高度標的型攻撃（ADVANCED PERSISTENT THREAT = APT攻撃）とは

グローバルインフラや政府関係機関、人々の依存度が高い組織や企業を狙い極秘の大規模なサイバー攻撃が発生しているとの報道が、トップニュースになることがあります。たとえば、2010年には、Stuxnetと呼ばれる大規模で特殊な攻撃の存在が初めて公になりました。この攻撃では、ウラン濃縮施設のSCADAシステムが攻撃を受け、イランの核計画が頓挫しています。そしてこれ以降、同じような、スリラー映画の題名さながらの攻撃をよく耳にするようになりました。グローバル通信事業者を標的にしたOperation Soft Cellや、アジアの大手企業を狙ったOperation Cobalt Kittyなどの攻撃です。これらのきわめて悪質な攻撃は高度標的型攻撃（APT攻撃）に分類されるため、同類の攻撃と見なされています。

APT攻撃は、規模が大きく複雑であり、長期間にわたって検知や駆除を逃れる能力を有している攻撃であると定義されます。通常、個人が単独で仕掛けるのではなく、高度な能力を持ったグループによって犯行が行われます。APT攻撃にはさまざまな理由で国家が関与していることが少なくありません。Operation Soft Cellは、サイバー攻撃集団のAPT10が中国国家安全部（MSS）に代わって計画、実行したとの見方が有力です。その攻撃の目的は、さまざまな国の特定の個人に関するCDR（呼詳細レコード）データ（通話の記録や基地局の位置などの情報）の取得にあるとみられ、これら個人の行動を追跡したり、違法な行動に関与させたりしようとする意図がうかがわれます。このような標的型サイバー諜報活動を行うサイバー攻撃は通常、国家主導の攻撃です。

APT攻撃を特定するうえで、サイバーリーズンでは、いくつかの重要な判断基準を用いています。

• 高度な攻撃：APT攻撃では、綿密な計画に基づき緻密な攻撃が行われます。しかし標的への侵入には、多くの場合、ソーシャルエンジニアリングやメールフィッシング、ゼロデイウイルスなどの比較的単純な手法が用いられます。攻撃者は複数のツールや手段を繰り返し使用して、まず標的にアクセスしようとします。そして見つけ出した個々の脆弱性を悪用する手段を考えます。ネットワークにアクセスして脆弱性を見つけ出し、攻撃の機会が訪れるまで待機してから侵入を開始し、標的とするネットワークやシステムに攻撃を仕掛けます。APT攻撃では、目的を達成するために向けて複数の人員やツール、戦略が動員されます。
• 執拗な攻撃：広範囲を、強い意志を持って攻撃することを意味します。相手が罠にかかるまで、あるいは、新たなレベルの攻撃の機会が訪れるまで忍耐強く待ちます。APT攻撃は、数か月から数年にわたって続くことが少なくありません。証拠が示すように、通信事業者を狙った攻撃はずっと以前から確認されています。しかしサイバーリーズンが入手したデータによれば、Operation Soft Cellの活動が活発になったのは、2012年になった頃からです。攻撃者は大半の時間を、ネットワーク内に潜んで過ごします。その間に、相手の新たな防御や戦術の内容を観察して学び、時間をかけて最終目標の達成を図ります。それゆえ、防御の機能や問題に対処する機能の裏をかくことができるのです。検知を逃れるために、時間をかけ、ランダムに間隔を空けて少しずつ重要なデータを盗み出している例もあります。一方、Soft Cellの攻撃では、その目的が、標的に定めた個人の行動や居場所を監視することにあるのは明らかです。10年以上にわたり携帯電話の通話の状況を監視しているのです。
• 重大な脅威をもたらす攻撃：APT攻撃は、単一の攻撃者によるほとんどの攻撃スキーマをはるかに越えており、重要度のきわめて高い標的やネットワーク全体を攻撃するので、重大な脅威をもたらす攻撃であると言えます。コミュニケーション、制御、データの保存にネットワークを利用している組織はそのいずれもが、APT攻撃を受ける可能性があります。どの業種、ローカルの設備、重要インフラ、政府関係機関も標的になることを意味します。攻撃を仕掛けているのは、特別な強い悪意を持った犯罪者グループであり、自動化されたコードを使う数人のハッカー集団とは性質が異なり、経済を混乱に陥れたり、政治的混乱を生じさせようとしたりするなどの特定の目的を持っています。ときには、国のサイバー攻撃部隊やテロリストのグループがAPT攻撃を行うこともあります。攻撃者はスキルが高く、資金力があり、強い目的意識を持っています。最終目標を達成するまで忍耐強く攻撃が続けられ、また、ステルス性が高く、長期のプランに固執する点でも危険な攻撃です。

