「標的型攻撃」の版間の差分

提供: セキュリティ
移動: 案内検索
 
(同じ利用者による、間の1版が非表示)
行1: 行1:
<!--
 
vim: filetype=mediawiki
 
-->
 
 
[[標的型攻撃]] ( 持続的標的型攻撃 )とは、特定の情報、特定の企業を狙って行われる[[サイバーテロ|サイバー攻撃]]です。
 
[[標的型攻撃]] ( 持続的標的型攻撃 )とは、特定の情報、特定の企業を狙って行われる[[サイバーテロ|サイバー攻撃]]です。
  
読み方
+
'''読み方'''
 
;[[標的型攻撃]]: ひょうてきがた こうげき
 
;[[標的型攻撃]]: ひょうてきがた こうげき
 
;持続的標的型攻撃: じぞくてき ひょうてきがた こうげき
 
;持続的標的型攻撃: じぞくてき ひょうてきがた こうげき
行13: 行10:
  
 
== 概要 ==
 
== 概要 ==
 
 
[[標的型攻撃]]とは、特定の情報、特定の企業を狙って行われる[[サイバーテロ|サイバー攻撃]]です。
 
[[標的型攻撃]]とは、特定の情報、特定の企業を狙って行われる[[サイバーテロ|サイバー攻撃]]です。
 
攻撃者が情報を盗み出すまで、執拗に攻撃を繰り返すタイプの[[標的型攻撃]]を 持続的標的型攻撃 (APT, Advanced Persistent Threat ) とも呼びます。
 
攻撃者が情報を盗み出すまで、執拗に攻撃を繰り返すタイプの[[標的型攻撃]]を 持続的標的型攻撃 (APT, Advanced Persistent Threat ) とも呼びます。
 
 
== 標的型攻撃のターゲット ==
 
== 標的型攻撃のターゲット ==
 
 
[[標的型攻撃]] のターゲットの例を以下に挙げます。
 
[[標的型攻撃]] のターゲットの例を以下に挙げます。
  
行28: 行22:
 
* 民間企業の新製品や技術の情報
 
* 民間企業の新製品や技術の情報
 
** テクノロジ企業
 
** テクノロジ企業
 
 
== APTの目的 ==
 
== APTの目的 ==
 
 
* 政治的な操作
 
* 政治的な操作
 
* 軍事スパイ
 
* 軍事スパイ
行36: 行28:
 
* 技術スパイ
 
* 技術スパイ
 
* 金銭的な恐喝
 
* 金銭的な恐喝
 
 
 
== APT の定義 ==
 
== APT の定義 ==
 
 
持続的標的型攻撃とは、標的を限定し、長期的で、高度な攻撃をいいます。
 
持続的標的型攻撃とは、標的を限定し、長期的で、高度な攻撃をいいます。
  
行57: 行46:
 
;脅威
 
;脅威
 
: 脅威があるということは、「攻撃する動機」と「攻撃を成功させる能力」の両方を持つ攻撃者が存在することを意味します。
 
: 脅威があるということは、「攻撃する動機」と「攻撃を成功させる能力」の両方を持つ攻撃者が存在することを意味します。
 
 
== 持続的標的型攻撃の特徴 ==
 
== 持続的標的型攻撃の特徴 ==
 
 
持続的標的型攻撃 は、大きく3つの特徴があります。
 
持続的標的型攻撃 は、大きく3つの特徴があります。
  
行65: 行52:
 
* 標的に特化した攻撃をする
 
* 標的に特化した攻撃をする
 
* 執拗に攻撃が行われる
 
* 執拗に攻撃が行われる
 
 
== APT 攻撃の段階 ==
 
== APT 攻撃の段階 ==
 
 
# 偵察
 
# 偵察
 
#: 攻撃対象の調査を行います。ポートスキャンや脆弱性のスキャンなどを行います。
 
#: 攻撃対象の調査を行います。ポートスキャンや脆弱性のスキャンなどを行います。
行83: 行68:
  
 
APT の場合では、数ヶ月から数年間の時間をかけて、標的のデータを持ち出すことがあるため、検知を難しくしています。
 
APT の場合では、数ヶ月から数年間の時間をかけて、標的のデータを持ち出すことがあるため、検知を難しくしています。
 
 
== 多層防御 ==
 
== 多層防御 ==
 
 
持続的標的型攻撃(APT)への防御の鍵は、[[多層防御]] です。
 
持続的標的型攻撃(APT)への防御の鍵は、[[多層防御]] です。
 
  
 
# 最初の侵入を難しくする
 
# 最初の侵入を難しくする
 
# 侵入された場合、特権を引き上げる可能性を減らす
 
# 侵入された場合、特権を引き上げる可能性を減らす
# 侵入されたアカウントが[[特権アカウント]] であっても、そのアカウントによって引き起こせる損害を制限する
+
# 侵入されたアカウントが'''特権アカウント''' であっても、そのアカウントによって引き起こせる損害を制限する
 
