標的型攻撃
標的型攻撃 ( 持続的標的型攻撃 )とは、特定の情報、特定の企業を狙って行われるサイバー攻撃です。
読み方
- 標的型攻撃
- ひょうてきがた こうげき
- 持続的標的型攻撃
- じぞくてき ひょうてきがた こうげき
- Advanced Persistent Threat
- あどばんすど ぱーしすてんと すれっと
- APT
- えーぴーてぃー
目次
概要
標的型攻撃とは、特定の情報、特定の企業を狙って行われるサイバー攻撃です。 攻撃者が情報を盗み出すまで、執拗に攻撃を繰り返すタイプの標的型攻撃を 持続的標的型攻撃 (APT, Advanced Persistent Threat ) とも呼びます。
標的型攻撃のターゲット
標的型攻撃 のターゲットの例を以下に挙げます。
- 軍需産業、防衛期間、防衛関係の業者
- 化学産業
- 政府機関
- 金融機関
- 重要な社会基盤システム(公共事業、通信システム、輸送システム)
- 民間企業の新製品や技術の情報
- テクノロジ企業
APTの目的
- 政治的な操作
- 軍事スパイ
- 経済スパイ
- 技術スパイ
- 金銭的な恐喝
APT の定義
持続的標的型攻撃とは、標的を限定し、長期的で、高度な攻撃をいいます。
NIST は、 APT 攻撃 について、以下の定義しています。
- 持続的標的型攻撃とは、高度な専門知識と十分なリソースを攻撃者が持つ。
- 複数の攻撃ベクトル(サイバー攻撃, 物理攻撃, 詐欺など)を使用し、目的達成の機会を作り出す攻撃を行う。
- 継続的に情報を盗用する
- 組織に対する妨害
- 将来の攻撃ために準備する
- 目的の達成のために、執拗に試行する
- 高度なスキル
- 攻撃者は、対象の脆弱性を利用できる高度な技術能力を持っています。コーディングスキルに加え、未知の脆弱性 (それまで知られていなかった脆弱性) を発見し利用する能力も有していることがあります。
- 持続的
- 多くの場合、APT攻撃は、長期間(数年間)にわたって続くことがあります。重要度の低いセキュリティ侵害を行なっていき、重大なデータへのアクセスに到達することがあります。
- 脅威
- 脅威があるということは、「攻撃する動機」と「攻撃を成功させる能力」の両方を持つ攻撃者が存在することを意味します。
持続的標的型攻撃の特徴
持続的標的型攻撃 は、大きく3つの特徴があります。
- 機密情報を目的に攻撃が行われる
- 標的に特化した攻撃をする
- 執拗に攻撃が行われる
APT 攻撃の段階
- 偵察
- 攻撃対象の調査を行います。ポートスキャンや脆弱性のスキャンなどを行います。
- 初期侵入
- 脆弱性を利用して、攻撃対象に足がかりを作成します。スピアフィッシングやソーシャル・エンジニアリング などを利用して、アクセスを獲得することもあります。
- 権限の引き上げとコントロールの拡大
- 攻撃対象のネットワークへの侵入に成功した場合、特権を取得して、重要なシステムのコントールの取得を試みます。今後のネットワーク侵入を容易にするため、バックドアを設置することもあります。
- 継続的な悪用
- 攻撃者は、システムのコントロールを入手すると、継続的に機密データの持ち出しを行うことがあります。
3 から 4 の段階は、検知されるリスクを軽減するために、数年間という時間をかけて、実施されることがあります。
APT は、攻撃にかける期間が長いこともあり、検知が非常に困難になっています。 標準的なセキュリティ侵害 では、短期間に大量のデータを持ちだそうとすることがあるため、ファイアーウォールや侵入検知システムによって検知できる可能性があります。
APT の場合では、数ヶ月から数年間の時間をかけて、標的のデータを持ち出すことがあるため、検知を難しくしています。
多層防御
持続的標的型攻撃(APT)への防御の鍵は、多層防御 です。
- 最初の侵入を難しくする
- 侵入された場合、特権を引き上げる可能性を減らす
- 侵入されたアカウントが特権アカウント であっても、そのアカウントによって引き起こせる損害を制限する
- 侵入されたアカウントや疑わしいアクティビティを攻撃プロセスの初期段階で検知する
- いつ、誰によって、どのような損害が起きたか判断できるように、司法調査に利用できる情報を収集しておく。
1 と 4 の防御には、ファイアーウォール や 侵入検知システム が役立ちますが、もっとほかの防御が必要です。
早期の検知
セキュリティ侵害は、攻撃者が内部ネットワークへのアクセスを確立し、多量のデータの損害や盗難を受けたあとに検知されることが、よくあります。APT攻撃を受けたあとの防御は、コストのかかる損害対策、事後対応、継続的なモニタリングです。 APT 攻撃に対して、無理のないコストで管理しやすい防御を行なう方法は、可能な限り早期に脅威を検知することです。
早期に検知するために、様々な技術を使用して、侵入を検知すべきです。
- 特権の引き上げや特権の不正使用の試行を検知、防止する
- OS のログ以外で、ユーザのアクティビティを監査し、記録する
- OS のデフォルト以外の方法によるモニタリングは、侵入者に気づかれない可能性があります。
特権アイデンティティ管理
特権アイデンティティ管理では、管理者アカウントの管理とモニタリングを行います。
- 管理者アカウントに対して、「最小限の特権」(Least Privilege) の原則を適用する
- ユーザーのアクティビティを追跡する
関連項目
ツイート