2024.08.07 2024.08.20

APT攻撃

Yujiro Sakaki

第7講では、APT（Advanced Persistent Threat）攻撃について学習します。APT攻撃とは、特定の組織や個人を執拗に狙う高度なサイバー攻撃です。

この攻撃は、単なる一時的な攻撃とは異なり、攻撃者がターゲットに対して長期間にわたり持続的に攻撃を仕掛ける点が特徴です。

ここから次第に用語が多くなっていきます。情報セキュリティの学習は持久力勝負ですので、繰り返しになりますが、一気に全部を覚えようとはしないでくださいね！

この講座の学習ポイント

APT攻撃（標的型攻撃）
マルウェアの種類
脅威アクターの攻撃手法（技術的と非技術的）

第7講

ダウンタウンのガキの使いやあらへんで !! 　の番組企画で、「24時間鬼ごっこ」というものがありました。

体育館の中で鬼がいつ出てくるかわからない、24時間逃げ続けるというもの。視聴者側は腹を抱えて笑うだけなのですが、逃げる側は本当に大変でしょう（笑）

さて、APT攻撃もこんなイメージであると考えたらどうでしょうか？

私たちは逃げる側です。24時間という時間制限はありません。常に、です。そんなゲームの参加者となれば、全く笑いごとではなくなってしまいますよね。

毎日脅威にさらされ、防御側は鬼（ハッカー）に備え続けなければいけない。

そのため、情報セキュリティに携わる人たちの中で「燃え尽き症候群（バーンアウト）」に陥ってしまう人も多いようです…。

IT部門や社内の情報セキュリティ担当者に、日ごろから感謝の気持ちを伝えないとですね

何事も起きずに、平穏無事でいられることに謝辞！

攻撃サイドを、総じて脅威アクターと呼びます。脅威アクターが執拗に攻撃を繰り返すAPT攻撃。標的型攻撃とも言います。彼らはどのように攻撃をしてくるのでしょうか？

まず、いくつかの用語を学習していきましょう。次に挙げる用語を理解することで、脅威アクターがどのような手段で攻めてくるのかを想定できます。

次から用語がたくさん出てきます。一気に覚えようとはしないで、何度もこのページを見て、覚えていってね！

マルウェアの種類

マリシャス・ソフトウェア（悪意を持ったソフトウェア）が正式名称です。ウイルスからボットまで、すべての用語はマルウェアと呼ぶことができます。

ウイルス

コンピュータウイルス。パソコンに負荷をかけたり、暗号化してファイルを開けなくしたり、ファイルを消したり、パソコンを起動できなくしたりします。

症状は様々で、広義に扱われる用語です。

ワーム

自己増殖するウイルス。コンピュータウイルスはファイルを宿主としますが、ワームは宿主を必要としないため、見えない厄介なウイルスです。

そして「自己複製能力」を持つウイルスだ、ということ。削除してもまた復活してしまうこともある、極めて悪質なコンピュータウイルスです。

ルートキット（rootkit）

脅威アクターの存在を隠蔽するためのツール群のことです。痕跡が消えてしまうと、攻撃されたことを証拠として残すことができなくなってしまいます。

バックドア

通常のログインで入ることなく、別ルートからログイン環境内に進入する経路のこと。一度中に進入されたら、次にまた入れるように裏口を仕込んでおくことです。

スパイウェア

名前の通り、スパイ活動を行うソフトウェアのこと。監視されてしまうので、どこにアクセスをしたのか、パスワードはどのように入力したのか、どのファイルをダウンロードしたのか、などを盗み見されてしまいます。

キータイピングを転送するキーロガーや、ユーザーの承諾なしにマルウェアをダウンロードするようなダウンローダとしての役割を持つことがあります。

アドウェア

望まない広告を表示するソフトウェアです。

多くの場合、ユーザーの同意なしにインストールされ、ポップアップ広告を頻繁に表示したり、ブラウザ設定を変更したりします。システムの動作を遅くする可能性があり、時にはより深刻なマルウェアの侵入口となることもあります。

トロイの木馬

トロイの木馬は、ギリシャ神話に登場する有名な策略です。

実際のトロイア戦争は紀元前12世紀頃に起こったとされ、ギリシャ軍がトロイア（現在のトルコ北西部）を10年間包囲しました。伝説によると、ギリシャ軍は巨大な木馬を贈り物として残し、撤退を装いました。

