近年、ニュースなどで耳にする機会が増えた「APT攻撃」。なんとなく怖いイメージはあるけれど、具体的にどんな攻撃なのかわからない、という方も多いのではないでしょうか。この記事では、APT攻撃について、IT初心者の方にも理解しやすいように、その意味から手口、対策までを解説します。
APT攻撃とは何か?
APT攻撃は、「Advanced Persistent Threat」の略称で、日本語では「高度で持続的な脅威」と訳されます。 これは、特定の組織や個人を標的に定め、様々な高度な手法を駆使して、長期間にわたって潜伏し、目的を達成しようとするサイバー攻撃の一種です。 標的型攻撃の一種ではありますが、より高度で執拗な点が特徴です。
- Advanced(高度な): 攻撃者は、独自に開発したマルウェアやゼロデイ脆弱性(ソフトウェアの未知の弱点)を利用するなど、高度な技術やツールを駆使します。
- Persistent(持続的・執拗な): 一度侵入に成功すると、発見されないように長期間ネットワーク内に潜伏し続け、目的達成のために執拗に活動を続けます。
- Threat(脅威): 攻撃者は明確な目的を持っており、多くの場合、機密情報の窃取やインフラの破壊、スパイ活動などを狙っています。 攻撃者は高度なスキルを持つ集団であることが多く、時には国家が関与しているケースもあります。
APT攻撃と標的型攻撃の違い
APT攻撃も標的型攻撃も、特定のターゲットを狙う点は共通していますが、いくつかの違いがあります。
| 項目 | APT攻撃 | 一般的な標的型攻撃 |
|---|---|---|
| 目的 | 機密情報(国家機密、知的財産など)の継続的な窃取、インフラ破壊、スパイ活動など、大規模で戦略的な目的が多い。 | 金銭、個人情報、アカウント情報などの窃取が主な目的。 |
| 期間 | 長期間(数ヶ月~数年)にわたって潜伏・活動。 | 比較的短期間で目的を達成しようとする。 |
| 手法 | ゼロデイ攻撃、カスタムマルウェア、複数の攻撃手法の組み合わせなど、高度で独自の手法を用いる。 | 既存のマルウェアやツール、標的型メールなど、ある程度パターン化された手法を用いることが多い。 |
| 攻撃者 | 国家や特定の組織が関与する、高度なスキルを持つ集団が多い。 | 個人または小規模な犯罪者グループの場合もある。 |
| ターゲット | 政府機関、大企業、重要インフラなど、セキュリティレベルが高い組織が多い。 | 一般企業や特定の個人もターゲットになり得る。 |
簡単に言えば、APT攻撃は、より大規模で、長期間にわたり、高度な技術を使って特定の大きな目的を達成しようとする、標的型攻撃の中でも特に悪質で巧妙なものと言えます。
APT攻撃の手口・流れ
APT攻撃は、一般的に以下のような段階を経て行われます。
- 偵察・準備: 攻撃者は、標的組織のネットワーク構成、使用しているシステム、従業員のメールアドレスやSNS情報などを入念に調査します。
- 初期侵入: 調査結果に基づき、標的組織のネットワークへ侵入します。主な侵入経路としては以下のようなものがあります。
- 標的型メール(スピアフィッシング): 業務に関連する内容や知人を装ったメールを送りつけ、添付ファイルを開かせたり、不正なリンクをクリックさせたりしてマルウェアに感染させます。
- 水飲み場攻撃: 標的組織の従業員がよく利用するウェブサイトを改ざんし、アクセスしただけでマルウェアに感染するように仕掛けます。
- 脆弱性の悪用(ゼロデイ攻撃など): 公開されていない、あるいは修正パッチが適用されていないソフトウェアの脆弱性を突いて侵入します。
- サプライチェーン攻撃: 標的組織が利用しているソフトウェア開発会社や取引先などを先に攻撃し、そこを経由して標的組織へ侵入します。
- 潜伏・基盤構築: 侵入後、攻撃者はセキュリティソフトなどによる検知を避けながら、ネットワーク内部で活動するための足場(バックドアなど)を築きます。 長期間潜伏し、目立たないように活動します。
- 権限昇格・内部偵察: より高い権限(管理者権限など)を奪取し、ネットワーク内部の構造や機密情報のありかなどを詳しく調査します。
- 目的の実行(情報窃取・破壊など): 目的とする機密情報などを探し出し、外部へ密かに送信します。 あるいは、システムの破壊や改ざんを行います。 情報窃取が目的の場合、発覚しないように少しずつ情報を盗み出すこともあります。
- 痕跡消去: 攻撃の痕跡を消去し、発覚を遅らせようとします。
これらの段階は一直線に進むわけではなく、状況に応じて手法を変えたり、複数の手法を組み合わせたりしながら、執拗に目的達成を目指します。
APT攻撃によるリスク・被害
APT攻撃を受けると、企業や組織は甚大な被害を受ける可能性があります。
- 機密情報・個人情報の大規模漏洩: 国家機密、企業の知的財産、顧客情報、従業員の個人情報などが大量に盗まれる可能性があります。
- システムの停止・破壊: 重要インフラや基幹システムが破壊され、業務停止に追い込まれる可能性があります。
- データの改ざん: 重要なデータが不正に書き換えられ、業務に混乱が生じたり、誤った意思決定につながったりする可能性があります。
