ホーム Topics 高度で継続的な脅威 高度で継続的な脅威とは
IBMの脅威管理サービスの詳細はこちら セキュリティー・トピックの最新情報を購読する
クラウド、携帯電話、指紋、チェックマークのピクトグラムをコラージュしたイラスト

公開日: 2024年4月3日
寄稿者:Gregg Lindemulder、Amber Forrest

高度で継続的な脅威とは

高度で継続的な脅威(APT)とは、長期間にわたって機密データを盗んだり、サイバースパイ活動を行ったり、重要なシステムを破壊したりすることを目的とした、検知されないサイバー攻撃です。ランサムウェアなどの他のサイバー脅威とは異なり、APT攻撃グループの目的は、標的のネットワークに侵入してその存在を拡大しながら、気付かれないようにすることです。

国家が支援するサイバー犯罪者チームは、他国の機密情報や大規模な組織の知的財産にアクセスするためにAPT攻撃を実行することがよくあります。これらの脅威アクターは、最初は従来のソーシャル・エンジニアリング手法を使用する場合もありますが、高度なツールや方法をカスタマイズして特定の組織固有の脆弱性を悪用することで知られています。APT攻撃が成功すると、数カ月、場合によっては数年続くことがあります。

IBM X-Force Exchange
関連コンテンツ

データ侵害のコストに関する調査の主要な統計を解き明かす

APT攻撃の流れ
潜入

APTグループは多くの場合、ソーシャル・エンジニアリングスピア・フィッシングによってターゲット・ネットワークへの初回アクセスを獲得します。APT攻撃者は、組織内外の情報源から収集したインテリジェンスを利用して、幹部やシニア・リーダーに悪意のあるリンクをクリックさせる巧妙なスピア・フィッシング・メールを作成します。攻撃者はまた、ネットワークに侵入するために、他のエントリー・ポイントや攻撃対象領域を狙う可能性があります。たとえば、Webアプリケーションのパッチが適用されていない脆弱性に対してゼロデイ攻撃を仕掛けたり、従業員がアクセスすることがわかっている公開Webサイトにマルウェアを埋め込んだりする可能性があります。

探索と拡大

最初の侵入後、APTグループはネットワークを探索、マッピングし、組織全体に横移動するのに最適な次のステップを決定します。複数のエントリー・ポイントからネットワークにアクセスできるようにする一連のバックドアをインストールすることで、調査を続け、隠れたマルウェアをインストールすることができます。また、パスワードを解読し、機密データが存在する安全なエリアの管理者権限を得ようとすることもあります。最も重要なのは、攻撃者がハッキングされたシステムをリモートで管理するために、外部のコマンドやコントロール・サーバーへの接続を作成することです。

抽出

データ窃盗の最初の事例に備えて、APTグループは時間をかけて収集した情報を、ネットワーク内の一元化した安全な場所に移動させます。データの抽出を容易にするために、データを暗号化したり圧縮したりすることもあります。そしてセキュリティー担当者の注意をそらし、リソースを迂回させるために、分散型サービス妨害(DDoS)攻撃のような「ホワイトノイズ」イベントを仕掛けるかもしれません。この時点で、盗まれたデータを検知されることなく外部サーバーに転送することができます。

メンテナンス

APTグループは、攻撃を仕掛ける新たな機会を待つため、侵入されたネットワーク内に長期間または無期限にとどまる可能性があります。この間、マルウェアを隠すためにコードを書き換えたり、検知されずに機密システムにアクセスできるルートキットをインストールしたりして、隠れた存在を維持することがあります。場合によっては、目的を達成した後、攻撃の証拠を削除して、ネットワークから完全に離脱することもあります。

一般的なAPT攻撃手法
ソーシャル・エンジニアリング

APTグループは、広く配布されているフィッシング・メール、高度にパーソナライズされたスピア・フィッシング・メール、その他のソーシャル操作手法を使用して、ユーザーに悪意のあるリンクをクリックさせたり、保護されたシステムへのアクセスを許可する情報を公開したりするようにユーザーを誘導します。

