ATPと他のサイバー脅威アクターの違いを理解する
サイバー脅威に君臨する攻撃者を探る
西部劇に登場するような荒涼としたサイバー犯罪のランドスケープには、ランサムウェア集団、ハクティビスト、詐欺師などさまざまな種類の脅威アクターが跳梁跋扈しています
しかし、その中でも高度に組織化された狡猾な標的型攻撃として注目を浴びているのがAPT(Advanced Persistent Threat = 高度かつ持続的な脅威)です。ところが、その悪名の高さゆえに、APTをユニークな攻撃にしている要因や、他の脅威アクターの違いがわかりにくくなっているのです。
APTとは?
APTは、サイバー攻撃における高度で長期的なアプローチであり、通常は、潤沢なリソースを持つ国家の後ろ盾を得たグループ、犯罪組織、あるいはハクティビスト集団によって運営されています。往々にして、彼らを「グループ」と混同することがありますが、実際にはグループとある種のキャンペーンや攻撃との間のグレーゾーンに位置づけられます。
ここで、CatPeopleという架空の法的に認められた軍事チームを考えてみましょう。CatPeopleの司令官には、当面3つの主要な命令が与えられているとします。
1. イランの核兵器施設のデジタルインフラを攻撃して無力化する
2. ロシアのAPT活動を監視する
3. リストに挙がった犯罪者から暗号化通貨を窃取する
これらの任務は、すべてCatPeopleの指揮官の責任下にあるのかもしれませんが、恐らく一般市民はそのことやCatPeopleの任務の大部分を知ることはないでしょう。私たちのようなATPの当事者ではない個人や研究者は、攻撃者の行動や使われたツールをATPに関連付けることで想定するしかありません。その結果、研究者は作戦間の類似性を観察しない限り、誤ってAPT以外、または別のAPTからの攻撃行動と誤解してしまう可能性があります。さらに、同じグループによって完了した攻撃作戦でも、内部の同じ人物や同じツールによって行われたとは限らないのです。
APTは、侵害したシステムへの長期的なアクセスを維持し、機密データを流出させ、多くの場合、長期間検知されないように潜伏するという主要目的によって、目覚ましい戦果を上げています。
さらに、スピアフィッシング、ゼロデイ攻撃、水飲み場攻撃など、複数の攻撃ベクターを使用して、政府機関、企業、重要インフラなどの価値の高い標的を侵害します。通常、彼らの主目的は、損害を与えることよりも情報を窃取することです。
「永続性の視点は、APTを特定する非常に良い方法です。たとえば、他の脅威アクターならエアギャップで阻止される場所でも、APTはそこを回避する方法を見つけるからです」
ウィズセキュア シニア脅威インテリジェンスアナリスト、Stephen Robinson (スティーブン・ロビンソン)
APTの主な特徴
- 高度なテクニック: APTは、高度なツール、ゼロデイ脆弱性、複雑なマルウェアを活用して防御を突破し、永続的なアクセスを確立します。
- 長期的な視点:APTは、侵害したネットワーク内で長期にわたり潜伏し、データの抜き取り、侵入の拡大、さらなる窃取を繰り返すことを目的としています。
- 特定の標的:通常、APTは政府機関、軍事施設、研究機関、多国籍企業などの著名な組織を標的とし、機密情報の窃取や、重要業務を妨害することを目的としています。
- 組織的な作戦:APTは、熟練のハッカー、情報アナリスト、その他の専門家を雇い、多くのケースで国家や強力な犯罪シンジケートを後ろ盾にして、膨大なリソースを使って活動しています。
誰がどのように行動しているかを特定する
APTには、Fancy Bear、Lazarus Group、APT 41、Equation Groupなど、さまざまな名前が付いていますが、研究者や組織が同じAPTに異なる名前を付けることもあります。
一般的に、APTは極めて秘密主義で、正体を明かすことを好まないため、研究者はむしろ彼らの戦術や手法に焦点を当てて分類しようとしています。たとえば、最近ウィズセキュアの研究者は、主にLazarusグループの手口と考えられる攻撃に関するレポートを発表しました。ウィキペディアのAPTページには、既知のグループを国別にまとめたリストがあり、それ自体が一般人の理解のためにAPTをグループ化した方法を示しています。
また、民間組織や協定関係を考慮すると、誰が責任を負っているのか非常に分かりにくくなります。一例として、スタックスネット(最初に知られたサイバー兵器)を考えてみましょう。米国もイスラエルも公式には責任を認めていませんが、このワームは「オリンピック・ゲームズ作戦」として知られる、両国が連携して構築したサイバー兵器であることが広く知られています。
APTから組織を守る
ネットワークや組織をAPTから防御するには、他の脅威に対処するよりも一段と包括的でプロアクティブなアプローチが必要になります。これには、強力なセキュリティと監視制御機能の実装が含まれます。APTに対する脆弱性の緩和に役立つ行動には、疑わしい振る舞いの監視、定期的なセキュリティ評価の実施、侵入テスト、既知の脆弱性への対処などがあります。
「評判、財務の安定性、知的財産などに注意を払っている組織は、APTが密かに強い関心を示し狙っている可能性があるため、セキュリティに対してもプロアクティブなアプローチをとる必要があります」
ウィズセキュア セキュリティコンサルタント、Richard Suls (リチャード・サルス)
また、組織はAPT攻撃を迅速に検知し、封じ込め、緩和するために、明確なインシデント対応計画を策定する必要があります。対照的に、ランサムウェア、ギャング、ハクティビストなどの他の脅威に対処するには、エンドポイント保護や安全なバックアップなどの予防策をより重視することが必要になります。最後に、APTは人的要因を悪用することが多々あり、標的を取り巻くシステムの弱点を探し出します。したがって、教育こそが、こういったAPTの脅威を緩和するために大規模に実施できる最大の予防策となります。