標的型攻撃 APT

標的型攻撃の概要

標的型攻撃とは

「標的型攻撃」とは、不特定多数への攻撃に対し、特定の組織や業界、地域などを攻撃対象とする攻撃を意味する用語です。ここでは標的型攻撃の中でも特に「APT」に分類される攻撃について説明します。このタイプの標的型攻撃は、法人組織の重要情報窃取や妨害工作を最終目的として、時間、手段、手法を問わず、目的達成まで継続的に行われます。一般に「State-Sponsored(国家背景)」などと呼ばれる攻撃者が主な攻撃主体として指摘されます。「標的型サイバー攻撃」、「持続的標的型攻撃」などと呼ばれる場合もあります。

標的型攻撃メールとは

「標的型攻撃メール(標的型メール)」とは、標的型攻撃において標的組織のネットワークへの初期侵入時にメールを用いて行われる攻撃手法です。標的組織の取引先に扮したり、業務関連のメールを装ったりするなど、関係者や関連業務を偽ったソーシャルエンジニアリングを利用して標的ユーザを信用させ、マルウェアである添付ファイルを開かせるのが特徴です。

攻撃の手法・特徴

    標的型攻撃では、組織的な攻撃者によって長期間にわたり段階的な攻撃が継続して行われます。

  • 攻撃目的:国内では主に攻撃対象の持つ重要情報の入手を最終的な目的とした攻撃を観測しています
  • 攻撃対象:政府、官公庁、企業など、攻撃者の目的となる重要情報を持つ組織が最終的な標的となります。最終的な標的組織へ侵入するための足掛かりとして、関連する他の組織や個人を攻撃対象とする場合があります

    • 攻撃開始から目的達成まで、標的型攻撃の攻撃手順は、以下の6段階に分類できます。この6段階はより大きく、ネットワーク侵入の際の「侵入時活動」と侵入後の「内部活動」に分けられます。また、これらの攻撃段階は必ずしも1方向にのみ進むものではなく、遡ったり繰り返したりすることもあります。また、ある組織に対する標的型攻撃の目的が、別の組織に対する標的型攻撃の「事前準備」である場合もあり得ます。

表:標的型攻撃の攻撃段階
図:標的型攻撃の攻撃段階

図:標的型攻撃の攻撃段階

  • 初期侵入時の主な攻撃手法としては、標的型攻撃メール(標的型メール)があります
  • 別の初期侵入時の攻撃手法として、VPNの脆弱性や意図せず公開されたサーバ、サプライチェーン経由など、外部接点上の弱点を悪用した直接侵入も拡大しています
  • 侵入後は、C&Cサーバと呼ばれる攻撃基盤を経由して、標的ネットワーク内部のRAT(遠隔操作ツール)を遠隔操作し、内部活動ツールを使って標的ネットワーク内部の情報を探索し、情報の収集を行います
  • 内部活動では正規ツールを悪用することでセキュリティソフトによる検出回避を試みる環境寄生型(Living Off the Land)の攻撃を行います
  • 初期侵入だけではなく、内部活動においても目的達成のために権限昇格などの脆弱性を悪用します

影響と被害

  • 組織的な攻撃により、攻撃の目的が達成されるまで攻撃は執拗に継続されます。また、事前準備段階での偵察により、標的の弱点を調べ上げた上で攻撃が実施されます
  • 侵入に成功されると、標的組織内のネットワークや業務、従業員などに関する情報が外部に持ち出されます
  • 最終的には、攻撃者が目的としている重要情報が外部に持ち出されます

関連資料

Cyber Threat Intelligence実践ガイド

標的型攻撃の対策と予防

ユーザ側

  • 標的型攻撃は、手段、手法を問わず継続して行われる攻撃のため、組織内部のユーザ一人一人が高いセキュリティ意識を持つ
  • 標的型攻撃メールなど、侵入時に使用される攻撃手法を理解し、騙されないようにする
  • 不審なメールやリンクを安易にクリックしない
  • 個人用端末にも総合的なセキュリティソフトを導入し、常に最新の状態に保つ
  • 会社や業務、取引先などに関する情報をインターネット上に個人的に投稿しない

管理者側

  • 標的型攻撃は、事前に標的に関する情報収集を行い、弱点を調べた上で執拗に攻撃を継続するため、総合的、多面的な対策を導入するとともに、侵入を前提とした対策を行う
  • エンドポイントやサーバには総合的なセキュリティソフトを導入する
  • メールサーバにおいて標的型攻撃メールを検出するソリューションを導入する
  • 外部への不正なネットワーク通信・接続を検出するソリューションを導入する
  • セキュリティポリシーを策定する
  • 従業員に対するセキュリティ教育、注意喚起を実施する

トレンドマイクロのソリューション

ユーザ側

予防と対策 トレンドマイクロのソリューション
個人用端末にも総合的なセキュリティソフトを導入し、常に最新の状態に保つ

ウイルスバスター クラウド

  • ウイルス検索機能による不正プログラムの検出
  • Webレピュテーション」機能により、不正サイト、C&Cサーバへの接続をブロック

管理者側

予防と対策 トレンドマイクロのソリューション
エンドポイントやサーバに総合的なセキュリティソフトを導入する Trend Micro Apex One
Trend Micro Deep SecurityServerProtectなどの対策製品の導入
メールサーバにおける標的型メールの検出 Trend Micro Email SecurityDeep Discovery Email Inspectorなどのメッセージングセキュリティ製品による標的型メールの検出
外部への不正なネットワーク通信・接続の検出 Trend Micro Apex OneInterScan Web Securityなどの製品の「Webレピュテーション」機能により、不正サイトやC&Cサーバへの接続を防止

Trend Micro Apex OneTrend Micro Deep Securityによる不正な通信・接続の防止
ネットワーク内部での不審な挙動を可視化する

関連記事