APT攻撃は、サイバー攻撃の中でも高度で企業にとって大きな脅威となるものです。標的型攻撃の一種であり、持続的かつ執拗、場合によっては背後に国家組織などが存在する大がかりな攻撃のケースもあります。各種のサイバー攻撃が企業にとって経営上のリスクとして重視される中、APT攻撃も同様に扱う必要があるでしょう。
本記事では、APT攻撃の概要、想定される被害、手口や事例に加え、対策方法についても紹介します。

APT攻撃（高度標的型攻撃）とは

一般社団法人 JPCERT コーディネーションセンターの「高度サイバー攻撃（APT）への備えと対応ガイド～企業や組織に薦める一連のプロセスについて」では、APT攻撃を「Advanced Persistent Threat（先進的で執拗な脅威）」としています。より詳細な定義では「攻撃者が戦略的かつ組織的に攻撃活動を行い、標的とする特定の企業や組織に対し執拗に関心を持ち続ける」ことを条件として定めており、詳しい説明については資料内での説明を参照ください。

APT攻撃によく見られる特徴には下記が挙げられます。

• 長期的な目標を定めた継続的な作戦行動のような活動
• 攻撃の遂行のため、ITインフラやプラットフォームを利用している
• 標的となる企業や組織の従業員に対し、ソーシャルハッキングなどの諜報行為を行っている
• サイバー攻撃のために、高度なIT技術や様々なテクニックを組み合わせて利用する
• 企業や組織によるサイバー攻撃への侵入検知等の対処、対応措置に適応し攻撃方法を修正する場合がある

通常の標的型との違いには、大規模なバックグラウンドを持ち、下記の点をより高度なレベルで行っていることが挙げられます。

• 長期的、計画的に実施される
• 綿密な調査を行い、精度を高めている
• マルウェアを検知させず、長期にわたり情報を取得する

従来は、国家主導や国家レベルの影響を受ける攻撃という意味合いを強く含んでいましたが、近年では通常の標的型攻撃よりも高度なサイバー攻撃を指す言葉に変化してきています。

APT攻撃を受けた場合に想定される被害

APT攻撃を受けた場合、企業はどのような被害を被るのでしょうか。想定される被害として、下記が挙げられます。

大量の情報漏洩

APT攻撃では情報の取得も重要な目的の一つです。事前に調査を行っていることから、価値の高い重要な情報にアクセスできる従業員が狙われることが想定され、その結果、大量の情報漏洩が起こると考えられます。
顧客の個人情報や機密情報が長期間にわたり漏洩した場合には、企業としての信頼は大きく傷つき、その被害補填も大規模になることが予測できます。

システム、サービスのアカウントを乗っ取って悪用

APT攻撃により企業や組織の持つシステムやサービスを利用するためのアカウント情報が窃取された場合、システムやサービスへの侵入を許し、悪用されることが想定されます。
企業や組織の活用を支える業務上の情報の改ざん、不正な送金、攻撃者に取って都合の悪い情報の隠ぺいなどが図られるでしょう。

データの改ざんによる業務への影響

企業や組織の持つデータが改ざんされた場合、システムの停止につながり、業務の継続が脅かされることが想定されます。
近年、ランサムウェアへの感染が引き金となり、データの暗号化が行われ、業務システムの停止とそれに伴う業務が停止してしまう事例が急激に増加しています。APT攻撃にはマルウェアも利用されており、データの改ざんによる被害が同様に発生することが想定されます。

漏洩した情報の拡散、ダークウェブへ流出した場合の更なる被害拡大

漏洩した情報の行方は場合によって異なりますが、サイバー犯罪者の集まるダークウェブに流出してしまった場合には、さらに情報が拡散してしまうことが想定されます。

しかしながら、ダークウェブには通常は接続できず、情報の流出・拡散が発生しているかを確認することは簡単ではありません。そのような場合に利用できるのが、情報漏洩の監視ツール「ダークウェブアイ」です。ダークウェブアイを用いると、常にダークウェブ上に自社に関連する情報が流出していないかを監視することが可能です。もし情報の流出が確認された場合には、即刻通知を受け、被害の拡大を食い止めることができます。

