持続的標的型攻撃とは。
持続的標的型攻撃(Advanced Persistent Threat:APT)は洗練された持続的なサイバー攻撃です。この攻撃では、侵入者はネットワーク内に検出されない状態で存在し、長期間にわたって機密データを盗み出すことができます。APT攻撃は、特定の組織に侵入し、既存のセキュリティ対策を回避し、レーダーをかいくぐるように慎重に計画し設計されています。
APT攻撃を実行するには、従来の攻撃よりも高度なカスタマイズと知識が必要です。通常、攻撃者は、資金が豊富な経験豊富なサイバー犯罪グループで、価値の高い組織を標的にしています。このサイバー犯罪グループは、組織の脆弱性を調査し特定するために、膨大な時間とリソースを消費しています。
APTの目的は、4つの一般的なカテゴリーに分類されます。
- サイバースパイ活動:知的財産や国家機密の窃盗など
- 経済的利益のためのサイバー犯罪
- ハクティビズム
- 破壊工作
現代の攻撃者と回避技術
サイバー犯罪アクターの86%がAVソフトウェアをバイパスする回避技術を使用しています。レガシーアンチウィルスが、いかにして簡単に攻撃者の標的となるか、およびレガシーAVでは阻止できない攻撃者が使用する技術について説明します。
今すぐダウンロード(英語版)APT攻撃の3つの段階とは。
APTを防止、検知、解決するには、その特徴を把握する必要があります。ほとんどのAPTは、基本的に同じライフサイクルに従います。つまり、ネットワークに侵入し、アクセス範囲を広げ、ネットワークからデータを抽出して盗み出す最も一般的な攻撃の目的を遂げることです。
x
ステージ1:侵入
最初のフェーズでは、持続的標的型攻撃が頻繁にソーシャルエンジニアリング技術を介してアクセスします。APTの兆候の1つにフィッシングメールがあります。これは、上級管理者などの地位の高い個人を選択的に狙う攻撃で、多くの場合、すでに侵害されている他のチームメンバーから取得した情報を使用します。特定の個人を標的にしたメール攻撃は「スピアフィッシング」と呼ばれます。
Eメールはチームメンバーから送信されたように見え、進行中のプロジェクトの参照先が記載されています。複数の幹部がスピアフィッシング攻撃に騙されたと報告している場合は、APTのその他の兆候を調べてください。
ステージ2:エスカレーションおよびラテラルムーブメント
初期アクセスに成功すると、攻撃者はマルウェアを組織のネットワークに挿入し、次のフェーズである拡散に移ります。攻撃者はラテラルムーブメントしてネットワークをマッピングし、アカウント名やパスワードなどの認証情報を収集し、重要なビジネス情報にアクセスします。
また、後でネットワークに侵入してステルス作戦を実行できるスキームの「バックドア」を確立する場合もあります。侵害されたポイントが発見され閉じられる場合でも、攻撃を続けることができるようにするために、多くの場合追加のエントリポイントが確立されます。
ステージ3:抜き出し
第3フェーズの準備のために、サイバー犯罪者は通常、十分なデータが収集されるまで、ネットワーク内の安全な場所に盗んだ情報を保存します。これらの情報は、検知されることなく抽出(「抜き出し」)されます。サイバー犯罪者はサービス拒否(Dos)攻撃などの戦略を用いて、セキュリティチームの注意をそらし、ネットワーク担当者を引き付けておいて、データを抜き出す可能性があります。ネットワークは侵害されたままで、泥棒はいつでも盗みに入ることができます。
APT攻撃の特徴
持続的標的型攻撃は通常のハッカーとは異なる技術を使用するため、さまざまな兆候を残します。組織のリーダーを狙ったスピアフィッシングキャンペーンに加え、持続的標的型攻撃には次のような症状があります。
- ユーザーアカウントの異常なアクティビティ:深夜の高い権限でのログインの増加
- バックドア型トロイの木馬の蔓延
- 予期せぬまたは異常なデータバンドル:データが抜き出しのために収集されている可能性
- 予期せぬ情報フロー:異常なデータ送信や、大量のデータを含むデータベース操作の突然の通常とは異なる増加
持続的標的型攻撃の例
現在、クラウドストライクは、国家、サイバー犯罪者、ハクティビストなど世界中で150を超える攻撃者を追跡しています。
クラウドストライクが検知した注目すべきAPTの例を示します。
- GOBLIN PANDA(APT27)は、2013年9月に初めて確認されました。クラウドストライクは、複数の部門で事業を展開しているテクノロジー企業のネットワーク内で、このAPTの攻撃の痕跡(IOA)を発見しました。このAPTは中国を拠点にしている攻撃者で、Microsoft Wordエクスプロイトドキュメントを使用します。トレーニング関連のテーマが記載されており、開くと悪意のあるファイルが挿入されます。Goblin Pandaに関する完全なAPTプロファイルをお読みください。
- FANCY BEAR(APT28)は、ロシアを拠点にしている攻撃者です。フィッシングメッセージや公式サイトに酷似したなりすましサイトを使用して、従来のコンピューターやモバイルデバイスにアクセスします。Fancy Bearに関する完全なAPTグループプロファイルをお読みください。
- Cozy Bear (APT29)は、ロシア出身の攻撃者です。ロシア対外情報庁に代わり活動している可能性が高いと考えられています。この攻撃者は、大量のスピアフィッシングキャンペーンを利用し、政治、科学、国家安全保障のさまざまな部門の組織を標的にした活動の一環として、さまざまな種類のマルウェアを配信していることが確認されています。Cozy Bear関する完全なAPTグループプロファイルをお読みください。