- 金銭的被害: 不正送金や、復旧にかかる費用、損害賠償などで大きな金銭的損失が発生する可能性があります。
- 信用の失墜: 情報漏洩やサービス停止により、顧客や取引先からの信用を失い、ブランドイメージが大きく損なわれる可能性があります。
- 二次被害の拡大: 盗まれた情報が悪用されたり、ダークウェブなどで売買されたりすることで、さらなる被害につながる可能性があります。
- アカウントの乗っ取りと悪用: システムやサービスのアカウント情報が盗まれ、不正アクセスやなりすましに悪用される可能性があります。
APT攻撃は発見されにくく、長期間にわたって被害が続くため、気づいたときには手遅れになっているケースも少なくありません。
APT攻撃の事例
世界中で多くのAPT攻撃が報告されています。ここでは代表的な事例をいくつか紹介します。
| 発生時期 | 名称・概要 | 詳細 |
|---|---|---|
| 2009年~2010年 | Operation Aurora | Google、Adobeなど30社以上の大企業が標的となった大規模な攻撃。 未公開の脆弱性を突くゼロデイ攻撃が用いられ、知的財産や個人情報が窃取されました。 この事件をきっかけにGoogleは中国市場から撤退しました。 |
| 2010年頃 | Stuxnet | イランの核施設の遠心分離機を制御する産業制御システム(SCADA)を標的とした攻撃。 特定のシステムのみを狙って物理的な破壊を引き起こす、非常に高度なマルウェアが使用されました。 国家レベルのサイバー兵器とも言われています。 |
| 2011年 | 三菱重工業への攻撃 | 日本の防衛関連企業である三菱重工業が標的となり、サーバーやPCがマルウェアに感染しました。 日本におけるAPT攻撃の脅威が認識されるきっかけの一つとなりました。 |
| 2015年 | 日本年金機構の情報漏洩 | 標的型メール攻撃により、約125万人分の年金に関する個人情報が漏洩しました。 日本国内でAPT攻撃の脅威と標的型メールの危険性が広く認知される事件となりました。 |
| 2020年 | SolarWindsへのサプライチェーン攻撃 | ネットワーク管理ソフトウェア「Orion Platform」を提供するSolarWinds社が攻撃を受け、同社の正規アップデートを通じてマルウェア(バックドア)が配布されました。 アメリカ政府機関を含む最大約18,000の組織に影響が及んだとされ、過去最大級のサプライチェーン攻撃となりました。 |
| 2020年 | 日本の大手電機メーカーへの攻撃 | ゼロデイ攻撃で子会社の端末に侵入し、その後ネットワーク内で感染を広げ、クラウドサービスなどに不正ログインして個人情報や機密情報を窃取しました。 |
APT攻撃への対策
APT攻撃は非常に巧妙であり、単一の対策だけで完全に防ぐことは困難です。複数の対策を組み合わせた「多層防御」の考え方が重要になります。
技術的な対策
- 入口対策: ファイアウォール、IDS/IPS(不正侵入検知・防御システム)、UTM(統合脅威管理)、メール・Webフィルタリングなどで、不正な通信やマルウェアの侵入を防ぎます。
- 内部対策: エンドポイントセキュリティ(EDRなど)で端末の不審な挙動を検知・対応します。ネットワークをセグメント化(分割)し、万が一侵入されても被害を限定的にします。 アクセス権限を最小限にし、特権ID管理を徹底します。ログを監視・分析し、異常を早期に発見します。
- 出口対策: 不正な通信を検知・遮断し、情報漏洩を防ぎます。 機密情報は暗号化して保存・通信します。
- 脆弱性管理: OSやソフトウェアを常に最新の状態に保ち、脆弱性を悪用されないようにします。 脆弱性診断を定期的に実施します。
- 多要素認証の導入: ID・パスワードだけでなく、複数の認証要素を組み合わせることで、不正ログインのリスクを低減します。
- ゼロトラストセキュリティの導入: 「何も信頼しない」ことを前提とし、すべてのアクセスに対して検証を行う考え方です。
人的・組織的な対策
- 従業員教育: 標的型メールの見分け方、不審なファイルやURLを開かないことなど、セキュリティ意識向上のための教育を定期的に実施します。 従業員一人ひとりが「自分も狙われる可能性がある」という意識を持つことが重要です。
- インシデント対応体制の整備: CSIRT(シーサート)やSOC(ソック)のような専門チームを設置し、インシデント発生時の対応計画を策定・訓練しておきます。
- 脅威インテリジェンスの活用: 最新の攻撃手法や攻撃者の情報を収集・分析し、対策に活かします。
まとめ
APT攻撃は、特定の組織を狙い、高度な技術を駆使して長期間潜伏する、非常に危険なサイバー攻撃です。 その目的は機密情報の窃取やシステムの破壊など多岐にわたり、被害は甚大になる可能性があります。
完全に防ぐことは難しいものの、技術的な対策と人的・組織的な対策を組み合わせた多層防御を構築し、継続的にセキュリティ意識を高めていくことが、APT攻撃から組織を守るために不可欠です。