1. 「持続的標的型攻撃」とは?
「持続的標的型攻撃」とは、標的型攻撃の中でも特に、時間・手法・手段を問わず、特定の組織に狙いを定めて執拗に行われる攻撃を指します。持続的標的型攻撃では、目的達成のために、特定の組織に狙いを定めて執拗に攻撃および侵入を繰り返し、標的のネットワーク内部に潜伏し続け、最終目的は、通常、攻撃者が標的とする組織から機密情報を窃取することです。

持続的標的型攻撃の場合は、必ずしも精巧なツールや高度な手法を用いているという訳ではなく、むしろ、その特徴は、攻撃者による用意周到な事前準備や執拗な攻撃の繰り返しであり、目的達成のために標的のネットワーク内部に潜伏し続ます。

こうした理由から、狙われた組織への影響や被害が非常に甚大なものとなる可能性が高く、標的にされた組織は、他のどの脅威や攻撃よりも、この持続的標的型攻撃への対応を優先することが求められます。
参考:セキュリティブログ「1)持続的標的型攻撃の各攻撃ステージを6段階に分類 - 持続的標的型攻撃を知る

2. 「持続的標的型攻撃」の由来は?
「持続的標的型攻撃」と類似した概念を持つ「advanced persistent threats」という英語は、軍関係者の間で使われていた「Advanced Persistent Threat」に由来します。軍関係者は、狙いを定め執拗に標的し続ける「特定の集団」を「Advanced Persistent Threat」として定義していました。このような「特定の集団」は、背後で国家が主導している場合もあります。しかしながら、「特定の標的に対して執拗に攻撃を仕掛けて機密情報窃取を目的とする標的型攻撃」が認知されるにつれて、この用語も広義に解釈されるようになり、「攻撃者」だけでなく、上述のような特徴を備えた「標的型攻撃」にも使われるようになりました。

3. 持続的標的型攻撃キャンペーンとは?
このタイプの標的型攻撃は、単発で仕掛けられることは稀であり、実際には、継続して何度も仕掛けられます。トレンドマイクロでは、こうした一定の期間に標的のネットワーク内部に侵入しようとして成功と失敗を繰り返す一連の試みを「作戦活動(キャンペーン)」と呼んでいます。つまり、「持続的標的型攻撃とは、このキャンペーンのことである」と捉えると理解しやすくなるでしょう。

4. 持続的標的型攻撃を仕掛ける「攻撃者」とは?
持続的標的型攻撃を仕掛ける「攻撃者」は、悪意ある攻撃を仕掛ける個人、または集団や組織であり、一般的に知られた「サイバー犯罪者」と異なり、必ずしも金銭的な利益のために持続的標的型攻撃を仕掛けるわけではありません。このような「攻撃者」は、持続的標的型攻撃の背後にいる人物または組織を指し、金銭的窃取ではなく、機密情報の窃取を目的とした攻撃を仕掛けると言えるでしょう。

5. 標的型攻撃と持続的標的型攻撃の違いは?
「持続的標的型攻撃」とは、従来の「標的型攻撃」と分類される攻撃の中でも、特に標的に特化し、計画性が高い執拗な攻撃であると理解することもできます。

 
標的型攻撃
持続的標的型攻撃
攻撃対象
個人、組織
組織
攻撃者
比較的スキルレベルの低い個人
組織または比較的スキルレベルの高い個人
攻撃目的
金銭につながる情報の窃取、機密情報の窃取
機密情報の窃取、継続的なスパイ活動
攻撃タイミング
攻撃者が攻撃したいとき
事前に綿密な計画を立てた後
攻撃期間
攻撃が失敗するとすぐに諦める(次の攻撃対象に移る)など比較的短期で終わることが多い
目的達成まで執拗に攻撃を続けるため、比較的長期にわたることが多い
感染手口
・不正プログラムを添付したメールを標的者に送付
・メール内容に時事問題を利用したり、攻撃対象の組織内で流通している内容を偽装することで添付ファイルの実行を誘発
・偽装のレベルはそれほど高くなく、注意すれば不審なメールと気づくことができる
・不正プログラムを添付したメールを標的者に送付。メール内容に攻撃対象の組織内のみでしか知り得ないような情報を利用することで添付ファイルの実行を誘発
・攻撃対象の組織内で使用されている特殊なアプリケーションの脆弱性を利用する場合もあり
感染後の動作
感染端末内の情報を取得
感染端末の周辺のコンピュータ内の情報も探索。攻撃目的を達成するために、得られた情報を次の攻撃に利用して少しずつ目的に迫る
入口対策の有効性
入り口対策で防げる場合もある
攻撃対象が実施している対策を事前に分析し、入口対策をすり抜けるよう攻撃を工夫
出口対策の有効性
ファイアウォールのルールなど基本的な出口対策で防げる場合が多い
通信の監視も含む、高度な出口対策が必要

