検索

「標的型攻撃/サイバー攻撃」の仕組みやメリット、課題とは?

ユーザー企業のIT担当者を対象に、IT製品/サービスの導入・購買に役立つ情報を提供する無料の会員制メディア「TechTargetジャパン」。このコンテンツでは、標的型攻撃/サイバー攻撃に関する技術解説の記事を紹介します。製品/サービス選定の参考にご覧ください(リンク先のページはPR記事を含みます)。

APT攻撃(高度標的型攻撃)とは何か?

 標的型攻撃は、特定の企業や組織、業界を標的にして機密情報を狙うサイバー攻撃を指す。企業ネットワークにアクセスできるようになった攻撃者が長期間にわたって標的型攻撃を実施することを、APT攻撃(高度標的型攻撃)と呼ぶ。(続きはページの末尾にあります)

標的型攻撃/サイバー攻撃関連の技術解説

標的型攻撃やAPT攻撃の手口と対策方法

 APT攻撃の主な目的は、標的の組織のネットワークに損害を与えたりシステムを停止させたりすることではなく、機密性の高いデータを盗むことだ。標的となるネットワークに侵入できる状態にして、継続的に情報を盗み取る。

 攻撃者は綿密な計画を立てて、手動でAPT攻撃を実行される。攻撃者は大企業や有名企業の中から標的を選び、長期にわたって情報を盗み出す。そのためAPT攻撃の実行犯は個人のハッカーではなく、資金力のあるサイバー犯罪組織や、国家主導のサイバー犯罪組織になるのが一般的だ。

標的型攻撃でよく使われる手口とは

 標的にした企業ネットワークへのアクセスを得るために、標的型攻撃の実行犯はしばしばソーシャルエンジニアリングといったさまざまな攻撃手法を使用する。ソーシャルエンジニアリングは、対象者の心理を巧みに操って意図通りの行動をさせる詐欺手法だ。

 いったん企業ネットワークに侵入した攻撃者は、標的ネットワークにアクセス可能な状態を維持するために、悪意のあるソースコードを継続的に書き換え、検出を回避するなどの巧妙な回避策を駆使する。APT攻撃を実行するサイバー犯罪組織は、標的となるシステムやソフトウェアに侵入し続けるために、専任の管理者を配置する場合がある。

 APT攻撃でよく使われる手口には、以下のようなものがある。

  • スピアフィッシング

 特定のユーザーを標的にしたフィッシング詐欺をスピアフィッシングと呼ぶ。攻撃者はスピアフィッシングメールを使用して、標的のユーザーに個人情報を漏えいさせたり、悪意のあるコードを実行するための有害なリンクをクリックさせたりする。これらのメールは本物らしく見えるように書かれており、標的のユーザーに合わせた内容になっている。

  • ゼロデイ攻撃

 最近発見されたもののまだパッチが適用されていないソフトウェアやハードウェアのゼロデイ脆弱(ぜいじゃく)性を利用した攻撃をゼロデイ攻撃という。攻撃者はゼロデイ脆弱性を悪用することで、標的にしたシステムに不正アクセスができるようになる。

  • 水飲み場型攻撃

 水飲み場型攻撃は、標的のユーザーがよく利用するWebサイトを改ざんし、ユーザーの端末をマルウェアに感染させる攻撃を指す。

  • サプライチェーン攻撃

 サプライチェーン攻撃は、標的となる組織と取引する、セキュリティレベルの低い関連企業や子会社を標的にする。標的となる組織の関連会社のネットワークに侵入した攻撃者は、そのネットワークを経由して標的となる組織のシステムに侵入する。

  • クレデンシャル(ユーザー認証に用いる情報)の盗難

 標的となるシステムにログインするための認証情報を入手するために、攻撃者はさまざまな手法を利用する。具体的にはユーザーのキーボードでの入力内容を不正に監視するキーロギングや、データ分析技術でパスワードを特定するパスワードクラッキング、フィッシングなどの手法が挙げられる。攻撃者はこうして盗み取ったIDやパスワードといった認証情報を使い、機密情報にアクセスする。

  • コマンド&コントロール(C&C)サーバ

 サイバー攻撃を制御するC&Cサーバは、侵害した企業ネットワークに継続的にコマンドを送信する。これにより攻撃者は侵害されたネットワークを制御し、ハッキングされたシステムからデータを流出させることができる。

  • セキュリティ対策の回避

 組織のセキュリティ対策システムに発見されるのを避けるため、APT攻撃者はしばしば、実際に組織で使われているツールや難読化されたコード、解析防止策を使用して、その活動を隠す。

APT攻撃の標的になる組織の特徴

 標的型攻撃やAPT攻撃の動機はさまざまだ。例えば国家をスポンサーとする攻撃者は、特定の産業で競争の優位性を得るために、知的財産(IP)や機密データを盗み取る。電力会社や通信会社といったインフラ会社、ソーシャルメディア、報道機関、金融機関、政府機関などが狙われる傾向にある。

APT攻撃を防ぐセキュリティ対策

 APT攻撃の有無は特定が難しい。しかしセキュリティツールを利用すれば、データが盗難に遭うことは検知できる。組織からデータが流出することが、自組織のネットワークが攻撃を受けていることを知る唯一の手掛かりになる場合がある。ネットワークがAPT攻撃の標的になっていないかどうかを確認するにはまず、送信データの異常を検出することに重点を置くとよい。

 APTを回避したり軽減したりするには、セキュリティチームは包括的なセキュリティ戦略を策定する必要がある。APTに対する主なセキュリティ対策には、以下のようなものがある。

  • ネットワーク管理ソフトウェアやOSの脆弱性にパッチ(修正プログラム)を当てる。

 自組織で利用するインフラの脆弱性にできるだけ早くパッチを当てることは、攻撃者が既知の弱点を悪用してゼロデイ攻撃を実行するのを防ぐのに役立つ。

  • リモート接続時のセキュリティ対策

 従業員が社外から社内システムにリモートアクセスする際は、暗号化を使って通信を保護する。攻撃者がこれらの通信を悪用するのを阻止して、社内システムへの不正アクセスを防ぐ。

  • 受信メールのフィルタリング

 受信メールのフィルタリングは、スパムメールやフィッシング攻撃を防ぐ重要なステップとなる。

  • セキュリティイベントのログを取る

 セキュリティインシデントが発生したらすぐにログを取ることで、取得したログを基にセキュリティポリシーを改善できる。

  • リアルタイムのトラフィック監視

 企業はバックドアの設置や機密データの外部への持ち出しを抑止するために、ネットワークで送受信されるデータの種類を監視する必要がある。

  • Webアプリケーションファイアウォール(WAF)の設定

 ネットワークのエンドポイントやエッジにWAFを導入して、自組織が運用するWebサーバやWebアプリケーションを侵入から守る。

 企業のIT部門は、進化する巧妙なサイバー脅威からデータとネットワークを守るために、常に警戒を怠ってはならない。

ページトップに戻る