特定の組織や個人をターゲットにしたサイバー攻撃として注目を集めている「APT攻撃」。その攻撃はターゲットを絞って攻撃するものとして「標的型攻撃」と似ていると思われがちですが、実際には異なります。
その「APT攻撃」の概要や「標的型攻撃」との違いなどを整理しましたので、セキュリティの基礎知識としてしっかりと把握しておきましょう。
この記事の目次
APT攻撃とは?
まず、「APT攻撃」とはいったいどういう攻撃手法なのでしょうか。
APT(Advanced Persistent Threat:高度で継続的な脅威)攻撃は、サイバー攻撃の一種で特定の組織や個人をターゲットにして、複数の攻撃手法を用いて継続的に攻撃を行うというものです。独立行政法人 情報処理推進機構(IPA)では、APT攻撃について、その目的や攻撃手法によって大きく2つから構成されると分析しています。
- 共通攻撃手法:システムへの侵入を目的としている
- 個別攻撃手法:特定の情報の搾取や改ざんを目指している
セキュリティベンダー大手のマカフィーでは、このAPT攻撃は、「純粋な意味での金銭目的、犯罪目的、政治的な抗議ではなく、国家の指示または資金援助によって特定の標的に対して実行されるサイバー上のスパイ行為または妨害工作」といった側面が強いと見ています。
例えば、最近話題になることが多い北朝鮮によるサイバー攻撃、また2016年の米国の大統領選挙に対するロシアのサーバ介入などもこれに該当するでしょう。
APT攻撃の原因とは?
犯罪などの個人的な目的ではなく、国家が特別な意図を持って行うことも多いAPT攻撃ですが、なぜこういったことが引き起こされるのでしょうか。それには以下のような理由があります。
- 企業や組織の持つ技術情報などを盗み出すことや改ざんすること
- 国防関連など国家の機密情報を盗み出すことや改ざんすること
例えば、企業などの技術情報を盗み出し、自らの製品に使うといったスパイ行為や、政府の情報を盗み出して国家戦略に反映させるなどといった理由が挙げられます。
被害事例
APT攻撃の典型的な例としてよく挙げられるのは少し古いですが、2009年の以下の例です。
ケース1:Operation Aurora
2009年に発生した事例で、30社以上が攻撃され、特にGoogleは非常に大規模な攻撃を受け、メールのアカウントやパスワードが盗まれました。
こういった事例の他に、APT攻撃の特徴である「企業などの情報を盗む」といったところがよくわかる例をいくつか紹介します。
ケース2:防衛関連企業数社への攻撃
2011年の事例です。日本の三菱重工をはじめ、米国やイスラエルなどの防衛関連産業の数社がサイバー攻撃を受けました。この事例ではネットワークやファイルの構成が盗まれました。
ケース3:世界70以上のコンピューターのリモート操作
同じく2011年の事例です。世界70以上の企業や政府機関のコンピューターにリモート操作を可能とするプログラム(RAT)が組み込まれ、情報が不正に盗まれました。
攻撃されないための対策
APT攻撃は、従来の純粋な犯罪・金銭などの目的で行われていたサイバー攻撃と比べても非常に高度でかつ巧妙化されています。こういった、APT攻撃を受けないようにするために、また万が一受けた場合に攻撃から防御し、データなどを守るためにはどのような対策を行えば良いのでしょうか。
まず言えることは、一つの方法ではなくさまざまな防御方法を組み合わせた「多層防御」を行う必要があるということです。多層防御では、以下の3つの対策が重要となります。
- 侵入対策:
ファイアーウォールやIDS/IPSにように外部から内部ネットワークへの侵入を防ぐもの - 拡大対策:
端末のウィルス対策や、重要なサーバ・データベースの隔離などネイティブ・ネットワークで被害が広がることを防ぐもの - 漏洩対策:
記憶媒体を利用不可にする、データの暗号化など外部への漏洩を防ぐもの
APT攻撃から被害が発生することを防ぐためには、こういった多層防御が不可欠となります。
標的型攻撃との違い
ここまでAPT攻撃について、「どういったものか」「被害事例」「攻撃に対する防御」などを確認してきました。
「標的型攻撃とどう違うのか」。こういった疑問を抱かれた方もいるかもしれませんね。「特定の組織や個人に対しての攻撃」であれば、標的型攻撃も同じです。では、なぜ「APT攻撃」という名前で区別されているのでしょうか。両者はどのように違うのでしょうか。
両者の違いは以下の通りです。
apt攻撃 | 標的型攻撃 | |
---|---|---|
目的 | 情報を盗むこと | 金銭、犯罪 |
攻撃対象 | 内部の端末やデータベース | 外部から攻撃 |
攻撃手法 | 独自ツールや手動 | 一般的なツール |
攻撃手段 | 変幻自在 | 定型的 |
痕跡 | 残さない | 残す |
このように両者にはさまざまな違いがありますが、特に大きな違いは「APT攻撃が国家や組織によって行われるケースが多く、情報を盗むことを主目的としていること」であると言えます。
まとめ
近年、話題になることが多い国家や組織によるサイバー攻撃。北朝鮮などによるこういった攻撃はapt攻撃と呼ばれる「情報を盗み出すこと」が目的となっています。
こういったAPT攻撃は、巧妙かつ精緻に行われるため、防御する側もかなりの対策が必要とされます。その防御の方法としてもっとも効果の高いのが「多層防御」です。これは、「侵入」「拡大」「漏洩」のそれぞれに対して複数の方法を絡み合わせて対策を行うというものです。
APT攻撃は従来の標的型攻撃と比べても「組織的に情報を盗む」という意味で、非常に大きな問題に発展するリスクが高いものです。対策をしっかりと行って、攻撃によって被害が出ないようにすることが大切です。