1. APT攻撃 とは?
1) APT攻撃 の定義
APTはAdvanced Persistent Threats(知能的持続脅威)の略語で、知能的な方法を使用して持続的に特定の対象に攻撃することである。
APT攻撃 は不特定多数を狙った攻撃とは違い、特定の対象を目標に内部侵入が成功するまで多様なIT技術と攻撃方法を基盤として様々な手法を組み合わせられた攻撃が続く、とても危険な攻撃である。
2) マルウェア攻撃との違い
次はマルウェアとAPT攻撃の違いである。
| 区分 | マルウェア | APT |
| 攻撃分布 | 無差別に大量 | 緻密で組織的な計画 |
| 目標 | 無差別に多数 | 政府機関、団体、企業 |
| 攻撃頻度 | 一回 | 持続 |
| 攻撃技術 | マルウェアディザイン | ゼロデイエクスプロイトドロップ、バックドア |
| 検知率 | 1ヶ月以内にサンプル発見時、99%検知 | 1ヶ月以内にサンプル発見時、10%以下 |
上記のようにマルウェアとAPT攻撃は特徴に確実な違いがある。無差別に不特定多数を対象にするマルウェアとは違って、組織的に緻密な計画がされ、主に政府機関、団体、企業を目標にしている。一番重要なところは一回ではなく、システムに持続的に攻撃することであり、検知も難しいことである。
2. APT攻撃サイクル
ハッカーは長い間持続的に攻撃をするために被害者が分からないように侵入から流出まで気づかれないよう、隠密に行う。
| 情報収集 | APT攻撃はスパイのように相手のパソコンに侵入するのが特徴である。スパイのように目標を綿密に分析し、メールなどのソーシャルエンジニアリング手法を利用して知り合いや会社に偽装してマルウェアが添付されたメールを送る。 |
| 侵入 | 知り合いや会社に偽装したメールを受けた社員は疑いなくメールを開き、添付ファイルを開いた瞬間、マルウェアに感染する。ここか感染の始発で内部システム侵入の窓口になる。 |
| C&Cサーバ通信 | ハッカーが流布したマルウェアに感染すると当該のPCはハッカーのものになる。ハッカーはシステム活動の拠点を確保するためにマルウェアが実行されるとバックドアプログラムがインストールされ、このバックドアからC&Cサーバと通信しリモートからコマンドの実行が可能になる。 |
| 拡散 | C&Cサーバの通信をりようしてて内部の他のPCを次と次へ感染させる。社内システムのアクセス権限を確保するためにパスワードを推測したり情報を収集して上々に高い権限を確保して内部のシステムを手に入れる。 |
| データアクセス | 重要データにアクセスができる管理者の権限を獲得したら実際重要データが保存されているシステムにアクセスする。 |
| データ流出/破壊 | 重要データまでアクセスができたら内部セキュリティプログラムやモニタリングに検知されないように長い間少しずつデータを流出する。 |
3. APT攻撃の現況
このように危険なAPT攻撃は主にどのような対象を目標に攻撃するのか。APT攻撃の究極的な目的は重要データの奪取及び破壊にある。長い間攻撃をするため、奪取と破壊をしようとする対象はそのぐらい重要なデータである。ではAPT攻撃の重要目標になる対象と攻撃頻度、流入経路、そして攻撃の事例について調べてみよう。
1) 主な攻撃対象
APT攻撃の重要目標になる対象は下記のように政府機関、インフラ施設、金融企業、情報通信企業、製造企業などである。このような対象が攻撃をされ、重要データが奪取されると当該の機関、企業はもちろん社会的にも大きな問題になる。
| 政府機関 | インフラ施設 | 情報通信企業 | 製造企業 | 金融企業 |
| ・機密文書奪取 | ・サイバーテロリズム活動 ・社会基幹システム作動不能 | ・先端技術資産奪取 ・源泉技術に関する機密奪取 | ・企業の知的資産及び営業秘密奪取 | ・社会金融システム作動不能 ・企業金融資産情報奪取 |
2) 産業ごとに攻撃の攻撃対象率及び流入経路
