標的型攻撃(APT)とは

標的型攻撃(APT)とは、長期にわたって継続的に攻撃を実行する目的で、不正な拠点を確立する攻撃のことです。ほかの種類の悪意ある攻撃と比較すると件数は少ないですが、APT は多大な被害をもたらす深刻な脅威と考える必要があります。実際、『NETSCOUT Arbor 13th Annual Worldwide Infrastructure Security Report』によると、2017 年にこの脅威を経験した企業、行政機関、教育機関の割合は 16% とわずかでしたが、その 57% が 2018 年の最大の懸念事項として挙げています。

ほとんどのマルウェアは、即座に損害もたらすような攻撃を実行しますが、APT はそれとは異なり、より明確な戦略に基づいて、監視の目をくぐるアプローチを取ります。攻撃者は、トロイの木馬やフィッシングなどの従来のマルウェアを使用して侵入してきますが、その後、痕跡を消して密かに移動しながら、ネットワーク全体に攻撃ソフトウェアを仕掛けます。足がかりを確立できたら、数か月から数年にわたって継続的かつ長期的にデータを搾取するという目的を達成できるようになります。

データセンターを保護する専用の内部ファイアウォール

Enterprise EDR による高度な脅威ハンティングとインシデント レスポンス

標的型攻撃に常に存在する攻撃シーケンス

APT を実行する攻撃者が目標を達成するにあたっては、ある程度標準的な一連の攻撃アプローチを取ります。以下に、攻撃者が踏む代表的な手順を簡単にまとめます。

  • 特定の戦略を策定する。APT 攻撃者は、攻撃の際に常に意図した目標(一般的にはデータの窃取)を念頭に置いています。
  • アクセスを確立する。攻撃の多くは、脆弱な標的を特定するソーシャル エンジニアリングの手法によって開始されます。そして、よく使われる Web サイトを利用したスピア フィッシング メールやマルウェアを通じて、認証情報やネットワークへのアクセスが確立されます。攻撃者は通常、ネットワークに侵入すると、コマンド&コントロールを確立しようと試みます。
  • 足がかりを確立して探る。攻撃者は、ネットワーク内に拠点を確立すると、水平方向に展開して環境内を自由に探索し、目的のデータに対して最適な攻撃戦略を計画します。
  • 攻撃の準備を整える。次に、ターゲットのデータを集約、暗号化、圧縮して、データを持ち出す準備をします。
  • データを取り出す。ここまでくると、データは簡単に持ち出すことができ、通常は気づかれることなく、密かに世界中のどこにでも移動することができます。
  • 検知されるまで居座る。最終的に検知されるまで、攻撃者の隠された拠点から長期にわたってこのプロセスが繰り返されます。

エンタープライズ環境における APT の手がかり

ほとんどの APT ではデータの持ち出しを目的としており、したがって攻撃者は悪意あるアクティビティの証拠を残しています。CSO によると、わかりやすい主な兆候として、以下のようなものがあります。

  • 深夜など不自然な時間帯におけるログインの増加
  • バックドア型トロイの木馬プログラムの発見
  • 説明のつかない大量のデータフロー
  • 想定されていない集計データの集積
  • Pass-the-Hash 型のハッキング ツールの検知
  • Adobe Acrobat PDF ファイルを使用したスピア フィッシングの集中的なキャンペーン

最近のある脅威ハンティング Web セミナー シリーズでは、企業にとって APT 攻撃の前兆と言える悪意あるアクティビティを探すにあたって必要なことについて、セキュリティ エキスパートからさらに多くのインサイトが提供されました。

それらのエキスパートからの提案は、管理者用ではないシステムを対象として、ネットワーク接続を確立するコマンド シェル(WMI、CMD、PowerShell)や、リモート サーバツールまたはネットワーク管理ツールを探すことです。また、新しいプロセスを呼び出したり、コマンド シェルを生成したりする Microsoft Office ドキュメント、Flash、Java インシデントがないか探すことも推奨されています。

別の手がかりとして、管理者アカウントによる通常とは異なる振る舞いがあります。ローカルまたは企業のドメインでの新しいアカウントの作成や、不審な親プロセスを持つ Window プロセス(lsass、svchost、csrss など)も、その環境での APT の証拠であることがあります。

「企業、行政機関、教育機関の 57% が API をセキュリティ上の最大の懸念事項として挙げています」

業界の動向:APT 攻撃に関するエキスパートのインサイト

よく考えられた APT の例として、ここでは APT10 について簡単に紹介します。このキャンペーンは、おそらく 2009 年にはすでに開始されていたようです。APT10 は、史上もっとも長く続いたサイバーセキュリティ脅威の 1 つと考えられます。最近では、多くの国の複数の業界にわたってマネージド サービス プロバイダー経由で企業を攻撃しました。一部の日本の企業も攻撃を受け、大量のデータが盗まれるなど、計り知れない被害をもたらしました。

