高度標的型攻撃(APT攻撃)対策とは

高度標的型攻撃(APT攻撃)は、個人やグループのハッカーが標的とした組織のネットワークへ不正に侵入し、検出されないまま持続的に潜伏するステルス性のサイバー攻撃です。

APT攻撃(Advanced Persistent Threat: 高度で持続的な脅威)という言葉から従来連想されるものは国家を後ろ盾とする標的型サイバー攻撃でしたが、ここ数年の間に、国家とは関係なく、特定の目的のために標的とする組織への侵入を大規模に展開しているグループによる高度標的型攻撃(APT攻撃)の例が多数見られようになりました。

高度標的型攻撃(APT攻撃)の例

高度標的型攻撃(APT攻撃)は、通常、国家や非常に大規模な組織の支援を受けています。高度標的型攻撃(APT攻撃)の例として、イランの核開発施設を標的にしたStuxnetやHydraqなどの攻撃が挙げられます。

2010年に米国とイスラエルのサイバー部隊がイランの核開発施設を攻撃し、ウラン濃縮化技術の進展を遅らせました。Stuxnetはそれ以前のウイルスやワームとは異なり、標的にしたコンピューターを乗っ取ったり、そこから情報を盗み取ったりせずに、ウランを濃縮する遠心分離機を物理的に破壊しました。この攻撃を完遂させるには、複雑なプログラミングが必要です。

Stuxnetは、標的がシーメンスの産業用制御システムとCPUであることを突き止め、これらのシステムがイランで運営されていることをプログラムで特定する必要がありました。

Hydraqは、2009年に発生したGoogleや他の米国企業をターゲットにしたOperation Aurora攻撃などのような、高プロファイルネットワークに対する高度な攻撃に使用された脅威です。

中国で起きたと報告されたOperation Auroraはゼロデイ攻撃を使用し、Hydraqという悪意のあるトロイの木馬をインストールしました。2010年1月、Googleは攻撃があったことを公表しました。犠牲となった企業の中には、Adobe Systems、Juniper Networks、Rackspaceなどがあります。攻撃を受けたことを公にしなかった他の企業には、銀行、防衛請負業者、セキュリティベンダー、石油・ガス会社、その他のテクノロジー企業が含まれていました。

高度標的型攻撃(APT攻撃)を行うハッカーとサイバー犯罪者の境界が無くなる

高度標的型攻撃(APT攻撃)と言えば、これまで国家の支援による大規模なハッキングに関連するものでしたが、ここ数年の間に、低レベルのサイバー犯罪グループの攻撃能力は国家レベルのハッカーの攻撃能力とほとんど差がなくなってきています。

一部のサイバーセキュリティ専門家は、最近、高度標的型攻撃(APT攻撃)の攻撃者が「高級料理からファーストフードへ」移ったというようなことを言っています。つまり、限られた攻撃者によって使用されてきた高度標的型攻撃(APT攻撃)の技術やツールが、他の大勢の攻撃者に採用されていることになります。

そして、その中には、政府機関が採用したフリーランスグループもいれば、複雑なハッキング攻撃で知的財産や機密情報を盗んだり、銀行から現金を盗んだりする組織犯罪者もいるということです。こうした状況変化の主な理由は、高度な 標的型攻撃(APT攻撃)を実現するツールセットが一般化したことです。たとえば、Shadow BrokersやVault 7のリークには、NSAとCIAによって開発されたハイエンドツールのソースコードが含まれており、誰でも簡単に利用できます。

さらに、インターネットのアンダーグラウンドのマーケットでは、使いやすく、カスタマイズ可能な洗練された攻撃ツールが、それを補完するハッキングサービスと一緒に提供されています。これにより、開発資金のない攻撃者も、高度標的型攻撃(APT攻撃)を実行できるだけの技術知識や運用経験を得ることができます。

また、RAT(リモートアクセスツール)、キーロガー、ワイパーなどの無料またはオープンソースのブラックハットツールや、MetasploitやCobalt Strikeなどの洗練されたペンテストツールキットなど、ハッカーが使用できるオンライン攻撃ツールもたくさん存在しています。