# 侵入されたアカウントや疑わしいアクティビティを攻撃プロセスの初期段階で検知する
 
# 侵入されたアカウントや疑わしいアクティビティを攻撃プロセスの初期段階で検知する
 
# いつ、誰によって、どのような損害が起きたか判断できるように、司法調査に利用できる情報を収集しておく。
 
# いつ、誰によって、どのような損害が起きたか判断できるように、司法調査に利用できる情報を収集しておく。
  
 
1 と 4 の防御には、[[ファイアーウォール]] や [[侵入検知システム]] が役立ちますが、もっとほかの防御が必要です。
 
1 と 4 の防御には、[[ファイアーウォール]] や [[侵入検知システム]] が役立ちますが、もっとほかの防御が必要です。
 
 
=== 早期の検知 ===
 
=== 早期の検知 ===
 
 
セキュリティ侵害は、攻撃者が内部ネットワークへのアクセスを確立し、多量のデータの損害や盗難を受けたあとに検知されることが、よくあります。APT攻撃を受けたあとの防御は、コストのかかる損害対策、事後対応、継続的なモニタリングです。
 
セキュリティ侵害は、攻撃者が内部ネットワークへのアクセスを確立し、多量のデータの損害や盗難を受けたあとに検知されることが、よくあります。APT攻撃を受けたあとの防御は、コストのかかる損害対策、事後対応、継続的なモニタリングです。
 
APT 攻撃に対して、無理のないコストで管理しやすい防御を行なう方法は、可能な限り早期に脅威を検知することです。
 
APT 攻撃に対して、無理のないコストで管理しやすい防御を行なう方法は、可能な限り早期に脅威を検知することです。
行107: 行87:
 
* [[OS]] のログ以外で、ユーザのアクティビティを監査し、記録する
 
* [[OS]] のログ以外で、ユーザのアクティビティを監査し、記録する
 
** [[OS]] のデフォルト以外の方法によるモニタリングは、侵入者に気づかれない可能性があります。
 
** [[OS]] のデフォルト以外の方法によるモニタリングは、侵入者に気づかれない可能性があります。
 
 
=== 特権アイデンティティ管理 ===
 
=== 特権アイデンティティ管理 ===
 
 
特権アイデンティティ管理では、管理者アカウントの管理とモニタリングを行います。
 
特権アイデンティティ管理では、管理者アカウントの管理とモニタリングを行います。
  
行117: 行95:
 
* 管理者アカウントに対して、「最小限の特権」(Least Privilege) の原則を適用する
 
* 管理者アカウントに対して、「最小限の特権」(Least Privilege) の原則を適用する
 
* ユーザーのアクティビティを追跡する
 
* ユーザーのアクティビティを追跡する
 
+
== 情報窃盗を目的とした攻撃 ==
 +
* 2010年1月 '''オペレーションオーロラ''' (Operation Aurora, オーロラ攻撃)
 +
*: Google への[[サイバー攻撃]]、WikiLeaks での情報公開
 +
* 2010年7月 '''スタックスネット''' (Stuxnet)
 +
*: イランの原子力施設を狙った攻撃
 +
* 2011年2月 '''ナイトドラゴン''' (Night Dragon)
 +
*: 世界の石油、エネルギー関連情報を盗む。
 +
*: 2009年末には、攻撃がはじまっており、2007年ごろから活動していたと考えられる。
 +
* 2011年3月 EMC から RSA SecureID の情報窃盗
 +
* 2011年8月 シャディラット攻撃
 +
*: 70以上の各国企業や政府機関を標的とした攻撃
 
== 関連項目 ==
 
== 関連項目 ==
 
 
* [[サイバーテロ]]
 
* [[サイバーテロ]]
 
* [[ドライブバイダウンロード]]
 
* [[ドライブバイダウンロード]]
 
* [[ゼロデイ攻撃]]
 
* [[ゼロデイ攻撃]]
 +
* Exploitation Life Cycle
 +
* Intrusion Kill Chain ( [[Cyber Kill Chain]] )
 +
<!--
 +
vim: filetype=mediawiki
 +
-->

2015年9月22日 (火) 14:25時点における最新版

標的型攻撃 ( 持続的標的型攻撃 )とは、特定の情報、特定の企業を狙って行われるサイバー攻撃です。

読み方

標的型攻撃
ひょうてきがた こうげき
持続的標的型攻撃
じぞくてき ひょうてきがた こうげき
Advanced Persistent Threat
あどばんすど ぱーしすてんと すれっと
APT
えーぴーてぃー

概要

標的型攻撃とは、特定の情報、特定の企業を狙って行われるサイバー攻撃です。 攻撃者が情報を盗み出すまで、執拗に攻撃を繰り返すタイプの標的型攻撃を 持続的標的型攻撃 (APT, Advanced Persistent Threat ) とも呼びます。

標的型攻撃のターゲット

標的型攻撃 のターゲットの例を以下に挙げます。

  • 軍需産業、防衛期間、防衛関係の業者
  • 化学産業
  • 政府機関
  • 金融機関
  • 重要な社会基盤システム(公共事業、通信システム、輸送システム)
  • 民間企業の新製品や技術の情報
    • テクノロジ企業