APT攻撃の手口

APT攻撃は大きく分けると、企業や組織のITシステムやコンピュータネットワークへの侵入フェーズと情報窃取と改ざんを行うフェーズに分けられます。

なお、APT攻撃は高度な標的型攻撃であり、攻撃の都度、利用される手口などは変化することが想定されます。既存、新規のマルウェアを使う場合や、様々な攻撃手法を組み合わせる場合など多様なケースを想定する必要があります。

侵入フェーズ

企業や組織の持つITシステム、インフラ、コンピュータネットワークへの侵入を図るフェーズです。侵入し、ネットワーク内にマルウェアに感染した端末を生み出し、感染を拡大させていきます。なお、APT攻撃で利用されるマルウェアは動作が目立たず検知がしづらいものも確認されているため、侵入後は検出されずに外部への情報送信などを行います。

侵入の手口には、標的型Eメールなどが用いられます。不正なWebサイトへ誘導し、マルウェアに感染させる場合や、従業員のアカウントを詐取してネットワークへの侵入を図る場合があります。

情報窃取と改ざんフェーズ

侵入フェーズで企業のコンピュータにマルウェアを感染させた後は、感染の拡大と情報窃取や改ざんのフェーズに入ります。APT攻撃の場合には、未知のマルウェアを用いたり、動作を目立たせないことでセキュリティソフトなどに検知させず、継続的に外部に情報を送信することを重視するのが特徴です。

APT攻撃の被害事例3選

APT攻撃の被害事例を紹介します。

オペレーションオーロラ

オペレーションオーロラ（オーロラ作戦）は、2010年にGoogle社によって初めて報告された、中華人民共和国のElderwoodグループ等によって行われたAPT攻撃です。Google社だけでなく、少なくとも20以上の企業も攻撃を受けたことが後に分かっています。Microsoft社のブラウザInternet Explorerの脆弱性をついた攻撃を行い、バックドア型のトロイの木馬が設置されました。
この攻撃を受けたことで、Google社が中国本土の検索サービスからの撤退を決断したとされています。

日本年金機構の情報漏洩

2015年、日本年金機構がスピアフィッシングを入り口としたAPT攻撃を受け、125万人分の利用者情報が流出したことが公表されています。この利用者情報には、氏名、年金番号などの個人情報が含まれていました。年金機構の従業員になりすまし業務内容を扱った本文の巧妙な標的型Eメールが利用され、添付ファイルからマルウェアに感染し、マルウェアが外部に情報を送信するという手口が取られました。

スピアフィッシングに関しては以下の記事で詳しく紹介しています。
➡「スピアフィッシングとは？高精度な標的型攻撃の手口と対策」

SolarWindsを対象としたサプライチェーン攻撃

SolarWindsはネットワーク監視ツールなどを提供するソフトウェアの開発会社です。このSolarWinds社の製品Orion Platformを狙ったサプライチェーン攻撃が行われたことを2020年に報告しています。Orion Platformは米政府機関や企業で多く導入されており、該当ソフトにバックドアが組み込まれていたことで被害が広がりました。この攻撃にはロシアのNobeliumというグループが関与していたとされており、数万単位の攻撃が行われ、14社が実際に侵害されたといいます。

大企業や米政府機関などを狙って攻撃を行ったAPT攻撃の一つの事例です。

APT攻撃対策法6選

APT攻撃は様々なサイバー攻撃手法を組み合わせて行われます。企業や組織が対処するには、ゼロトラストと境界型を組み合わせることを前提としたセキュリティ体制の構築および従業員への教育などの総合的な対処が必要です。

従業員への教育

いかにセキュリティ対策のソフトや機器を導入したとしても、利用する従業員が誤った扱いをしていたり、従業員のセキュリティ意識の向上が伴わなければ、フィッシング攻撃などの人的要因による脅威から完全に守ることはできません。サイバー攻撃の種類、手口、発端などを周知、教育することが不可欠です。