トロイア人がその木馬を城内に引き入れると、中に隠れていたギリシャ兵が夜中に出てきて門を開け、外にいた仲間を招き入れます。こうしてトロイアは陥落し、長い戦争が終結したとされています。昔話はこれくらいにしておいて、トロイの木馬。

正規のアプリケーションソフトに見せかけ、実際には脅威アクターが用意したマルウェアです。Windowsの管理権限を作成したり、遠隔操作ができるようにする目的があります。

トロイア戦争終結という物語なのですが、マルウェアでPCが没落したら困りますよね。

リモートアクセスツール（RAT: Remote Access Tool）

脅威アクターが遠隔地からターゲットのシステムにアクセスし、制御するためのツールです。これにより、データの窃取やシステム操作が可能になります。

脅威アクターはRATを使って継続的にターゲットを監視し、情報を収集します。USBが禁止されているのは、RATを自動的にインストールさせないためです。

リモートアクセスは便利だけど、リモートアクセスされちゃうのは困るよね…。ゆみちゃんによると、このRATは『ラット』とも呼ばれていて、遠隔操作の脅威を指しているのだと

ランサムウェア（Ransomware）

ランサムウェアは、コンピューターシステムに侵入し、データを暗号化して使用不能にするマルウェアの一種です。

脅威アクターは、暗号化されたデータを解放する見返りに身代金（ランサム）を要求します。主に電子メールの添付ファイルや不正なウェブサイトを通じて感染し、個人や企業に深刻な被害をもたらします。

対策として、定期的なバックアップ、ソフトウェアの更新、セキュリティ意識の向上が重要です。近年、攻撃手法が高度化し、組織にとって大きな脅威となっています。

ロジックボム（Logic Bomb）

ロジックボムは、特定の条件が満たされたときにのみ作動するマルウェアの一種です。

例えば、特定の日付や特定の操作が行われたときに、データを削除したり、システムを破壊したりします。攻撃者がシステムに侵入して、ロジックボムを仕込み、条件が整うまで待機させることが多いです。

ボット

C＆C（コマンド＆コントロール）サーバからの指令を受けると、一斉攻撃を開始します。まるで軍隊のように作動するウイルスです。

C＆Cサーバとは、脅威アクターが管理・準備している攻撃命令用のサーバです。これは、また別の機会に紹介します

脅威アクターの攻撃手法（技術的）

APT攻撃の脅威アクターがどのように攻撃を仕掛けてくるかを理解するために、以下の用語を学習しましょう。

フィッシング（Phishing）

脅威アクターが偽の電子メールやウェブサイトを使用して、ターゲットの個人情報や機密データを盗む手法です。

例えば、偽の銀行サイトに誘導し、ログイン情報を入力させることで情報を盗みます。

ビジネスメール詐欺（Business E-mail Compromise：BEC）

取引先やクライアントに扮してメールを送り、IDやパスワードまたは振込通知などを送信する手法です。BECの場合は、APT攻撃（標的型攻撃）の一種でもあり、特定の組織や個人に焦点を当てた高度にカスタマイズされた手法で行われます。

ゼロデイ攻撃（Zero-Day Attack）

セキュリティ対策の観点から重要な、ゼロデイ攻撃。ソフトウェアの未知の脆弱性を利用する攻撃のことです。

この脆弱性はまだ修正されていないため、セキュリティ対策が施されておらず、脅威アクターにとって絶好の機会となります（第6講座でも触れました）。

水飲み場攻撃（Watering Hole Attack）

水飲み場攻撃とは、ライオンや池に潜むワニが、水を飲みにきた草食動物たちにゆっくりとそして一気に襲い掛かるようなイメージからきた言葉です。

ターゲットが頻繁にアクセスするウェブサイトにマルウェアを仕込み、そのサイトを訪れたユーザーに感染させる手法です。

攻撃者はターゲットの行動パターンを把握し、信頼されているサイトを悪用します。

脅威アクターの攻撃手法（非技術的）

ソーシャルエンジニアリング（Social Engineering）

人間心理を利用して情報を引き出す手法です。脅威アクターは、ターゲットに対して信頼を築き、重要な情報を提供させたり、特定の行動を取らせたりします。

例えば、偽のサポート担当者として電話をかけ、パスワードを聞き出すことがあります。

ショルダーハッキング（Shoulder Surfing）

物理的な観察によって情報を盗む手法です。

脅威アクターが、ターゲットの肩越しに画面やキーボードを覗き見て、パスワードや個人情報を盗み取ります。この手法は、公共の場所（カフェ、図書館、電車内など）でよく使われます。

