Sony
Sony
侵入しても検知されないステルス性のサイバー攻撃「APT攻撃」とは?

トピックス 2021.05.14 侵入しても検知されないステルス性のサイバー攻撃「APT攻撃」とは?

2010年に米グーグル本社に対する攻撃で一躍有名になったAPT攻撃。

2011年以降、日本国内の企業や組織でも被害が多発したことによって急速に認知されるようになりました。

APT攻撃はハッカーが標的とした組織のネットワークに侵入して、検出されないまま持続的にネットワークに潜伏し続けるステルス性のサイバー攻撃で、侵入に気づいた時には被害が拡大しているという特徴があります。

今回はそんなAPT攻撃について解説していきます。

APT攻撃とは?

APT攻撃とは?

APTとは「Advanced Persistent Threat」の略で、日本語では「高度で継続的な脅威」と訳されます。

APT攻撃は特定のターゲットのシステムに不正に侵入し、継続的かつ執拗に攻撃を仕掛けるというもので、不特定多数を標的としたサイバー攻撃よりも被害を受ける可能性が高いことが特徴です。

最初の侵入方法は多種多様ですが、共通しているのが「ソーシャルエンジニアリング」と呼ばれる手法を使うこと。

ソーシャルエンジニアリングとは、ユーザーやシステム管理者のセキュリティ対策の甘さをついてマルウェアを添付したメールを送信するなどして、サイバー攻撃を仕掛ける手法を指します。

APT攻撃がこれまでの攻撃と異なるのは、攻撃対象にAPT攻撃に対する有効な手段がなければ、ほぼ確実に内部情報が盗まれる点です。

ファイヤーウォールや侵入検知など、外部からの不正侵入を防ぐ一般的なセキュリティ対策はAPT攻撃に対してはほとんど効果がなく、入り口対策をすり抜けて、不正プログラムを内部に送り込み、システム内部で拡大を続けるのです。

その結果、組織が認知しないまま重要なデータが攻撃者によって不正に持ち出されるなど、被害の拡大に繋がってしまいます。

APT攻撃の特徴とは?

APT攻撃の特徴とは?

APT攻撃の特徴として挙げられるのが、不正侵入の直後に攻撃を開始するのではなく、バックドアなどを設置して長期間にわたってシステム内に潜伏する点です。

バックドア設置後、システム内に潜伏し続け、ネットワークやデバイスに関する情報を取得し、その他のシステムやデバイスにさらにバックドアを設置しながら取得できる情報を広げていきます。

そしてコントロールできる範囲を最大限に広めたところで、金銭に繋がるようなデータを窃取したり、データを改ざんすることで利益を得ます。

侵入直後は特に不審な点を見出すことができないことから、侵入に気づいた時には取り返しがつかないほど被害が大きくなっていることが特徴です。

APT攻撃で起こりうる被害

APT攻撃で起こりうる被害

気づかぬうちに被害が拡大してしまう傾向があるAPT攻撃ですが、APT攻撃によって起こりうる被害は主に3つ挙げられます。

デバイスやサーバーの乗っ取り

APT攻撃はマルウェアを使用してサーバーに不正侵入し、バックドアを設置しながら、システムを自由に操作できるようコントロールしていきます。

データの改ざん

パソコンが乗っ取られた時点で、デバイス内のデータ改ざんが容易に行われるようになります。乗っ取った一つのデバイスを起点にして、役職や権限を持つ人物のデバイスを乗っ取り、より重要なデータの改ざんを行います。

情報漏洩

組織内の人物のパソコン上でデータの転送、閲覧、改ざんを行うため、まるで本人が操作したかのようにしか見えません。

もともと国家間で使用されてきたAPT攻撃が大衆化し始めている

もともと国家間で使用されてきたAPT攻撃が大衆化し始めている

こうしたAPT攻撃はもともと国家の指示や援助によって特定の標的に対して行われるスパイ行為・妨害工作としての側面が強いサイバー攻撃でした。

世界にはAPT攻撃グループが点在していて、北朝鮮から支援を受けているAPT38、イランから支援を受けているAPT34、ロシアから支援を受けているAPT28などが挙げられます。

例えば、2016年の米国大統領選挙に対するロシアの介入や、2010年にアメリカとイスラエルが「Stuxnet」と呼ばれるマルウェアを使用してイランの核開発施設を攻撃した事例が代表的なAPT攻撃です。

これまで国家が主に使用してきたAPT攻撃ですが、近年は個人や小さな組織がAPT攻撃を行うケースが増えるなど、APT攻撃の大衆化が始まっています。

近年では「PlugX」と呼ばれるAPT攻撃に使われるツールが誰でも簡単に入手できるようになり、高度な技術やツールがなくとも、一般の個人でも高度なAPT攻撃を仕掛けることができるようになりました。

終わりに

APT攻撃は組織のセキュリティ脆弱性をピンポイントで突いてくる攻撃であることから、セキュリティ担当者がどれだけシステム的な防御に気をつけていても、防ぐことが困難なサイバー攻撃です。

侵入を100%防ぐことができない以上、これまでの入口・出口対策だけでなく、組織内への侵入を前提とした対策に取り組む必要があります。

仮に既存のセキュリティ対策をすり抜けて不正プログラムが組織内に侵入したとしても、「不正プログラムを増殖させない」「攻撃者と不正プログラムを会話させない」といった対策が必要です。

こうした点を徹底することで、APT攻撃による被害を最小限に抑え込むことができるでしょう。

組織の脆弱性をピンポイントで狙ってくるAPT攻撃。まずは組織にAPT攻撃に対する免疫がどれくらいあるのかを把握するところから始めてみましょう。

【関連リンク】

意外と知らない?ITトレンド用語(NTT Communications)
https://www.ntt.com/bizon/glossary/j-h/hyoutekigata-apt-kougeki.html

APT攻撃グループ(FireEye)
https://www.fireeye.jp/current-threats/apt-groups.html

高度サイバー攻撃(APT)への 備えと対応(一般社団法人JPCERT コーディネーションセンター)
https://www.ipa.go.jp/files/000052626.pdf

APT攻撃とは?その対策方法と標的型攻撃との違いを徹底解説(CyberSecurity.com)
https://cybersecurity-jp.com/column/22333

高度標的型攻撃(APT攻撃)対策とは(Cybereason)
https://www.cybereason.co.jp

TEXT:セキュリティ通信 編集部
PHOTO:iStock

あなたの大切なパソコン・スマホを守ります!
世界が認める総合ウイルス対策ソフト

カスペルスキー

この記事を気にいったらいいね!しよう

セキュリティ通信の最新の話題をお届けします。

ページトップ