ゼロデイ攻撃

パッチが適用されていないソフトウェアの脆弱性がないかネットワークをスキャンする、悪意のあるシェルコードをデプロイすることで、APTグループはIT管理者が対応する前に脆弱な領域を悪用することができます。

サプライチェーン攻撃

APTグループは、組織の信頼できるビジネス、テクノロジー、ベンダー分野のパートナーを標的にして、共有ソフトウェアまたはハードウェア・サプライチェーンを通じて不正アクセスを取得する可能性があります。

ルートキット

保護されたシステムへの隠れたバックドア・アクセスを提供する機能を備えたルートキットは、APTグループがリモート操作を隠蔽して管理するための貴重なツールです。

コマンドアンドコントロールサーバー

APTグループは、侵害されたネットワークに足場を築くと、攻撃をリモートで管理し、機密データを抽出するために、独自の外部サーバーへの接続を確立します。

その他の手法

APTグループは、ワーム、キーロギング、ボット、パスワードクラッキング、スパイウェア、コードの難読化など、ネットワーク全体で存在を拡大し、それを隠すために、他のさまざまなツールを使用することがあります。

APTグループの例
APT34(Helix Kitten)

非常に説得力があり、十分に研究されたスピア・フィッシング・メールで知られるHelix Kittenは、イラン政府の監督下で運営されているとされています。このグループは、航空宇宙、通信、金融サービス、エネルギー、化学、ホスピタリティなど複数の業界にわたる中東の企業を主な対象としています。アナリストは、これらの攻撃はイランに経済的、軍事的、政治的利益なメリットをもたらすことを目的としていると考えています。

APT41(Wicked Panda)

Wicked Pandaは、中国を拠点とする悪名高く多作なAPTグループで、中国国家安全部や中国共産党とのつながりが疑われています。このグループのメンバーは、サイバースパイ活動を行うだけでなく、金銭的利益のために企業を攻撃することでも知られています。彼らは、医療サプライチェーンへのハッキング、バイオテクノロジー企業からの機密データの窃取、米国における新型コロナウイルス感染症救済金の窃盗に関与していると考えられています。

Stuxnet

Stuxnet は、監視制御およびデータ収集(SCADA)システムを標的にしてイランの核計画を妨害するために使用されたコンピューター・ワームです。現在は活動していませんが、2010年に発見された際には強力な脅威と考えられ、標的に大きな被害をもたらしました。アナリストたちは、Stuxnetは米国とイスラエルが共同開発したものだと考えていますが、どちらの国も公には責任を認めていません。

Lazarus Group

Lazarus Groupは北朝鮮を拠点とするAPTグループで、数億ドルの仮想通貨の窃盗に関与していると考えられています。米国司法省によると、この犯罪は世界のサイバーセキュリティーを弱体化させ、北朝鮮政府に収益をもたらす戦略の一環です。2023年に米国FBIは、オンラインカジノから4,100万米ドルの仮想通貨を盗んだとして、Lazarus Groupを告発しました。

APT攻撃の検知

APT攻撃は通常のネットワーク・オペレーションを模倣するように設計されているため、検知が難しい場合があります。専門家は、セキュリティーチームが標的にされた疑いがある場合に尋ねるべきいくつかの質問を提言しています。

ユーザー・アカウントで異常なアクティビティーが発生していますか?

APTの脅威アクターは、機密情報への特権アクセスを持つ価値の高いユーザー・アカウントを標的にします。これらのアカウントでは、攻撃中に異常に大量のログオンが発生する可能性があります。また、APTグループは異なるタイムゾーンで運営されることが多いため、これらのログオンは深夜に行われる可能性があります。組織は、エンドポイントの検知と応答(EDR)やユーザーとエンティティーの行動分析(UEBA)などのツールを使用して、ユーザー・アカウントの異常なアクティビティーや疑わしいアクティビティーを分析および特定できます。

バックドア型トロイの木馬は大幅に増加していますか?