6. 持続的標的型攻撃はどのように仕掛けられ、攻撃し続けるのでしょうか?

  1. 事前調査:軍事偵察作戦と似ており、この第1段階では、標的となる組織のIT環境だけでなく、その組織の構造や背景に至るまで入念に調査して、情報を収集。収集される情報には、業務用アプリケーションやソフトウェアから企業の組織図や人事情報まで多岐ににわたる。
    参考:セキュリティブログ「2)”狙った獲物” に精通する攻撃者 - 持続的標的型攻撃を知る

  2. 初期潜入:特定の組織が標的となるため、侵入方法としては、職場で頻繁に使われる伝達手段である「Eメール」が利用される。その他、Eメールだけでなく、インスタントメッセンジャー(IM)やソーシャル・ネットワーク・サービス(SNS)が利用される事例も確認している。侵入に際して、EメールやIMのメッセージ、また、SNSの投稿に含まれるリンクをクリックするように促し、「ドライブバイ・ダウンロード」や不正プログラムのダウンロードを引き起こす不正なWebサイトに誘導する。「1.事前調査」での予備攻撃やこの段階で得た情報収集活動により蓄積した情報に基づき、攻撃者は、標的となる組織の脆弱性を突き止めることが可能となる。そして最終的に、標的とする組織のネットワーク侵入への突破口を確立する。
    参考:セキュリティブログ「2)”狙った獲物” に精通する攻撃者 - 持続的標的型攻撃を知る

  3. C&C通信:標的とするネットワークへの潜入後、そのネットワーク内部にある感染コンピュータを乗っ取り、コマンド&コントロール(C&C)サーバと継続して通信する。こうして、攻撃者は、自身の不正通信を組織内の正規の通信と混同させたり、プロキシサーバを悪用するなど、C&C通信のトラフィックを隠ぺいすることが可能になる。
    註:「コマンド&コントロール(C&C)サーバ」とは、不正プログラムに感染したコンピュータに指令(コマンド)を出して、感染コンピュータを制御(コントロール)するコンピュータ(サーバ)

  4. 情報探索:攻撃者は、侵入したネットワークへの継続した接続を確実にした上で、組織のネットワーク内を縦横無尽に動き、機密情報が確保されている重要なコンピュータやサーバを探索する。

  5. 情報集約:窃取すべき機密情報を特定すると、攻撃者は、その情報を送信するために一箇所に集約させる。

  6. 情報送出:持続的標的型攻撃の最終目的は、こうして収集した機密情報を、ネットワーク内から攻撃者が制御する環境へ送信することである。収集された情報は、一旦、集約された上で攻撃者へと送り出されることになり、これは、一度にされることもあれば、何段階かに分けて送信されることもある。

7. なぜ企業は「持続的標的型攻撃」への理解および対策が必要なのでしょうか?
「持続的標的型攻撃」は、無差別なサイバー犯罪やスパムメール、Webからの脅威といった不特定多数への攻撃と異なり、攻撃に関連する構成要素や手法が標的に限定されているため、検出することが非常に困難となります。そして、このような持続的標的型攻撃のキャンペーンが遂行されると、狙われた組織への影響や被害は、非常に甚大なものとなります。こうした攻撃の中で窃取された機密情報は、外部に公開される場合や外部の人物の手に渡る場合もあります。その結果、企業のブランドイメージを損なう要因となる可能性も否めません。

