルよりアーカイブ。2019年7月23日閲覧。
  23. ^ APT10 (MenuPass Group): New Tools, Global Campaign Latest Manifestation of Longstanding Threat” (英語). FireEye. 2021年3月7日閲覧。
  24. ^ Kozy, Adam (2018年8月30日). “Two Birds, One STONE PANDA” (英語). 2021年3月7日閲覧。
  25. ^ MS、中国APTグループ「Nickel」が攻撃に使用していたドメインを押収”. ZDNet Japan (2021年12月7日). 2022年1月4日閲覧。
  26. ^ “APT17: Hiding in Plain Sight - FireEye and Microsoft Expose Obfuscation Tactic”. FireEye. (2015年5月). https://www2.fireeye.com/rs/fireye/images/APT17_Report.pdf 
  27. ^ Wocao APT20”. fox-it.com. NCC Group (2019年12月19日). 2022年1月4日閲覧。
  28. ^ China-Based Cyber Espionage Group Targeting Orgs in 10 Countries”. www.darkreading.com. Dark Reading (2019年12月19日). 2020年1月12日閲覧。
  29. ^ Chinese hackers posed as Iranians to breach Israeli targets, FireEye says”. www.cyberscoop.com (2021年8月10日). 2021年8月15日閲覧。
  30. ^ Right country, wrong group? Researchers say it wasn't APT10 that hacked Norwegian software firm”. www.cyberscoop.com. Cyberscoop (2019年2月12日). 2020年10月16日閲覧。
  31. ^ Google offers details on Chinese hacking group that targeted Biden campaign”. Cyberscoop (2020年10月16日). 2020年10月16日閲覧。
  32. ^ Double Dragon APT41, a dual espionage and cyber crime operation”. FireEye (2019年10月16日). 2020年4月14日閲覧。
  33. ^ Bureau names ransomware culprits”. www.taipeitimes.com. Taipei Times (2020年5月17日). 2020年5月22日閲覧。
  34. ^ No "Game over" for the Winnti Group”. www.welivesecurity.com. We Live Security (2020年5月21日). 2020年5月22日閲覧。
  35. ^ Greenberg, Andy (August 6, 2020). “Chinese Hackers Have Pillaged Taiwan's Semiconductor Industry”. Wired. https://www.wired.com/story/chinese-hackers-taiwan-semiconductor-industry-skeleton-key/ 2020年8月7日閲覧。. 
  36. ^ Tropic Trooper's Back: USBferry Attack Targets Air-gapped Environments”. blog.trendmicro.com. Trend Micro (2020年5月12日). 2020年5月16日閲覧。
  37. ^ Hackers target the air-gapped networks of the Taiwanese and Philippine military”. ZDnet. 2020年5月16日閲覧。
  38. ^ Naraine, Ryan (2021年3月2日). “Microsoft: Multiple Exchange Server Zero-Days Under Attack by Chinese Hacking Group” (English). securityweek.com. Wired Business Media. 2021年3月3日閲覧。
  39. ^ Burt, Tom (2021年3月2日). “New nation-state cyberattacks” (English). blogs.microsoft.com. Microsoft. 2021年3月3日閲覧。
  40. ^ Elfin: Relentless Espionage Group Targets Multiple Organizations in Saudi Arabia and U.S.”. 2022年1月4日閲覧。
  41. ^ MAGNALLIUM | Dragos” (2020年5月30日). 2022年1月4日閲覧。
  42. ^ Microsoft says Iran-linked hackers targeted businesses” (2019年3月6日). 2022年1月4日閲覧。
  43. ^ Microsoft uses court order to shut down APT35 websites”. CyberScoop (2019年3月27日). 2022年1月4日閲覧。
  44. ^ Ajax Security Team lead Iran-based hacking groups”. Security Affairs (2014年5月13日). 2022年1月4日閲覧。
  45. ^ Freezer Paper around Free Meat”. securelist.com. 2022年1月4日閲覧。
  46. ^ Bass, Dina. “Microsoft Takes on Another Hacking Group, This One With Links to Iran”. news.bloomberglaw.com. 2022年1月4日閲覧。
  47. ^ Pioneer Kitten APT Sells Corporate Network Access”. threatpost.com. 2022年1月4日閲覧。
  48. ^ Poulson, Kevin (2018年7月21日). “Mueller Finally Solves Mysteries About Russia's 'Fancy Bear' Hackers”. https://www.thedailybeast.com/mueller-finally-solves-mysteries-about-russias-fancy-bear-hackers 2018年7月21日閲覧。 
  49. ^ DimitrisGritzalis,Marianthi Theocharidou,George Stergiopoulos (2019-01-10) (英語). Critical Infrastructure Security and Resilience: Theories, Methods, Tools .... Springer, 2019. ISBN 9783030000240. https://books.google.com/books?id=zAuCDwAAQBAJ&q=APT28%2C+RED+October 
  50. ^ “Who Is COZY BEAR?”. CrowdStrike. (2016年9月19日). https://www.crowdstrike.com/blog/who-is-cozy-bear/ 
  51. ^ F-Secure Study Links CozyDuke to High-Profile Espionage (Press Release)” (2015年4月30日). 2017年1月6日閲覧。
  52. ^ Cyberattacks Linked to Russian Intelligence Gathering (Press Release)”. F-Secure (2015年9月17日). 2017年1月6日閲覧。
  53. ^ “Six Russian GRU Officers Charged in Connection with Worldwide Deployment of Destructive Malware and Other Disruptive Actions in Cyberspace”. DOJ Office of Public Affairs. United States Department of Justice. (2020年10月19日). https://www.justice.gov/opa/pr/six-russian-gru-officers-charged-connection-worldwide-deployment-destructive-malware-and 2021年7月23日閲覧。 
  54. ^ Dragonfly 2.0, IRON LIBERTY, DYMALLOY, Berserk Bear, Group G0074 | MITRE ATT&CK®”. attack.mitre.org. 2022年1月4日閲覧。
  55. ^ Russian state hackers stole data from US government networks”. BleepingComputer. 2022年1月4日閲覧。
  56. ^ Goodin, Dan (2020年12月7日). “NSA says Russian state hackers are using a VMware flaw to ransack networks”. Ars Technica. 2022年1月4日閲覧。
  57. ^ Equation: The Death Star of Malware Galaxy”. Kaspersky Lab (2015年2月16日). 2019年7月11日時点のオリジナルよりアーカイブ。2019年7月23日閲覧。
  58. ^ Kaspersky finds Uzbekistan hacking op… because group used Kaspersky AV”. arstechnica.com. Ars Technica (2019年10月3日). 2019年10月5日閲覧。
  59. ^ Offensive Cyber Capabilities and Public Health Intelligence: Vietnam, APT32, and COVID-19”. thediplomat.com. The Diplomat. 2020年4月29日閲覧。
  60. ^ Tanriverdi, Hakan; Zierer, Max; Wetter, Ann-Kathrin; Biermann, Kai; Nguyen, Thi Do (2020年10月8日). “Lined up in the sights of Vietnamese hackers”. Bayerischer Rundfunk. https://web.br.de/interaktiv/ocean-lotus/en/. "In Bui’s case the traces lead to a group presumably acting on behalf of the Vietnamese state. Experts have many names for this group: APT 32 and Ocean Lotus are best known. In conversations with a dozen of information security specialists, they all agreed that this is a Vietnamese group spying, in particular, on its own compatriots."