ほとんどのIT環境でバックドア型トロイの木馬が発生しますが、APT攻撃時にはその存在が広範囲に及ぶ可能性があります。APTグループは、侵害されたシステムへの再侵入に備えて、バックドア型トロイの木馬をバックアップとして利用します。

異常なデータ転送アクティビティーはありますか?

データ転送アクティビティーの通常のベースラインからの大幅な逸脱は、APT攻撃を示唆している可能性があります。これには、データベース・オペレーションの急激な増加や、大量の情報の内部または外部への転送が含まれます。セキュリティー情報およびイベント管理(SIEM)やネットワークの検知と応答(NDR)など、データソースからのイベントログを監視および分析するツールは、これらのインシデントにフラグを設定するのに役立ちます。

データが集計され、通常とは異なる場所に移動していませんか?

APTグループは通常、ネットワーク全体から大量のデータを収集し、その情報を抽出する前に中心の位置に移動します。通常とは異なる場所に大量のデータがある場合、それが圧縮形式の場合は特に、APT攻撃を受けている可能性があります。

特定の経営幹部がスピア・フィッシング・メールを受け取ったことはありますか?

少数の上位リーダーを標的としたスピア・フィッシング攻撃は、APTグループの間で一般的な戦術です。これらのEメールには機密情報が含まれていることが多く、Microsoft WordやAdobe Acrobat PDFなどのドキュメント形式を使用して、悪意のあるソフトウェアを起動します。ファイル整合性監視(FIM)ツールは、スピア・フィッシング・メールに埋め込まれたマルウェアによって重要なIT資産が改ざんされたかどうかを組織が検知するのに役立ちます。

APT攻撃からの保護

APTハッカーがシステムに不正アクセスするリスクを軽減するために組織が講じることができるセキュリティー対策があります。APTグループは各攻撃ベクトルに対して常に新しい方法を採用しているため、専門家は次のような複数のセキュリティー・ソリューションと戦略を組み合わせた幅広いアプローチを推奨しています。

 

  • ゼロデイ・エクスプロイトからネットワークとオペレーティング・システムの脆弱性を保護するためにソフトウェアにパッチを適用します
  • リアルタイムでネットワークトラフィックを監視し、バックドアの設置や盗難データの抽出などの悪質な行為を発見します。
  • ネットワークのエンドポイントで、Webアプリケーションとインターネット間のトラフィックをフィルタリングするWebアプリケーション・ファイアウォールを使用し、攻撃の襲来を防ぎます。
  • 権限のないユーザーが、機密性が高い、または高レベルのシステムおよびデータにアクセスできないように厳格なアクセス制御を実施します。
  • ペネトレーション・テストを実施して、APTグループが攻撃中に悪用する可能性のある弱点と脆弱性の領域を特定します。
  • 脅威インテリジェンスを活用することで、APT攻撃のライフサイクルをより深く理解し、攻撃が進行中と思われる場合には効果的なインシデント対応を計画します。
関連ソリューション
脆弱性管理サービス

最も重要な資産が漏洩する可能性のある欠陥を特定し、優先順位を付け、修復を管理します。

脆弱性管理サービスの詳細はこちら
参考情報 IBM Security X-Force脅威インテリジェンス・インデックス

脅威アクターがどのように攻撃を仕掛けているか、そして組織を先見的に保護する方法を理解する上で役立つ実用的なインサイトをご確認ください。

脅威管理とは

脅威管理とは、サイバーセキュリティーの専門家がサイバー攻撃を防止し、サイバー脅威を検知し、セキュリティー・インシデントに対応するためのプロセスです。

脅威アクターとは何か

サイバー脅威アクターまたは悪意のあるアクターとも呼ばれる脅威アクターは、デジタル・デバイスまたはシステムに意図的に損害を与える個人またはグループです。

次のステップ

IBMのサイバーセキュリティー・サービスは、アドバイザリー、統合、マネージド・セキュリティー・サービスに加え、攻撃および防御機能を提供します。 弊社は、専門家からなるグローバルチームと独自のパートナー・テクノロジーを組み合わせて、リスクを管理するカスタマイズされたセキュリティ・プログラムを共創します。

サイバーセキュリティー・サービスはこちら