スキャベジング（Scavenging）

簡単な用語だと「ごみあさり」です。

ゴミ箱や廃棄された機器から情報を収集する手法です。例えば、捨てられた文書やハードディスクから機密情報を入手します。

出力失敗した用紙の裏を使って、メモを取る人もいます。メモ用紙として再利用することはエコではあるけど、機密文書がメモ用紙と意識してしまいがちで、社外で破棄してしまうことも…

なりすまし（Impersonation）

脅威アクターが信頼されている人物や組織になりすます手法です。

例えば、企業の幹部になりすまして従業員に指示を出し、機密情報を提供させることがあります。なりすましは、特にソーシャルエンジニアリングと組み合わせて使用されることが多いです。

テールゲート（Tailgating）

セキュリティが設置されたドアやチェックポイントを通過する際に、許可された人物の後ろに続いて侵入する攻撃手法です。

脅威アクターは、物理的なアクセス制御を回避して無許可で施設内に入り込みます。これを防ぐためには、従業員に対してセキュリティ意識の向上を図り、常にドアが確実に閉まることを確認すること、認証済みのカードキーやバッジの使用を徹底することが重要です。

インサイダー脅威（Insider Threat）

組織内部の従業員や関係者が、意図的または無意識に行うセキュリティ侵害です。

機密情報の漏洩や不正アクセスが含まれます。意図的は悪意があることを意味しますが、無意識に行うセキュリティ侵害ということに対して補足をしておきます。

例として、退職者です。

退職者は意図せずに情報を持ち出してしまうケースが多いため、退職の手続きをしっかりとマニュアル化すること、管理権限をしっかりと外しておくことなどが重要です。

悪意がなくても、インサイダー脅威となってしまうか…

ランチタイム攻撃（Lunch Time Attack）

従業員が昼休みや休憩時間にオフィスを離れた際に行われる攻撃です。攻撃者は無人のコンピュータやデバイスに物理的にアクセスし、認証情報の盗難、マルウェアのインストール、機密情報の窃取などを行います。

この攻撃を防ぐためには、従業員が席を離れる際に必ずコンピュータをロックすることや、オフィスの物理的セキュリティを強化することが重要です。

いったん、このくらいにしておこう。まだまだあるんだけど

用語がいっぱい、おなかもいっぱい！　もう大丈夫！

脅威アクターがだんだん見えてきたでしょ？

この中だと、インサイダー脅威ってのが、特に怖いのかな…。身内から発生する脅威だものね…

ところでさ、APT攻撃に対する対応策ってあるの？

まずは何よりもインターネット回線を遮断し、ネットワークを隔離すること。これが一次対応になるわ。また、電源だけ落としてもインターネット回線からの遠隔操作で自動起動してしまうこともあるので、必ず回線遮断が先なんだよ

自動起動しちゃうの！？　おそろしや…！！

ここまで上げた内容に対しての対策が、まだ説明不十分なところもあるけど、まずは攻撃手法の用語を覚えることが先なので、がんばって覚えていってね！

ここまで紹介した技術的または非技術的攻撃手法は、組み合わせて使用されたりもします。総合的なセキュリティ対策を講じることが、とても大事ですね。

第7講のまとめ

APT攻撃に関する様々な用語を学習したことで、サイバーセキュリティの世界における脅威の多様性と攻撃手法の複雑さが明確化できたでしょうか？

マルウェア、フィッシング、ソーシャルエンジニアリングなど、脅威アクターは様々な手段を駆使して、組織のセキュリティを脅かしています。

APT攻撃の特徴である長期的で持続的な脅威は、継続的な警戒の必要性を示唆しています。

システムやプロセスの脆弱性を最小限に抑えることが重要ですが、それと同時に、組織の全メンバーがセキュリティ意識を持ち、基本的な対策を日常的に実践することが、強力な防御線を築き上げていけるのです。

APT攻撃という概念を理解することで、情報セキュリティが特別なものではなく、日常業務の一部であることが明確になったと思います。ひとりひとりの意識と行動が、組織全体の防御力を高める礎となります。セキュリティを日々の習慣として取り入れて、安全な環境を作り上げていきましょう！

リストに戻る

第8講座に進む

ABOUT ME