APT攻撃の主な目的

APT攻撃を仕掛ける攻撃者の目的はさまざまです。消費者の情報を紛失させたり、企業秘密を漏洩させたりして、企業や組織に打撃を与えることを目的にする場合もあれば、大規模な攻撃で、電力網などの重要インフラを標的にすることもあります。また、Operation Soft Cellの攻撃で明らかになったように、APT攻撃が諜報活動に使われるケースもあります。また、Stuxnetの攻撃では、核兵器の開発プロジェクトを頓挫させる目的でAPT攻撃が使われました。

次に、どのような優先順位で攻撃が行われているのか確認していきましょう。まず最初に攻撃者は、最も脆弱なポイントを突いてネットワークに侵入することを目指します。侵入に成功したら、次は、管理者権限を奪い、ネットワークがどのように保護されているのかを確認します。このように段階的に、標的のネットワークやシステムの奥へと進み、最終の目的を達成するための方法を探るのです。APT攻撃の本来の目的は、闇の管理者となってネットワーク全体の状況を把握することにあります。これが実現すれば、相手に気付かれないようにして長期間、システムの内部で活動ができます。このようなAPT攻撃の性質は、APT攻撃の検知を難しくしている主要な理由の1つでもあります。

持続的な攻撃と持続的でない攻撃の違い

APT攻撃の本来の目的は、検知されない状態でシステム内に長期間とどまり、望むレベルのコントロールを獲得することや、システムの能力を低下させたり、価値の高い情報を継続的に盗み出したりするといった目的を達成することにあります。持続的でない攻撃でも最終の目的が同じこともありますが、通常、この攻撃の場合は短期間で相手に大きな損害を与えます。脆弱性攻撃を受けたり、重要な業務を停止させられたりするのも一時的です。具体的には、TwitterやFacebookなどのよく利用されているサイトをダウンさせたり、公共インフラを停止させたり、何らかの制約を課された報復として、企業のブランドイメージに損害を与えたりします。標的に侵入してからそこに長期間とどまるAPT攻撃の場合、そのための戦略やプランの内容は複雑で難解です。 中国のいくつかの攻撃者が行ったAPT攻撃の手順に関し、Mandiantが2013年に以下のような項目を挙げています。

• 最初の攻撃：ソーシャルエンジニアリングとスピアフィッシング、メール、ゼロデイウイルスを通じて攻撃を仕掛けます。ユーザーがアクセスする可能性の高いWebサイトにマルウェアを仕掛けてマルウェアに感染させる方法もよく使われます。
• 足掛かりを築く：標的のネットワークにリモート管理ソフトウェアを設置し、ネットワークにバックドアとトンネルを設け、インフラストラクチャにステルスでアクセスできるようにします。
• 特権を昇格：エクスプロイトとパスワードクラッキングで、標的のコンピューターの管理者権限を奪い、Windowsのドメイン管理者アカウントに展開します。
• 内部を偵察：周辺のインフラストラクチャや信頼関係、Windowsのドメインの構造に関する情報を収集します。
• ラテラルムーブメントを実行：他のワークステーションやサーバー、インフラストラクチャエレメントにコントロールを拡張し、それらでデータの収集を始めます。
• プレゼンスを維持：前の手順で入手したアクセスチャネルや資格情報を使い続けられるようにします。
• 目的を完了：APT攻撃では、持続的でない攻撃で使用されているツールや手法を利用することも少なくありません。目的が完了するまで長期間検知を逃れ、システム内に潜むために、計画と実行の段階であらゆるツールや手法を組み合わせて使用します。

APT攻撃の具体的な例

• Operation Aurora（2009年）：この攻撃では、Googleなどの米国の企業が標的になりました。中国から始まったとされるこの攻撃はゼロデイエクスプロイトを悪用してHydraqと言うトロイの木馬をインストールします。2010年1月にGoogleは、この攻撃を受けたことを明らかにしています。Adobe SystemsやJuniper Networks、Rackspaceもこの攻撃の被害を受けています。攻撃を受けていながらそれを公表していない組織もあり、銀行や防衛産業の企業、石油・ガス関連、セキュリティベンダー、その他のテクノロジー企業などがこれに該当します。
• Stuxnet（2010年）：米国とイスラエルのサイバー軍が、イランの核プログラムを攻撃し、同国のウラン濃縮の能力を弱体化しました。
• Cobalt Kitty（2017年）：Operation Cobalt Kittyは、アジアのグローバル企業を標的にOceanLotus Groupが仕掛けた大規模なサイバー諜報活動のAPT攻撃です。
• Soft Cell（2018年）：サイバーリーズンのNocturnusチームは、グローバル通信事業者を標的としたあるAPT攻撃の存在を確認しました。この攻撃は、中国政府と関連のある攻撃者グループ、APT10がよく用いるツールやテクニックを使用しています。

