Zpedia 

/ 高度な標的型攻撃(APT)とは

高度な標的型攻撃(APT)とは

高度な標的型攻撃(APT)は、高いスキルを持つ攻撃者が仕掛ける高度なサイバー攻撃です。機密データの窃取やスパイ活動、長期間にわたる業務の妨害を目的として設計されています。

APT対策ソリューションはこちら
サイバー脅威対策
  1. APTの特徴
  2. APTの仕組み
  3. APTを実行する攻撃者の種類
  4. 実例
  5. APTを検出および防御する方法
  6. 高度な脅威対策
  7. よくある質問
  8. 関連するトピック

高度な標的型攻撃(APT)の特徴

APTは、幅広い標的を対象とするフィッシングなどとは大きく異なります。こうした日和見的な攻撃は、戦略として多数の標的に対して展開される傾向があり、未熟な攻撃者でも実行できます。一方、APTには以下のような特徴があります。

  • 標的の限定:特定の組織、業界、個人、政府の侵害を目的として入念に設計されています。APTの標的は通常、攻撃者が操作、破壊、販売できる価値の高いデータや機密データを所有しています。
  • 長期の潜伏:数か月から数年にわたってネットワーク内で検出されないように設計されており、攻撃者は標的を慎重に分析する時間を確保し、攻撃の成果を高め、規模を拡大できます。
  • 高いステルス性と回避技術:基本的なセキュリティ対策では見落とされる技術を使用します。最も一般的な戦略には、暗号化、正当なコードやアプリへのなりすまし(スプーフィング)、自己書き換え(ポリモーフィズム)などがあります。
  • 国家や犯罪組織の支援:多くの場合、政治的な目的や競争優位性、利益を追求する政府または地下組織によって支援されています。攻撃者は、こうした組織の支援を受けることで、専用のツールや脆弱性の悪用技術を利用できます。

高度な標的型攻撃の仕組み

APTは段階的なライフ サイクルに従って標的に侵入し、制御を確立しながら、検出を回避します。重要な段階は以下のとおりです。

  1. 偵察:攻撃者は標的に関する情報を収集し、理想的な攻撃経路を見つけます。標的のネットワーク、アプリ、ユーザー(名前、ログイン資格情報など)、パートナーなどに関する詳細な情報が収集の対象となります。
  2. 初期侵入:ソーシャル エンジニアリング(スピア フィッシング メール、ビジネス メール詐欺など)やゼロデイ エクスプロイト、水飲み場型攻撃を通じて、標的のネットワークにアクセスします。
  3. 足場の確立:リモート アクセス型トロイの木馬(RAT)やバックドアなどのマルウェアを展開し、元の侵入口が閉じられた場合にアクセスを回復できるようにします。
  4. 権限昇格:盗んだログイン資格情報を使用するか、内部のセキュリティ上の欠陥(緩いアクセス ポリシー、設定ミスなど)を悪用し、高レベルの権限や管理者アクセスを取得します。
  5. ラテラル ムーブメント新たな権限を使用して検出されずにネットワーク内を移動し、環境内の状況を把握しながら足場をさらに強化します。
  6. データの持ち出し:価値の高いデータ(知的財産、財務記録、顧客情報など)を攻撃者自身が管理する外部の拠点に転送します。多くの場合、データを暗号化したり、正当なトラフィックに埋め込んだりすることで検出を回避します。
  7. 痕跡の隠蔽:ネットワークへのアクセスを維持し、検出を回避し続けるために、ログの変更や削除、タイムスタンプの変更などを行う場合があります。

新たなAPTの戦術、技術、手順(TTP)

APTグループは前述の手口に加え、APTに対する確立されたセキュリティ手法を回避するために新たな技術を進化させ続けています。

クラウド サービスの悪用

APTグループがGitHubやDropboxなどの正規のクラウド サービスを悪用してステルス攻撃を行うケースが増えています。これらのサービスにはネイティブの暗号化機能が備えられているため、以下のような戦術を用いることでAPTを簡単に隠すことができます。