ネットワークの境界セキュリティ確保

ネットワーク外部からの侵入を検知・防御するIDS・IPS、FIREWALLなどの設置は、組み合わせて利用するべき対策の一つです。ネットワークに関する境界型のセキュリティ対策をすでに導入している企業では、ゼロトラストに沿ったセキュリティ対策と組み合わせることで強度を高めましょう。

以下の記事でそれぞれ詳しく紹介しています。
➡「セキュリティ対策IDSとIPSとは？機能と役割、2つの違いについて解説」
➡「ファイアウォールの基本を知っておこう｜設定方法からトラブルシューティングまで」

ネットワークのゼロトラストセキュリティ確保

ネットワークのセキュリティ対策においても、ゼロトラストに沿ったセキュリティ製品の導入が進んでいます。代表的な製品としてNDRが挙げられます。NDRは外部からネットワークへの侵入があったとしても、ネットワーク上のトラフィックを監視して即時に発見するための仕組みです。

エンドポイントの境界型セキュリティ確保

従来型のセキュリティソフトウェア（EPP）、次世代型のセキュリティソフトウェア（NGAV）などの境界型のエンドポイントセキュリティのための製品は今後も活用すべき対策の一つです。パターンファイルなどの最新化を行い、常にエンドポイントへの脅威を監視しておきます。

エンドポイントセキュリティ、NGAVについては以下の記事で詳しく紹介しています。
➡「エンドポイントセキュリティとは？導入のメリットやポイントまで解説」
➡「NGAV（次世代型アンチウイルス）とは？従来型との違いや製品の選び方のポイントまで」

エンドポイントのゼロトラストセキュリティ確保

エンドポイントにもゼロトラストに沿ったセキュリティを組み合わせて導入することが求められています。よく知られた製品としてEDRが挙げられます。

EDRについては以下の記事で詳しく紹介しています。
➡「EDRとは？EPPとの違いや概要、製品比較まで徹底解説」
➡「おすすめEDR製品14選！製品選択のポイントも解説」

SMSデータテックの提供するCrowdStrike Falcon Endpoint ProtectionもEDR機能をもったセキュリティ製品です。その他にもNGAVやログ監視機能なども持つため、他の製品と組み合わせた利用も検討してみてください。

統合的なセキュリティ情報の管理、分析

近年では、SIEM、XDRなどの総合的なセキュリティ情報管理の製品も登場してきています。各種のセキュリティ製品から集めた情報をまとめることで、運用効率を高め被害の兆候を素早くキャッチすることが可能です。

SIEMについては以下の記事で詳しく紹介しています。
➡「SIEMにより新たなセキュリティ対策を！機能やメリット、必要とされる背景」

SMSデータテックのセキュリティ運用サービスでは、総合的なセキュリティ対策の導入から監視までを行っています。ご相談から受け付けていますので、お客様のセキュリティのお悩み解決にご利用ください。

まとめ

APT攻撃は、標的型のサイバー攻撃の中でも、長期的、継続的かつ先進的な攻撃です。背後には大規模な組織が存在することもあり、企業や組織にとって大きな脅威といえるのは間違いありません。
対策には、境界型・ゼロトラストの両方のモデルに沿ったセキュリティ製品の導入や従業員教育などの総合的なセキュリティ確保が必要となります。

もし、企業の持つ機密情報や個人情報がAPT攻撃により外部に流出してしまった場合には、可能な限り被害を最小化する必要があります。そのために、ダークウェブに流出した情報を検知するツールとしてSMSデータテックの「ダークウェブアイ」をおすすめします。ダークウェブアイは情報漏洩監視ツールで、常にダークウェブを監視し、流出を見つけると即時に通知するため、すぐに対応することが可能です。さらなるセキュリティ対策や情報漏洩対策をお考えのご担当者様は下記のボタンよりお気軽にご相談ください。