高度標的型攻撃(APT攻撃)のアトリビューション分析の限界点

小規模な攻撃者グループの中には、大規模な高度標的型攻撃(APT攻撃)グループと同じ資産にアクセスできるようになったものもいます。

ツールとテクニックに基づいてグループを効果的に追跡するセキュリティコミュニティの能力が低下する一方で、高度標的型攻撃(APT攻撃)の攻撃者のこうした移行により攻撃アトリビューション分析の限界点も目前に迫っています。

誤ったフラグを埋め込んでデータ解析者を混乱させるという手口が一般化したことも、アトリビューション分析を非常に困難にさせています。高度標的型攻撃(APT攻撃)の攻撃グループと同様に他のグループも、コンパイル時間を偽造したり、休日であるかのように時間をずらしたり、言語や独特の文化的証拠をpdb文字列に移植したり、他の攻撃者の古いC&Cサーバーのドメインを再登録したりしています。

また、攻撃を特徴づける証拠が改ざんされる可能性もあるため、高度標的型攻撃(APT攻撃)の背後にいる人物を特定することは、ほぼ不可能な作業です。

高度標的型攻撃(APT攻撃)の攻撃者たちは、一般化されたプログラムを活用することによって、アトリビューション分析をさらに複雑にさせます。これらのプログラムはそれほど先進的なものではありませんが、攻撃を完遂させるのに効果的です。

そして、もっと重要なことに、これらは多くの攻撃者グループによって使用されています。セキュリティ研究者にとっては、すべてのハッカーが同じツールを使用しているので、高度標的型攻撃(APT攻撃)の背後にいるのか国家なのかハッキンググループなのかを判断することがほとんど不可能です。

こうした進展により、高度標的型攻撃(APT攻撃)の検出は困難なこともありますが、攻撃者グループやサイバー犯罪者からの攻撃に対して防御することは決して無駄な提案ではありません。これらの脅威への適応に必要な人材、プロセス、技術には大規模な投資が必要ですが、適切なリターンを得ることができます。

高度標的型攻撃(APT攻撃)の撃退の秘訣

幸いにも、攻撃に抵抗する力があれば被害を回避することができます。ハッカーたちは、目標に到達するために、自身がつながっている組織の環境で一連の行動をとる必要があります。高度標的型攻撃(APT攻撃)のタイムラインの各ステップで求められる防御策を実行することで、攻撃者は脆弱になり、防御側である組織に介入する機会が与えられます。

高度標的型攻撃(APT攻撃)のタイムラインは、侵入、内部偵察、指揮統制、権限の昇格、ラテラルムーブメント(水平展開)、C&C通信および情報窃取など、攻撃のさまざまな段階から成ります。成功した防御ですべての攻撃をくい止められるわけではないことを心に留めておくことが重要です。

たとえば、水平展開する1つのインスタンスやC&Cサーバーへの通信の試行を検知することで、はじめて組織のセキュリティアナリストは高度標的型攻撃(APT攻撃)の全体を捉えることができます。完全で巧妙な攻撃は、カード(トランプ)を使って作った家になぞらえることができます。

どちらも、多くの接続部分で構成された精巧な構造です。数枚のカードを取り除くと、家全体が倒れます。これを高度標的型攻撃(APT攻撃)の検知に当てはめてみてください。攻撃の中に1個または数個のコンポーネントが見つかれば、やがて攻撃の全体が解明され、崩すことができます。

このようなアプローチは、セキュリティチームにこれまでなかった新鮮なアプローチです。そして、おそらく最も重要なのは、それは防御する組織側にとって有利な方向にオッズを動かすことになります。「カードの家」のフレームワークでは、防御側は一度勝利を収める必要がありますが、攻撃側は常に勝ち続けなければなりません。その結果、セキュリティチームは力を取り戻します。

高度標的型攻撃(APT攻撃)の検出と防御

よくあるセキュリティ上の欠陥のいくつかの例として、侵入の防止に重点を置き過ぎたり、エンドポイントのセキュリティを怠ったり、マルウェアの検知を重視しすぎたりすることなどが挙げられますが、これらはいずれも高度標的型攻撃(APT攻撃)全体の検知と対応を妨げる可能性があります。そうではなく、高度標的型攻撃(APT攻撃)からよりよく保護するために、セキュリティ体制の潜在的な欠陥を組織が修正するという方法があります。