APTの目的

  • 政治的な操作
  • 軍事スパイ
  • 経済スパイ
  • 技術スパイ
  • 金銭的な恐喝

APT の定義

持続的標的型攻撃とは、標的を限定し、長期的で、高度な攻撃をいいます。

NIST は、 APT 攻撃 について、以下の定義しています。

  • 持続的標的型攻撃とは、高度な専門知識と十分なリソースを攻撃者が持つ。
  • 複数の攻撃ベクトル(サイバー攻撃, 物理攻撃, 詐欺など)を使用し、目的達成の機会を作り出す攻撃を行う。
  • 継続的に情報を盗用する
  • 組織に対する妨害
  • 将来の攻撃ために準備する
  • 目的の達成のために、執拗に試行する
高度なスキル
攻撃者は、対象の脆弱性を利用できる高度な技術能力を持っています。コーディングスキルに加え、未知の脆弱性 (それまで知られていなかった脆弱性) を発見し利用する能力も有していることがあります。
持続的
多くの場合、APT攻撃は、長期間(数年間)にわたって続くことがあります。重要度の低いセキュリティ侵害を行なっていき、重大なデータへのアクセスに到達することがあります。
脅威
脅威があるということは、「攻撃する動機」と「攻撃を成功させる能力」の両方を持つ攻撃者が存在することを意味します。

持続的標的型攻撃の特徴

持続的標的型攻撃 は、大きく3つの特徴があります。

  • 機密情報を目的に攻撃が行われる
  • 標的に特化した攻撃をする
  • 執拗に攻撃が行われる

APT 攻撃の段階

  1. 偵察
    攻撃対象の調査を行います。ポートスキャンや脆弱性のスキャンなどを行います。
  2. 初期侵入
    脆弱性を利用して、攻撃対象に足がかりを作成します。スピアフィッシングソーシャル・エンジニアリング などを利用して、アクセスを獲得することもあります。
  3. 権限の引き上げとコントロールの拡大
    攻撃対象のネットワークへの侵入に成功した場合、特権を取得して、重要なシステムのコントールの取得を試みます。今後のネットワーク侵入を容易にするため、バックドアを設置することもあります。
  4. 継続的な悪用
    攻撃者は、システムのコントロールを入手すると、継続的に機密データの持ち出しを行うことがあります。

3 から 4 の段階は、検知されるリスクを軽減するために、数年間という時間をかけて、実施されることがあります。

APT は、攻撃にかける期間が長いこともあり、検知が非常に困難になっています。 標準的なセキュリティ侵害 では、短期間に大量のデータを持ちだそうとすることがあるため、ファイアーウォール侵入検知システムによって検知できる可能性があります。

APT の場合では、数ヶ月から数年間の時間をかけて、標的のデータを持ち出すことがあるため、検知を難しくしています。

多層防御

持続的標的型攻撃(APT)への防御の鍵は、多層防御 です。

  1. 最初の侵入を難しくする
  2. 侵入された場合、特権を引き上げる可能性を減らす
  3. 侵入されたアカウントが特権アカウント であっても、そのアカウントによって引き起こせる損害を制限する
  4. 侵入されたアカウントや疑わしいアクティビティを攻撃プロセスの初期段階で検知する
  5. いつ、誰によって、どのような損害が起きたか判断できるように、司法調査に利用できる情報を収集しておく。

1 と 4 の防御には、ファイアーウォール侵入検知システム が役立ちますが、もっとほかの防御が必要です。

早期の検知

セキュリティ侵害は、攻撃者が内部ネットワークへのアクセスを確立し、多量のデータの損害や盗難を受けたあとに検知されることが、よくあります。APT攻撃を受けたあとの防御は、コストのかかる損害対策、事後対応、継続的なモニタリングです。 APT 攻撃に対して、無理のないコストで管理しやすい防御を行なう方法は、可能な限り早期に脅威を検知することです。

早期に検知するために、様々な技術を使用して、侵入を検知すべきです。

  • 特権の引き上げや特権の不正使用の試行を検知、防止する
  • OS のログ以外で、ユーザのアクティビティを監査し、記録する
    • OS のデフォルト以外の方法によるモニタリングは、侵入者に気づかれない可能性があります。

特権アイデンティティ管理

特権アイデンティティ管理では、管理者アカウントの管理とモニタリングを行います。

  • Windows の Administrator
  • Unix 系の root アカウント
  • 管理者アカウントに対して、「最小限の特権」(Least Privilege) の原則を適用する
  • ユーザーのアクティビティを追跡する

情報窃盗を目的とした攻撃

  • 2010年1月 オペレーションオーロラ (Operation Aurora, オーロラ攻撃)
    Google へのサイバー攻撃、WikiLeaks での情報公開
  • 2010年7月 スタックスネット (Stuxnet)
    イランの原子力施設を狙った攻撃
  • 2011年2月 ナイトドラゴン (Night Dragon)
    世界の石油、エネルギー関連情報を盗む。
    2009年末には、攻撃がはじまっており、2007年ごろから活動していたと考えられる。
  • 2011年3月 EMC から RSA SecureID の情報窃盗
  • 2011年8月 シャディラット攻撃
    70以上の各国企業や政府機関を標的とした攻撃

関連項目