ここ数年、企業や国家の機密情報を狙うサイバー攻撃のニュースが頻繁に報道されている。米国では政府機関や業界団体を狙った事件が相次ぎ、日本でも官公庁、防衛産業をターゲットにしたサイバー攻撃が発生したことは記憶に新しい。そうしたサイバー攻撃の中で話題となっているのが、「APT攻撃」だ。その実態、手口、対策について、アズジェント セキュリティセンター フェロー 駒瀬彰彦氏に話を伺った。連載第一回目の今回は「APT攻撃とは何か」を明らかにする。

攻撃は侵入前の事前調査から始まる

これまでサイバー攻撃と言えば、悪意のあるプログラマーが自らの技術力を誇示するために、システムダウンを起こしてターゲットの企業・組織を混乱させようとするものが連想されがちだった。ところがここ数年、事情は大きく変わってきている。組織化されたサイバーテロ集団が、綿密な計画のもとに情報や金銭を窃取する攻撃や業務妨害を狙う攻撃が急増しているのだ。なかでも注目されているのが「APT攻撃」である。

APT攻撃とは何か。セキュリティ事情に詳しいアズジェント セキュリティセンター フェロー 駒瀬彰彦氏は次のように説明する。

アズジェント セキュリティセンター フェロー 駒瀬彰彦氏

「APTとはAdvanced Persistent Threatの略で、簡単に言えば標的型攻撃の一種です。高度な手口によって継続的、長時間にわたってターゲットの情報を事細かに調べあげたうえで、機密情報を盗んだり、場合によってはシステムを止めてしまう攻撃を指します。従来のサイバー攻撃は遊び目的のものも少なくありませんでしたが、APT攻撃では特定企業の情報を窃取したい、もしくは何らかの事情によりシステムを止めたいという理由によって行われます」(駒瀬氏)

最近のAPT攻撃の例では、国内の防衛関連企業が狙われたサイバー攻撃が挙げられる。

「APT攻撃の特徴は、長期的なスパンで、なおかつ本当に欲しい情報が取れるまで継続的に攻撃が行われることです。そこには、いくつかの段階があります。フィッシングメールが届いて誤ってクリックしてしまったとか、添付ファイルを開いてしまったとか、そこから攻撃が始まったと思われがちですが、実は攻撃者はそこに至るまでに時間をかけて、さまざまな情報を調べているのです」(駒瀬氏)

国内における標的型攻撃メールの歴史

駒瀬氏によれば、攻撃者は、この企業はどんな企業と取引があるのか、どういう情報であれば興味を持って資料を開く傾向にあるのかなどを、APT攻撃を仕掛ける前に調べるのだという。例えば、攻撃対象者をSNS(ソーシャルネットワークサービス) で特定し、その人の趣味や人間関係などを調査したうえで、「興味や弱み」に付け入る攻撃を仕掛けたり、事前に不正入手したメールなどのID/パスワードを用いて、それらを使い回す習慣があるのではないかとの推測から、攻撃対象者が企業内で使用しているPCやサーバーなどを対象に侵入を試みるといったことも行われる。

このように、さまざまな情報を前段階で入手したうえで、入念に時間をかけ目的の機密情報を窃取しようとするのだ

数カ月から数年をかけて情報窃取

APT攻撃は、上述した「事前調査」を足掛かりに、大別すると4つの段階で行われるという。

「攻撃者は、事前調査のあとに、第一段階として、マルウェアやボットと呼ばれる不正プログラムを攻撃対象のシステム内にある端末に送り込み、侵入を成功させます。その後、攻撃をしやすくするためにセキュリティ対策が脆弱な端末やサーバーにプログラムをコピーし、攻撃の基盤を作っていきます。それが第二段階となります」(駒瀬氏)

さらに、目的の機密情報を探すためにシステムを調査するのが第三段階だ。

「支配した端末やサーバーに対し、外部からコマンドを送信したり、リモートコントロールできるプログラムを使って操作することによって、目的の機密情報を検索します。それが第三段階となります。そして、目的の機密情報を見つけ出すと、第四段階に入ります。情報を入手するために攻撃を行い、その後、クリーンアップを行います。クリーンアップとは、攻撃が行われた形跡を消し、何事もなかったようにシステムを戻すものです」(駒瀬氏)

「新しいタイプの攻撃」の分析

APT攻撃は以上の4つの段階で進められるが、企業の機密情報が狙われる場合、その期間はおよそ6~9カ月に及ぶ。国の機密情報の場合は、数年もの歳月をかけて行われることもあるという。最終段階のクリーンアップが成功すると、サイバー攻撃の痕跡は見当たらず、もはや機密情報を窃取されたことも分からなくなる。

「攻撃者は、検知されないように、かつ確実に目的を達成するために、プログラムを侵入させた端末やサーバーをコントロールして、時間をかけて攻撃します。短時間で機密情報を窃取できる場合もあるかもしれませんが、目立って見つかってしまうと目的が果たせなくなるので、タイミングを見計らって少しずつ攻撃が行われます」(駒瀬氏)

このように、APT攻撃の痕跡を見つけ出すことは容易なことではない。まずは、どんな企業・組織にも、知らないうちに機密情報が窃取される危険性があるということを知っておこう。