標的型攻撃の特殊ケース概説

2012年の今日、企業に対する標的型サイバー攻撃はますます巧妙化し、深刻になり、広範囲に及んでいます。2000年代の半ばに、「ブラックハット」と呼ばれるコミュニティは、ハッキングを目的とした若いハッカーの集まりから、組織化された犯罪ネットワークへと進化し、企業や政府のネットワークから盗み出した大量の個人情報を使用して、高収益を上げる個人情報の窃盗手法に注力しています。

さらに最近では、モバイル化、クラウドコンピューティング、および仮想化などの IT インフラと利用モデルの変化によって、ハッカーにとっては「標的の豊富な」環境が生まれています。こうした最近の脅威傾向のなかで、おそらく最も重要なのは、隠れた攻撃者が攻撃対象を絞って長期的に行う国際的なスパイ活動や破壊活動です。

長期間にわたる国際的なサイバー攻撃は「Advanced Persistent Threat（APT）」と呼ばれることがあります。日本では「標的型サイバー攻撃」という用語でメディアや一部の技術ベンダーで使用されて流行していますが、誤用もされているようです。APTとして区別される標的型サイバー攻撃 は今日の世界において現実的な脅威を代表するものですが、より大きな文脈でその意味を理解することが重要です。過剰な報道と事実をはっきりと区別し、APT がより幅広い標的型攻撃の手法や技法とどのように関連しているかを理解することで、企業は将来的に情報と業務を安全に守ることができます。

これから3回にわたり、APTの解説を中心に最近の脅威の手口と、対策について解説いたします。

APTとは

APTは標的型攻撃の一種です。標的型攻撃は、例えばドライブバイダウンロード、Microsoft SQL インジェクション、マルウェア、スパイウェア、フィッシング、およびスパムなど、幅広い技法を使用します。APTは標的型攻撃のなかでも特殊なケースであり、標的型攻撃全てがAPTではありません。

APT は次の点で他の標的型攻撃と異なります。

カスタマイズされた攻撃

APTは攻撃活動に特化して開発された、高度にカスタマイズされたツールや侵入テクニックを使用します。ゼロデイ脆弱性を使った侵入、ウイルス、ワームおよびルートキットなどが含まれます。

身を潜めてゆっくりと活動する

APT攻撃は長期間にわたって行われ、その間に攻撃者はゆっくりと静かに活動して、スパイ活動を発見されないようにします。多くの標的型攻撃にみられる「刹那的」な詐取、強奪とは対照的に、APT では、活動を発見されないように、攻撃者は「ゆっくりと」「目立たないように」潜入させたウイルスと交信を続けながら活動します。

高度な動機付け

一般的な標的型攻撃で見られる、短期間でお金に換えられる情報を獲得する手法とは違い、APT は国際的なスパイ活動や破壊活動の要求事項に応えるよう設計されています。これには政治的な背景を持つ組織が主体として関与しています。APTの目的には、軍事情報、政治情報、経済情報の収集、機密データや企業秘密の取得、業務の妨害のほか、物理的な設備の破壊も含まれる場合があります。

特定の標的?

標的型攻撃では、知的財産や貴重な顧客情報を保有している大規模企業の大半が攻撃の対象となる可能性がありますが、APTでは比較的小さな範囲に攻撃対象を絞ります。広く報告されているAPT攻撃は、政府機関や施設、防衛事業者、およびグローバル市場において非常に競争力の高い製品を扱うメーカーを対象としています。さらに、APTは主要な攻撃対象と取引を行うベンダーやそのパートナー企業を攻撃する場合があります。ただし、攻撃対象となるのは政府関連の企業やメーカーのみでありません。貴重な技術や知的財産を持つ一般的な企業も、政治的な背景を持つ組織の攻撃対象となっています。さらに、重要な国家インフラを継続的に運営する企業も攻撃対象になる可能性があります。

APT を理解することの意義

すべての企業が APTの攻撃対象にはならないものの、一部の企業にとって APTが現実的で深刻な脅威であることは今や明らかです。APT の攻撃手法は、主要なハッカーやサイバー犯罪者が採用される可能性が高いため、APTの理解を高めることはどの企業にとっても有効となります。APTは高度に進化した、長期的で大規模な標的型攻撃です。標的型攻撃ではどの企業も攻撃対象となる可能性があるため、APTをよりよく理解することによって、標的型のあらゆる種類の脅威から、企業をより適切に守ることができます。