これらの修正の例として、以下のものが挙げられます。

  • 「既に攻撃を受けている」という考え方への移行
  • エンドポイントの可視性を強化する
  • 攻撃全体を明らかにする可視性

これまでの考え方を一新してください。巧妙な高度標的型攻撃(APT攻撃)から守るためには、まず問題の見方を変える必要があります。

たとえば、マルウェアの侵入を防ぐことに焦点を当てるのではなく、組織のネットワーク内で行われている悪質な活動に焦点を当てます。すでに多くのセキュリティ担当者は、境界を守ることで組織が完全に保護されるわけではなく、ユーザーを制御することは無駄だと認識しています。

Fortune 25にランキングされるあるヘルスケア会社のセキュリティ担当者はこのように述べています。「ユーザーを制御する能力がないことを前提にする必要があります。そして、侵入を防ぐ境界防衛などは当てになりません。まず敵は内部にいると想定しています。」 攻撃が進行中なのかどうかを知る唯一の方法は、自分の環境で起きていることをはっきりと見ることです。

ネットワークとエンドポイントを含め、組織のIT環境全体を見渡せる可視性が必要です。この可視性を持つことで、各挙動を個々のイベントとしてではなく全体的に見ることができます。高度標的型攻撃(APT攻撃)は、多くの場合、単体のコンポーネントで構成されており、それらを1つにリンクさせたときに攻撃全体が明らかになります。

1つの動作を個々の挙動として表示させてもセキュリティアナリストの役には立たず、攻撃を全体的に把握するのに必要なつながりを見つけることはできません。完全な可視性によって、攻撃者が実行する個々の動作から高度標的型攻撃(APT攻撃)の全体像を明らかにするチャンスが生まれます。

高度標的型攻撃(APT攻撃)との戦いと経営陣

高度標的型攻撃(APT攻撃)に関しては、CISOとセキュリティ責任者は同じ懸念を共有しています。

コミュニケーションの問題、経営陣の無気力、熟練スタッフの不足、適切なセキュリティソリューションの選択方法が単に分からないだけなど、会社の状況はさまざまでしょうが、ともかくセキュリティ計画を立てるときは経営陣を味方に付けることが重要です。

CISOの役割はこれまで以上に重要であるにもかかわらず、まだ多くの企業が強力なサイバーセキュリティのリーダーを欠いています。

今日の脅威環境の現実に対処するために、組織の部門間で異なる文化を揃えるのは並大抵のことではありません。CISOと経営陣との間に現前として存在する文化的格差を橋渡しするための正解は1つもありません。

しかし、CISOとしての尊厳と権威にふさわしいことをCISO自身が証明できなければ、橋渡しはできません。CISOが経営陣と話し合うときには、自身がまずビジネスパーソンであることを示し、次に技術者として振る舞う必要があります。ビットやバイトのような技術用語で口火を切っては、経営陣らの興味と尊敬を確実に失うことになります。

ビジネスとの新しい対話を確立し、ソフトスキルを身につけることです。恐怖、不確実性、疑念(FUD)でコミュニケーションギャップを埋めてはなりません。

高度標的型攻撃(APT攻撃)との戦いにおいて、経営陣とCISOがセキュリティチームに権限を与える可能性のある唯一の手段は、統制を厳守し、自動脅威検出を採用し、エンドポイントのデータを活用して攻撃の全体像を明らかにすることです。見ることができないものを誰も止めることはできません。

ホワイトペーパー「攻撃に対抗する力を取り戻す」

高度標的型攻撃(APT攻撃)の脅威はあらゆる人々に広がってきています。しかしながら、脅威インテリジェンスを活用し、敵を知ることにより、先手を打って脅威ハンティングを行うことで、高度標的型攻撃(APT攻撃)を撲滅し、攻撃に対抗する力を取り戻すことができます。本書を通じて、高度標的型攻撃(APT攻撃)に立ち向かう秘策を知ることができます。
https://www.cybereason.co.jp/product-documents/input/?post_id=618

ホワイトペーパー「攻撃に対抗する力を取り戻す」