万が一データ漏えいなどが発生した場合、その被害を最小限に抑えるためのコストや要員もまた、企業や組織にとって深刻な影響を与える可能性があります。

さらに、「攻撃者が標的とするネットワーク内にアクセスできる」ということは、まさしく「社内ネットワークがその攻撃者の制御下にある」ことであり、そうした中で情報が窃取されることは、攻撃者によりさまざまな方法で標的となった組織が、こうした攻撃者の手により悪用されることを紛れもなく意味しているといえるでしょう。

8. 企業は持続的標的型攻撃からの防御対策をどのように講じる必要がありますか?
「スレットインテリジェンス」とは、標的型攻撃を遂行する攻撃者が用いるツールや戦術、手順などを特定する際に用いる指標のことを意味します。持続的標的型攻撃をいち早く特定するためには、こうした指標としての外部および内部のスレットインテリジェンスを開発し活用することが必須となります。そして、この防衛戦略の中核となる要素は以下の通りとなります。

  1. 強化された可視性(ネットワークの可視化):
    エンドポイント、サーバ、ネットワーク監視から得られるログは、重要ではあるもののあまり利用されていないリソースで、組織内における挙動の全貌を示すのに集約でき、それにより標的型攻撃の兆候を示す異常な挙動を明らかにすることができます。

  2. 完全性の確認:
    持続的標的型攻撃では攻撃者が執拗に攻撃を行う目的で、不正プログラムによりシステム及びレジストリが変更されます。こうした不正な変更を監視することで、不正プログラムの存在を特定することが可能となります。

  3. 解析者への権限付与:
    ネットワーク全体のログを集約して確認する場合、異常な挙動の識別には人間が最も適しています。利用可能な内部および外部のスレットインテリジェンスに基づいてカスタマイズされた警告と併用して使うことができます。

9. 持続的標的型攻撃の被害者だと万が一判明した場合、どのような対応をすべきでしょうか?
万が一、企業や組織が持続的標的型キャンペーンの標的となっていることが判明した場合、標的となった組織はただちに以下のような対応を実施する必要があります。

  • 攻撃者のC&Cサーバを特定し、その通信を遮断
  • 感染の範囲を特定
  • 感染コンピュータにあるデータと痕跡を解析することで、被害状況を査定

その後、感染コンピュータへの感染経路や侵入方法をある程度把握した上で、影響を受けたサーバ、コンピュータ、端末をより安全にするための手段を含め、復旧を早期に実施する必要があります。

また、標的となった企業や組織は、標的となった事実などが公になった場合に備えて、「どのような対応を講じたか」、「今後どのような対策を実施するのか」などを発表する準備をしておく必要があるでしょう。

10. 持続的標的型攻撃へのトレンドマイクロのソリューション
明確な動機を持った攻撃者は、強固に守られたネットワークでさえ突破できる可能性があります。こうしたことから、企業は、パッチマネージメントやエンドポイントセキュリティ、ネットワークセキュリティ、ファイアウォールなどの標準的かつ適切なセキュリティ対策の導入だけでなく、攻撃を早期に発見し、その影響を最小限に抑えることに注力する必要があります。さらに、上述のとおり、外部及び内部のスレットインテリジェンスは、いずれも攻撃を早期に発見する能力を開発するために不可欠なものとなります。

主体的に取り組んだ防御策こそが、持続的標的型攻撃や標的型攻撃への有効な対策戦略となります。そのため、機密情報の特定と保護に注力した情報漏えい対策戦略が極めて重要です。データ保護の強化と組織全体の可視化は、機密データへのアクセス制御を可能にするだけでなく、機密データへのアクセスの試みを成功か失敗かに関係なく監視・記録することも可能にします。アクセス制御とログ機能の強化によって、セキュリティ解析者による異常の特定や調査、インシデントへの対応、そして復旧戦略と被害範囲評価の実行が可能になります。

Deep Discovery」に代表されるような現在利用可能な技術は、持続的標的型攻撃のリスクを軽減するために必要なネットワークの可視化、洞察、ネットワークの制御を実現します。「Deep Discovery」は、潜在化している脅威をリアルタイムで独自に発見して、リスクを予防、発見、軽減するための詳細な分析と有益なインテリジェンスを提供します。