2016 年後半から動いていたこれらの攻撃は、PwC UK と BAE Systems によって発見されました。このキャンペーンに関する共同報告書である『Operation Cloud Hopper』において同組織はともに、APT10 による被害の全容を明らかにすることはできない可能性があることをはっきりと認めています。

この報告書から、同組織が APT10 について調査した結果の要点を以下に紹介します。

  • このキャンペーンは、中国に拠点を置く脅威アクターによって仕組まれたものである可能性が高い。
  • 2009 年以前から開始され、さまざまな種類のマルウェアを使用し、時間をかけて前例のないアクセスを獲得した。
  • APT10 の攻撃者は、攻撃の規模や能力を高めるために新たに開発された高度なツールを使用して、攻撃方法を継続的に進化させている。
  • ほとんどの APT 攻撃と同様に、APT10 は知的財産や機密データを狙っている。
  • PwC UK と BAE は、脅威アクターがスタッフや各種リソースを大幅に増やしており、高度なスキルを備えた攻撃者がおそらく複数のチームを構成し、継続的に活動していると考えている。

* 5 signs you've been hit with an APT (Advanced Persistent Threat)

APT を検知する方法:残された手がかりを探す脅威ハンティング

ますます多くの APT が発見されるにつれ、セキュリティ組織はそうした隠された脅威を発見することに徐々に習熟してきています。進化の状況下にあるアプローチの 1 つは、脅威ハンティングです。これは、革新的なテクノロジーと人間のインテリジェンスを組み合わせたプロアクティブな反復的アプローチで、標準的なエンドポイント セキュリティだけでは見逃してしまう攻撃を特定することができます。

平均的な侵害を発見するには 150 日かかりますが、脅威ハンティングでは、フィルタリングされていないエンドポイント データの履歴を観察し、通常では見られない振る舞いや、異常なアクティビティ間の関係性を見つけることで、APT のような攻撃を攻撃シーケンスの早い段階で発見することができます。

脅威ハンターは、革新的なテクノロジー ツール、脅威インテリジェンス、人間のインサイトを駆使して、ハンティングを開始します。次に、検索を繰り返しながらハンティング プロセスを洗練し、侵入経路の発見につなげます。さらに、ハンターは、脅威を遮断することによって脅威に対応し、得られたインサイトやインテリジェンスを将来の環境セキュリティ強化に役立てます。

  • 開始にあたって、脅威ハンターは特定の脅威の既知の特性を、考えられる攻撃シーケンスに関する人間のインサイトと組み合わせて使用できます。ハンターは、環境内を検索するツールを使用して一連の反復検索に取り掛かると同時に、すべてのエンドポイント アクティビティを監視、記録、保存します。
  • 事例として、PwC UK と BAE Systems は、攻撃者が使用していたのは Outlook を経由した E メールのフィッシング キャンペーンで配信された有害な Excel ファイルであることを突き止めました。また、研究者たちは、これらのファイルを開くと、新しいファイルが temp フォルダに作成され、それらのファイルが C2 リスナーとして動作し、8080 番ポートを介して発信されていることも突き止めました。
  • 最初の検索では大量のデータが返されることがあるため、脅威ハンターは通常、範囲を絞り込む必要があります。APT10 の脅威では、重要な機密データが保持されている人事部のマシンが検索条件の 1 つになるかもしれません。次に、脅威ハンターは、既知のインテリジェンスを使用して、検索範囲をさらに絞り込み、Outlook メールの添付ファイルとして配信された Excel ファイルがないかを探すことが考えられます。その後に使用する論理的な検索条件としては、コマンド&コントロール接続が挙げられます。これは、複数の接続が存在するネットワーク接続を検索することで発見可能です。
  • このようにデータ セットを小さくすることで、プロセス分析ツリーとして見ることができ、悪意のある一時ファイルの顕在化につながります。問題のファイルを特定したら、そのファイルが 8080 番ポートを介してネットワーク接続の作成を試みていたかどうかさらに追跡することができます。
  • この一連のアクティビティにより、この環境で APT10 による有効な攻撃があったことを確認できます。脅威ハンティングと高度な次世代アンチウイルス ツールの使用により、ホスト コンピューター上で攻撃を隔離し、ネットワークから排除できます。また、該当するハッシュ値を禁止して実行できないようにすることもできます。
  • 脅威ハンターの仕事の最終段階は、将来の攻撃から環境を保護することです。この際、上記のクエリ シーケンスを一般化および広義化し、ウォッチ リストを作成します。セキュリティ ツールによって、それらのアクティビティを特定し、自動的に E メールでアラートを送信することで、すぐに修正アクションを取ることができます。

関連するソリューションおよび製品

NSX Sandbox

NSX Sandbox

包括的なマルウェア分析

NSX Network Detection & Response

AI 活用型 NDR(Network Detection and Response)

NSX 分散ファイアウォール

NSX 分散ファイアウォール

フルスタックのファイアウォールによりデータセンターを保護