- Ocean Buffalo (APT32)は、ベトナムを拠点にしている標的型侵入攻撃者で、少なくとも2012から活動していると考えられています。この攻撃者は、さまざまな戦術、技術、手順(Tactics, Techniques, and Procedures:TTP)を採用することで知られています。これらのTTPには、カスタムツールと既製ツールの両方の使用、戦略的Web侵害(SWC)操作を介したマルウェアの配布、悪意のある添付ファイルを含むスピアフィッシングメールなどがあります。
- HELIX KITTEN(APT34)は、少なくとも2015年後半から活動しており、イランを拠点にしていると考えられています。航空宇宙、エネルギー、金融、政府、接客業、電気通信組織を標的にしており、標的となる担当者と関連性が高く十分に調査し構造化されたスピアフィッシングメッセージを使用しています。HELIX KITTENに関する完全なAPTプロファイルをお読みください。
- Wicked Panda(APT41)は、2010年半ばから2020年に活動していた、中国を拠点にした最も多くの脅威を生み出した効果的な攻撃者の1人でした。CrowdStrike Intelligenceでは、Wicked Pandaは中国に利益をもたらすために活動している複数の請負業者で構成されたグループのスーパーセットで構成されており、中国共産党から暗黙の了承を得て犯罪活動を通じて利益を得ていると評価しています。WICKED PANDAに関する完全なAPTプロファイルをお読みください。
2023年版脅威ハンティングレポート
2023年版脅威ハンティングレポートでは、CrowdStrikeのCounter Adversary Operationsチームが攻撃者の最新の手口を明らかにし、侵害を阻止するための知識とインサイトを提供しています。
今すぐダウンロードAPT攻撃から身を守る方法。
組織がAPT攻撃に対する防御を強化するために利用できる数多くのサイバーセキュリティおよびインテリジェンスソリューションが用意されています。採用するのに最適な戦術を次に示します。
- センサーの展開。組織は、防御側に環境全体の完全な可視化を提供する機能を展開し、サイバー脅威の隠れ家になる恐れのある盲点が発生しないようにする必要があります。
- 技術インテリジェンス。侵害の痕跡(IOC)などの技術インテリジェンスを利用して、それらの情報をセキュリティ情報とイベントマネージャー(SIEM)で消費し、データエンリッチメントを実行できます。これにより、イベント相関を実行する際にインテリジェンスが追加され、検知されなかったネットワークのイベントが明るみになる可能性があります。
- サービスプロバイダー。最高のサイバーセキュリティ企業と提携する必要があります。予想外の出来事が発生した場合、組織は高度なサイバー脅威に対応するためのサポートが必要になります。
- Webアプリケーションファイアウォール(WAF)は、Webアプリケーションとインターネット間のHypertext Transfer Protocol(HTTP)とHypertext Transfer Protocol Secure(HTTPS)トラフィックをフィルタリング、監視、分析することでアプリケーションレベルで組織を保護するよう設計されています。
- 脅威インテリジェンス。脅威インテリジェンスは、脅威アクターのプロファイリング、キャンペーンの追跡、マルウェアファミリーの追跡をサポートします。最近は、攻撃自体を知るだけでなく攻撃のコンテキストを理解することが重要になっています。このとき脅威インテリジェンスが重要な役割を果たします。
- 脅威ハンティング。多くの組織では、導入済みのサイバーセキュリティ技術に応じた24時間365日の管理された人間ベースの脅威ハンティングが必要になることを認識するでしょう。
クラウドストライクの高度な脅威保護:速度の重要性
今日のサイバーセキュリティの最も重要なコンセプトは、速度です。自分自身を守るには、攻撃者よりも早く行動することです。クラウドストライクでは、ブレイクアウトタイムを使用して、脅威アクターの高度な戦略を評価し、その対応に必要な速度を推定します。
ブレイクアウトタイムは、侵入者がアクセスしてからネットワーク内でラテラルムーブメントを開始するまでにかかる時間です。これは、攻撃者がどれほどの速さで行動できるかを追跡し、セキュリティチームの検知と対応時間を評価する重要な指標です。
Falcon Insight(エンドポイントでの検知と対応(EDR))は、Falconプラットフォームのもう一つの重要な側面です。EDRは、IOAを検索し、データが失われる前に、攻撃を阻止します。CROWDSTRIKE FALCON® INTELLIGENCEソリューションは、インシデント調査を支援し、自動化された脅威インテリジェンスとカスタムインジケーターをエンドポイント保護にシームレスに統合することで、侵害に対する対応を高速化します。グローバルなCrowdStrike Falcon® Intelligence™チームの専門知識を組み合わせることで、Falconプラットフォームを使用するとあらゆるサイズの組織は、より迅速に対応し、次のAPT攻撃を事前に対処できます。