【連載】

ゼロから学ぶAPT対策講座

1 情報窃取を目的とする「APT攻撃」とは

 
  • <<
  • <

1/6

ここ数年、企業や国家の機密情報を狙うサイバー攻撃のニュースが頻繁に報道されている。米国では政府機関や業界団体を狙った事件が相次ぎ、日本でも官公庁、防衛産業をターゲットにしたサイバー攻撃が発生したことは記憶に新しい。そうしたサイバー攻撃の中で話題となっているのが、「APT攻撃」だ。その実態、手口、対策について、アズジェント セキュリティセンター フェロー 駒瀬彰彦氏に話を伺った。連載第一回目の今回は「APT攻撃とは何か」を明らかにする。

攻撃は侵入前の事前調査から始まる

これまでサイバー攻撃と言えば、悪意のあるプログラマーが自らの技術力を誇示するために、システムダウンを起こしてターゲットの企業・組織を混乱させようとするものが連想されがちだった。ところがここ数年、事情は大きく変わってきている。組織化されたサイバーテロ集団が、綿密な計画のもとに情報や金銭を窃取する攻撃や業務妨害を狙う攻撃が急増しているのだ。なかでも注目されているのが「APT攻撃」である。

APT攻撃とは何か。セキュリティ事情に詳しいアズジェント セキュリティセンター フェロー 駒瀬彰彦氏は次のように説明する。

アズジェント セキュリティセンター フェロー 駒瀬彰彦氏

「APTとはAdvanced Persistent Threatの略で、簡単に言えば標的型攻撃の一種です。高度な手口によって継続的、長時間にわたってターゲットの情報を事細かに調べあげたうえで、機密情報を盗んだり、場合によってはシステムを止めてしまう攻撃を指します。従来のサイバー攻撃は遊び目的のものも少なくありませんでしたが、APT攻撃では特定企業の情報を窃取したい、もしくは何らかの事情によりシステムを止めたいという理由によって行われます」(駒瀬氏)

最近のAPT攻撃の例では、国内の防衛関連企業が狙われたサイバー攻撃が挙げられる。

「APT攻撃の特徴は、長期的なスパンで、なおかつ本当に欲しい情報が取れるまで継続的に攻撃が行われることです。そこには、いくつかの段階があります。フィッシングメールが届いて誤ってクリックしてしまったとか、添付ファイルを開いてしまったとか、そこから攻撃が始まったと思われがちですが、実は攻撃者はそこに至るまでに時間をかけて、さまざまな情報を調べているのです」(駒瀬氏)

国内における標的型攻撃メールの歴史

駒瀬氏によれば、攻撃者は、この企業はどんな企業と取引があるのか、どういう情報であれば興味を持って資料を開く傾向にあるのかなどを、APT攻撃を仕掛ける前に調べるのだという。例えば、攻撃対象者をSNS(ソーシャルネットワークサービス) で特定し、その人の趣味や人間関係などを調査したうえで、「興味や弱み」に付け入る攻撃を仕掛けたり、事前に不正入手したメールなどのID/パスワードを用いて、それらを使い回す習慣があるのではないかとの推測から、攻撃対象者が企業内で使用しているPCやサーバーなどを対象に侵入を試みるといったことも行われる。

このように、さまざまな情報を前段階で入手したうえで、入念に時間をかけ目的の機密情報を窃取しようとするのだ

数カ月から数年をかけて情報窃取

APT攻撃は、上述した「事前調査」を足掛かりに、大別すると4つの段階で行われるという。

「攻撃者は、事前調査のあとに、第一段階として、マルウェアやボットと呼ばれる不正プログラムを攻撃対象のシステム内にある端末に送り込み、侵入を成功させます。その後、攻撃をしやすくするためにセキュリティ対策が脆弱な端末やサーバーにプログラムをコピーし、攻撃の基盤を作っていきます。それが第二段階となります」(駒瀬氏)

さらに、目的の機密情報を探すためにシステムを調査するのが第三段階だ。

「支配した端末やサーバーに対し、外部からコマンドを送信したり、リモートコントロールできるプログラムを使って操作することによって、目的の機密情報を検索します。それが第三段階となります。そして、目的の機密情報を見つけ出すと、第四段階に入ります。情報を入手するために攻撃を行い、その後、クリーンアップを行います。クリーンアップとは、攻撃が行われた形跡を消し、何事もなかったようにシステムを戻すものです」(駒瀬氏)

「新しいタイプの攻撃」の分析

APT攻撃は以上の4つの段階で進められるが、企業の機密情報が狙われる場合、その期間はおよそ6~9カ月に及ぶ。国の機密情報の場合は、数年もの歳月をかけて行われることもあるという。最終段階のクリーンアップが成功すると、サイバー攻撃の痕跡は見当たらず、もはや機密情報を窃取されたことも分からなくなる。

「攻撃者は、検知されないように、かつ確実に目的を達成するために、プログラムを侵入させた端末やサーバーをコントロールして、時間をかけて攻撃します。短時間で機密情報を窃取できる場合もあるかもしれませんが、目立って見つかってしまうと目的が果たせなくなるので、タイミングを見計らって少しずつ攻撃が行われます」(駒瀬氏)

このように、APT攻撃の痕跡を見つけ出すことは容易なことではない。まずは、どんな企業・組織にも、知らないうちに機密情報が窃取される危険性があるということを知っておこう。

チェックポイントの標的型攻撃パッケージ

標的型攻撃対策に必要な「不正プログラムの侵入の検知」「C&Cサーバへの通信のブロック」「未知の不正プログラムの検知」を兼ね備えたセキュリティソリューションです。
チェック・ポイント社が世界中の研究機関、センサー、マルウェア対策機関から収集した最近のデータベースをもとに不正プログラムの検知やC&Cサーバへの通信のブロックを行います。また、サンドボックスで不審なファイルをエミュレートすることにより未知の不正プログラムを検知します。

⇒詳しくはこちらをクリック

  • <<
  • <

1/6

インデックス

連載目次
第6回 未知の不正プログラムに備えるための最適解「サンドボックス」
第5回 「アンチボット」機能が果たす役割
第4回 APT攻撃に備えるために必須の「3つの対策」とは
第3回 従来のセキュリティ対策では不十分 APT攻撃から機密情報を守る対策とは
第2回 機密情報窃取から自社を守るために知っておきたいAPT攻撃の巧妙な手口
第1回 情報窃取を目的とする「APT攻撃」とは

もっと見る



転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

KickassTorrents、別ドメインで復活か - 続く追跡劇
[15:18 7/25] 企業IT
2015年の国内VM/クラウドシステムソフトウェア市場は初の1桁成長
[15:12 7/25] 企業IT
マウス、クリエイター向けPC「DAIV」を撮影機材の老舗店「銀一」で販売
[15:12 7/25] パソコン
柏木由紀、初主演舞台は「"AKB48の柏木由紀"を捨てたつもりで!」と気合
[15:00 7/25] エンタメ
Linuxカーネル4.7登場
[14:30 7/25] 企業IT

求人情報