  • APIの悪用:信頼されたソフトウェア統合を悪用し、セキュリティ制御を回避します。
  • Webhookの悪用:自動化されたアプリ間通信を悪用し、攻撃元の場所を隠します。
  • デッド ドロップ リゾルバー:クラウド ストレージを悪用し、悪意のあるインフラの場所を隠します。
  • ペイロード ホスティング:ユーザーやセキュリティ ツールが信頼するプラットフォーム上に悪意のあるペイロードを保存します。

ソーシャル メディアの悪用

APTの攻撃者は、高度なソーシャル エンジニアリングやデッド ドロップなどを隠すためにソーシャル メディアも悪用しています。LinkedInやX (Twitter)などのプラットフォームでリクルーターやセキュリティ研究者を装うことで、攻撃の一部を公然と実行できます。

詳細はThreatLabz暗号化された攻撃の現状レポートをご確認ください。

高度な標的型攻撃を実行する攻撃者の種類

APTの攻撃者を大まかに分類すると、以下のいずれかに該当します。

  • 国家アクター
  • ハクティビスト グループ
  • サイバー犯罪組織
  • 外部から動機付けられた内部関係者

APTの背後にいる攻撃者は、高度なスキルを持つハッカーであり、通常は十分なリソースや財政的支援を提供されているため、高度な方法やツールにアクセスできます。支援者は営利目的の犯罪組織であることもありますが、主にサイバー スパイ活動に関与する国家支援型のグループです。中国、イラン、北朝鮮、ロシアに拠点を置くグループは、重要なAPTキャンペーンに繰り返し関与しています。

APTの実例

APTは、活発な脅威として拡大を続けています。最近のインシデントの例を以下に紹介します。

  • 北朝鮮からの欧米へのリモート就業北朝鮮の脅威アクターはソーシャル エンジニアリング、生成AI、窃取されたデータ(ソース コード、個人データ、暗号通貨ウォレットなど)を利用して、欧米諸国でリモート就業しています。
  • Kimsuky (APT43):北朝鮮が支援する脅威グループで、悪意のあるChrome拡張機能を含むさまざまな手口により、韓国のシンク タンク、政府機関、学校からログイン資格情報や追跡データなどを盗んでいます。
  • Earth Baku (APT41):中国を拠点とし、「DodgeBox」と呼ばれるステルス性の高いローダーでバックドア マルウェア「MoonWalk」を配信します。当初は東南アジアの組織を標的としていたことで知られていましたが、現在は欧州、中東、アフリカにも活動を拡大しています。

また、これ以前にも、いくつかのAPTが非常に大きな爪痕を残しています。

  • SolarWinds攻撃(2020年):ロシアの国家支援型攻撃で、SolarWinds Orionソフトウェアのアップデートをトロイの木馬化することで、米国の政府機関を含むSolarWindsの顧客およそ18,000件のシステムをマルウェアのインストールが可能な状態にしました。
  • Stuxnet (2010年):秘密裏のサイバー破壊工作の一部であるとされているワーム型マルウェアで、イランの核施設の産業プロセスを中断し、推定1,000台の核遠心分離機に重大な損害を与えました。
  • オーロラ作戦(2009年):中国が支援する攻撃で、Internet Explorerのゼロデイ脆弱性を悪用することで、Adobe、Google、Yahooなどの数十の大企業からデータを盗み出しました。このインシデントにより、Googleは中国での事業を中止しました。

APTキャンペーンの影響

APTは大きな影響を与える可能性があり、データ侵害はその始まりにすぎません。侵害の余波で金銭的な損失を被るだけでなく、法規制上の問題に直面したり、評判が損なわれたりする可能性もあり、回復には非常に長い時間がかかる場合があります。