産業ごとに攻撃対象率をみると、通信産業と政府機関が上位1,2である。その次に教育産業、先端技術産業、金融サービス業になっている。これで通信、先端技術、政府機関そして金融サービス業が攻撃の主な目標になっていることがわかる。このような目標を攻撃するために攻撃ファイルを流入する経路として圧倒的にメールを利用した攻撃がい多い。
4. APT攻撃の対応方法
感染したことの自覚が難しいこのような攻撃はどうすれば効果的に対応できるのか。APT攻撃はゼロデイ脆弱性など高等技術を利用して攻撃をするため、防ぐのが難しい攻撃である。防ぐことが難しい為、攻撃のサイクルに合わせて侵入経路を最小にし、迅速な検知と対応が最善の対応方法である。
1) 総合的なセキュリティが必要
高度化・多様化されている最新の脅威は個別のソリューションなどによる単純な対応ではもはや効果を出せるのは難しい。それに企業のビジネス環境も複雑になっていて、産業群の特性を基にして実効性のあるセキュリティ技術とソリューションを連携しなければならない。セキュリティソリューションの範囲別に以下のようなに攻撃の可能性を低くするべきである。
・End-Pointセキュリティ:ハッカーの立場としてはEnd-Pointは内部に侵入するための窓口して利用される。End-Pointにマルウェアを感染させる作業から攻撃が始まるため、外部インターフェースの制御からワクチン、ファイアウォール、マルウェア防御ソリューションなどを利用して攻撃の可能性を低くするべきである。
・ネットワークセキュリティ:ネットワークからマルウェアの分析も可能である。内部に流入されるファイルを仮想環境で実行させて実際行為を分析した後、異常が無いかをチェックして被害を最小化する方法である。物理的に流入されるマルウェアではなければネットワークを通じて内部に流入されるマルウェアを検知し、遮断するのが効果的である。
・サーバセキュリティ:より強力なアクセス制御のための2-Factor&2-Channel(2要素&2チャンネル認証)などの認証を利用して権限があるとしても、もう一回の認証を通らないとアクセス及びコマンドが実行できないように制御する。また、SIEMなどのシステムを利用して情報システムのイベント、ログ、監査情報などを収集して長期間の深層分析で迅速な検知及び対応ができるようにする。
こうした総合的なセキュリティを構築しても、それぞれのソリューションから発報されるアラートを一つ一つ分析することは非常に困難である。こうした難しい監視を行い、どう対応していったら良いのか報告してくれるサービスがマネージドセキュリティサービスというサービスです。こうしたセキュリティ専門企業が提供するセキュリティサービスをご利用いただくのが一番効果的だと考える。
2) 一番効果的な予防はセキュリティ認識を高めること
総合的なセキュリティインフラを構築して攻撃に対応するのもとても大事である。しかし最も大事なのはユーザーのセキュリティ認識の強化であると思う。全ての攻撃の始まりはユーザーの間違った行動から発生するため、周期的なセキュリティ教育及び攻撃者が使用する方法を実際に利用した模擬訓練も実施したら良い効果が得られると思う。
5. 参考資料
[1] APT 공격, Navercast
[2] APT 방어를 위한 선제적 보안 솔루션, TREND MICRO
[3] APT 공격 방어 시스템 구축 방안, http://blogger.ke.kr
[4] 2015상반기 지능형 위협 보고서, FireEye
[5] APT 공격 대책, http://www.etnews.com/20150113000069
[6] 최신 지능형 위협 동향, Ahnlab(보안이슈)
[7] APT 공격 트렌트 & 대응방안, https://prezi.com/ppvcd73dfbgn/apt/
Written by CYBERFORTRESS, INC.
Tweet
関連記事
よく読まれている記事