APT攻撃の成功率が高い理由

APT攻撃は、検知および分析と、問題への対処が困難な攻撃です。

1. 攻撃の背後にいるのは、政府の支援を受けた、資金力の豊富なグループです。綿密に計画された戦略を実行できる手段にも時間にも恵まれています
2. レベルの低いハッカーが使うのと同じツールやテクニックで脆弱性攻撃を仕掛け、標的に侵入しようとするので、誰の犯行なのか判断するのが難しくなっています
3. ネットワークに侵入しても、攻撃者は多くの場合、次のアクションまでしばらく待機します。このため、リアルタイムのアラートや対策機能で不審な行動パターンを検知したり、脅威を直接検知したりするのが困難です
4. 攻撃を検知して悪意のあるコードをブロックしたり、削除したりしても、攻撃者は別のアカウントやアカウントの権限、別のツールやテクニックを用いて新たな攻撃を仕掛け、セキュリティプロトコルをすり抜けようとします。複数の攻撃を同時に実行したり、おとりの攻撃を行ったりして、セキュリティチームの注意をそらし、目立たないかたちでシステムへの侵入を試みます
5. 最終目的は、セキュリティチームが想定しているよりも広範囲にわたる破壊力の大きな攻撃を仕掛けることにあります。おそらく、ネットワークやサーバーを侵害する行為は、何年も続く可能性のある、グローバルレベルで影響を与えることを想定したイベントチェーンの、初期段階に過ぎないかもしれません。

APT攻撃を検知する方法

単純な方法でAPT攻撃を検知し、攻撃を防ぐことはできません。効果的なセキュリティプランを準備するには、経営陣を巻き込む必要があります。防御を整えるためには、人手も、ノウハウも、テクノロジーも必要です。防御のプランを策定するうえで留意すべきくつかの基本原則があります。

• すでに攻撃を受けていると想定する：多くの企業が、防御の機能に頼り過ぎたり、特定のマルウェアのブロックや駆除にこだわり過ぎたりしていますが、それは間違いです。APT攻撃は、複数の弱点を突くことで、「外部レイヤー」に基づくセキュリティ手法をすり抜けるよう計画されます。人為的なミスに乗じたり、おとりのDDoS攻撃を仕掛けたりして、わずかに姿を見せている脆弱性攻撃や侵害行為からセキュリティチームの注意をそらそうとするのです。すでに攻撃を受けているという前提の基に行動すれば、さまざまな挙動や、時間の経過に伴い生じるわずかな変化に注意が向き、長期にわたる大規模な攻撃との関係性を見出すことができます。すべてのネットワークとエンドポイントを含めたIT環境全体に目を向けねばなりません。このようなかたちで可視性を高めることができれば、APT攻撃を企むグループの行動や目的や、グループがプランの実行に利用しようとしているツールを特定できるようになります。そして、時間の経過に伴い発生する個々のイベントを相互に関連付けることで、攻撃プランの中身がわかるようになり、攻撃全体を停止させることができます。
• 単純な説明を鵜呑みにしない：おそらく、セキュリティチームは毎日、脅威を知らせる通知を複数受け取っているはずです。外部にいる世界各国のエキスパートから送られてくるものもあるでしょう。防御システムから直接届くものもあるはずです。常日頃発生し、自動で対策がトリガーされるマルウェアアラートもあります。誤検知の通知も含まれています。過度なアラートの発生は、手付かずのアラートを生み出し、すでに人手の足りていないセキュリティ部門の業務にさらなる負荷をかけることになります。ユーザーがこれらのアラートに気を取られ、別のアラートを見逃してしまうのを、攻撃者は期待しています。 二次攻撃としてAPT攻撃を仕掛けようと企む相手に恰好のタイミングで弱点をさらすことになるのです。あらゆる手段を駆使して、目に見えている個々の侵害やそれ以外の不審な行動を監視、調査しましょう。ただし、脅威をブロックしたり、駆除したからといって、それで安心してはいけません。より広範なレベルで影響を与えようと企む手の込んだ攻撃をそれで防げるとは限りません。
• エンドポイントにおける可視性と分析の能力を高める：APT攻撃では、複数の手口やツールを使って、あるゆるポイントを標的にする可能性があるため、その対処では、エンドポイントを注意深く監視し、ネットワーク全体でアクティビティを相互に関連付ける必要があります。一般的なAPT攻撃の戦略では、セキュリティの甘いエンドポイントから環境内に侵入し、ラテラルムーブメントを通じて他のエンドポイントやネットワークへと移動し、標的のシステムを探します。アナリストは、これらの挙動すべてを、コンテキストを考慮しながら確認して、より次元の高い攻撃の内容を判断し、効果的な対処戦略を策定する必要があります。