APTによって重要なオペレーションやシステムの中断が発生すると、サプライ チェーンや製造、社会インフラの停止につながるだけでなく、より広範な政治的、経済的混乱を招く可能性があります。特に、オーロラ作戦とStuxnet攻撃の事例は、APTが長期的にどのような社会政治的、地政学的な緊張を引き起こすかを示しています。

APTを検出および防御する方法

APTグループは、攻撃が検出されにくいよう巧みな設計を行っていますが、検出は不可能ではありません。APTに対する防御には、以下を実現する堅牢かつプロアクティブなセキュリティ アーキテクチャーが必要です。

  • 完全な可視性:継続的な監視により、エンドポイント、ネットワーク、クラウド全体の死角を排除し、不審なアクティビティーを検出します。
  • 異常の検出:AIを活用したツールを使用することで、異常なトラフィック フローや正当なものを装ったデータ窃取の試みなどの異常なパターンを特定できます。
  • 統合された脅威インテリジェンス:リアルタイムの脅威インテリジェンスによって外部のデータを内部のアクティビティーに関連付け、APT固有の戦術をより迅速に特定できるようにします。
  • プロアクティブな脅威ハンティング:熟練の脅威ハンターは、権限昇格やラテラル ムーブメントなどのアクティビティーを、自動アラートがトリガーされる前に探し出すことができます。
  • 高度な検知ツール:エンドポイントでの検知と対応(EDR)、侵入検知システム(IDS)、サンドボックスなどのツールを使用することで、従来のツールでは見逃されるAPT振る舞いのサインを発見できます。
  • ゼロトラスト アーキテクチャー:最小権限アクセス制御とアイデンティティーやデバイスの継続的な検証により、ラテラル ムーブメントや権限昇格のリスクを最小限に抑えます。

ZscalerのAPT対策

Zscalerは、重要な機能をクラウド ネイティブのゼロトラスト アーキテクチャーおよび高度な分析機能と統合し、APTに対する包括的なセキュリティを実現します。Zscalerのアプローチでは、以下の機能を組み合わせます。

  • 完全なインライン トラフィック検査Zscalerのクラウド ネイティブなプロキシ アーキテクチャーでは、暗号化されたTLS/SSLトラフィックを含むインバウンドとアウトバウンドのトラフィックを、どのような規模でもすべて検査できます。
  • インラインのクラウド サンドボックス分析ZscalerのAIを活用型サンドボックスは、無制限かつ遅延のない検査とリアルタイムの判定を提供し、脅威がエンドポイントへ到達する前にブロックします。
  • 専門家の脅威インテリジェンスZscalerの脅威調査チームであるThreatLabzでは、新たな傾向や戦術を把握するために、世界で最も高度なAPTグループを積極的に追跡しています。

よくある質問

よくある質問

短期で日和見的に実行される一般的なサイバー攻撃とは異なり、APTは戦略的で検出されにくく、長期にわたって実行されます。検出を逃れるために細心の注意を払って構築され、スパイ活動やデータの窃取などの長期的な目的の追求に利用されます。さらに、攻撃は一般的に第三者からの資金援助を受けた高度なスキルを持つ組織的なハッカーによって行われます。

APTグループはステルス性を重視した設計を行っているため、攻撃の検出は困難です。ただし、異常に大規模なデータ転送、突然の構成変更、スピア フィッシングの試みなど、通常と異なるさまざまなアクションがAPTを示唆する可能性があります。通常とは異なる時間や不明なデバイスからのログイン、異常なアクセス要求、頻繁な未知のアウトバウンド接続が見られる場合、そのユーザーは侵害されている可能性があります。

APTの主な標的となるのは、戦略的または金銭的に価値の高いデータや、大きな混乱を引き起こせる可能性のあるデータを持つ組織です。政府および防衛関連、金融サービス、医療、公共事業、輸送、通信などの重要インフラを担う組織のほか、製造、研究開発、教育などの機密性の高い知的財産を保有する組織が含まれます。