APT攻撃

出典: フリー百科事典『ウィキペディア(Wikipedia)』
移動先: 案内検索
標的型攻撃 > APT攻撃

APT攻撃(英:Advanced Persistent Threat)はサイバー攻撃の一分類であり、標的型攻撃のうち「進んだ/高度な(Advanced)」「持続的な/執拗な(Persistent)」「脅威(Threat)」をいう [1]

「持続的標的型攻撃」と訳されたり [2]、「ターゲット型攻撃(APT)」と訳されており [3]、訳語が統一されているわけではない。

独立行政法人 情報通信研究機構(NICT)のサイバー攻撃対策総合研究センター(CYREC)では「特定の相手に狙いを定め、その相手に適合した方法・手段を適宜用いて侵入・潜伏し、数か月から数年にわたって継続するサイバー攻撃」[4]としている。

経緯[編集]

特定の組織内の情報を窃取するためのコンピュータウイルスマルウェアが標的型脅威Targeted threat)と分類され、これらを用いるサイバー攻撃が標的型攻撃と呼ばれるようになり、無差別に行われる他のサイバー攻撃と区別していた。

2005年7月には、標的型攻撃の中でも、高度な技術を駆使するものについての警告がイギリスのUK-NISCCとアメリカのUS-CERTから発行された [5] [6] 。ただし、当時はまだAPT(Advanced Persistent Threat)という用語は用いていなかった。

最初にAPT(Advanced Persistent Threat)という用語を用いたのは、2006年、アメリカ空軍においてであったという。 正体不明の敵による攻撃について論じる際に、この用語は適していたという [7]

今日、APT攻撃は、標的型攻撃の中で区別されるようになっている [8] [9]

2010年1月、Googleの中国拠点等において発生した「オーロラ作戦Operation Aurora)」という一連の攻撃事件が話題になった [10]

2010年6月、中東の原子力施設を狙った「スタックスネットStuxnet)」というコンピュータワームが発見された。

2010年12月に独立行政法人 情報処理推進機構(IPA)から内容的にAPT攻撃についてのレポートが公開された [11]

2013年4月に独立行政法人 情報通信研究機構(NICT)が設立した「サイバー攻撃対策総合研究センター(CYREC)」の設立理由の筆頭に、このAPT攻撃が記述されている [4]

攻撃プロセス[編集]

攻撃プロセスは、次のように整理できる [12]

  • 初期侵害(Initial Compromise):バックドア不正プログラム投入(通常の標的型攻撃
  • 拠点確立(Establish Foothold):バックドアとの通信を確立、追加機能投入
  • 権限昇格(Escalate Privileges):パスワードクラック、パス・ザ・ハッシュ(Pass the hash)等
  • 内部偵察(Internal Reconnaissance):イントラネット構成調査
  • (水平展開(Move Laterally):イントラネット内を移動)←反復
  • (存在維持(Maintain Presence):バックドアの追加設置等)←反復
  • 任務遂行(Complete Mission):情報の窃取(ファイル圧縮・ファイル転送等)

緩和戦略[編集]

イントラネットの設計・構築・運用管理において、多層防御を行う必要がある [13][14]

  • 潜入しているマルウェア(遠隔操作ツール RAT)を発見するためには、そのRATが行うネットワーク内外への通信を捉えることが重要である[15][7]
  • クライアントPCについて、Windows標準のセキュリティ機能(ZoneID、AppLocker等)を設定することによって、メール添付ファイルの実行を抑止できる[16]
  • マルウェアを検出したクライアントPCをネットワークから自動遮断するソリューションを活用することができる[17]
  • 攻撃者が心理的に「内部偵察」しにくいようにイントラネットのシステムを設計し、攻撃者の「内部偵察」活動を発見するための「トラップ(罠)」を設置し、システム管理者が「水平展開」活動に早期に気付くことができるようにする必要がある。
  • 攻撃の痕跡をデータログに捕捉できるようにサービスや機器を設定する[18]

組織内にCSIRT(Computer Security Incident Response Team)を編成し、運営する[19]

関連項目[編集]

脚注[編集]

[ヘルプ]
  1. ^ 中山 貴禎 (2013年9月2日). “脅威の本質を知る:断固たる決意で襲ってくる「APT攻撃」とは”. ZD Net Japan. 2015年6月11日閲覧。
  2. ^ ターゲット型攻撃(APT)への対策”. トレンドマイクロ. 2015年6月11日閲覧。
  3. ^ 「持続的標的型攻撃」とは?”. シスコシステムズ. 2015年6月11日閲覧。
  4. ^ a b サイバー攻撃対策総合研究センター(CYREC)
  5. ^ JPCERT/CC REPORT 2005-07-13”. JPCERT/CC (2005年7月13日). 2015年6月14日閲覧。
  6. ^ TRTA05-189A「トロイの木馬」添付メールの流布”. JVN (2005年7月11日). 2015年6月14日閲覧。
  7. ^ a b Beth E. Binde; Russ McRee, Terrence J. O'Connor. “Assessing Outbound Traffic to Uncover Advanced Persistent Threat (PDF)”. SANS Technology Institute. 2015年6月14日閲覧。
  8. ^ サイバー攻撃 : 標的型攻撃とは、APTとは”. Symantec. 2015年6月13日閲覧。
  9. ^ Sean Bodmer; Dr. Max Kilger; Gregory Carpenter; Jade Jones (2012). Reverse Deception: Organized Cyber Threat Counter-Exploitation. McGraw-Hill Osborne Media. ISBN 978-0071772495. 
  10. ^ Mikko Hypponen (2010年1月14日). “Googleに対する標的型攻撃”. ITmedia. http://www.itmedia.co.jp/enterprise/articles/1001/14/news085.html 2015年6月18日閲覧。 
  11. ^ IPAテクニカルウォッチ『新しいタイプの攻撃』に関するレポート”. IPA. 2015年6月11日閲覧。
  12. ^ APT1: Exposing One of China's Cyber Espionage Units (PDF)”. Mandiant. pp. 63-65 (2013年). 2015年6月11日閲覧。
  13. ^ 河野 省二 (2014年9月1日). “多層防御と情報セキュリティコストの最適化”. dit. 2015年6月15日閲覧。
  14. ^ 標的型サイバー攻撃から重要資産を守るために、いま企業がやるべきこと:第2回 本当の多層防御を考える”. McAfee Blog (2012年1月18日). 2015年6月15日閲覧。
  15. ^ “「標的型メールは防げない」――年金機構の情報流出から学ぶべきこと、トレンドマイクロが公開”. ITmedia. (2015年6月11日). http://www.itmedia.co.jp/news/articles/1506/11/news137.html 2015年6月13日閲覧。 
  16. ^ 北河 拓士 (2015年9月16日). “続・設定を見直すだけ、いますぐ簡単にできる「標的型メール攻撃対策」”. @IT. 2015年12月19日閲覧。
  17. ^ 大塚 昭彦 (2015年7月1日). “キヤノンITS、ウイルス感染端末の自動遮断ソリューション”. ASCII. http://ascii.jp/elem/000/001/024/1024165/ 2015年12月11日閲覧。 
  18. ^ 高度サイバー攻撃への対処におけるログの活用と分析方法 (PDF)”. JPCERT/CC (2015年11月17日). 2015年12月13日閲覧。
  19. ^ 組織内CSIRT の必要性 (PDF)”. JPCERT/CC (2015年11月26日). 2015年6月13日閲覧。