セキュリティに対する重要性は理解したけれど、用語が難しくてという声を聞くこともよくあります。そんな方に、セキュリティの頻出用語を解説します。今回はサイバーセキュリティの世界に大きな問題を引き起こしている「APT」についてです。
APTとは、Advanced Persistent Threatを略したものです。用語としては、2006年に登場しましたが、知名度が高まったのは2010年に、イランの核施設を標的にしたとされるStuxnetワームが発見されてからです。APT(Advanced Persistent Threat)は標的型攻撃 (第1回で解説)の一種に分類されます。
APTは、愉快犯的な「誰でも」「どの会社でも」攻撃してやろうという動機ではなく、特定の個人や部門、企業などを明確にターゲットにすることが大きな特徴です。
APTで使用される攻撃手段は、1つに限られるわけではなく、USBメモリ、SQLインジェクション、マルウェア、スパイウェア、フィッシングなど、いろいろなものが利用され、かつ、継続的に行われます。国家機関(軍や情報機関)などの諜報活動やテロ活動の一環として行われているものも多くあり、執拗に根気よく繰り返されます。
さらに、APT (Advanced Persistent Threat)という名称から、もう少し詳しく見ていきましょう。
Advanced(高度)
「Advanced」とついている理由は、APTの脅威が、一般的な組織が日常的に対処している標準的なウイルスやワーム以上の機能を備えているためです。
成功しているAPTは、まだ報告されていない未発見の脆弱性を活用しています。そのため、防御が難しいことが多くあります。しかし、APTは必ずしも技術的に高度というわけではありません。例えば、攻撃を作成するために古い攻撃コードを活用したり、既存のマルウェアツールキットを使用していたりするAPTもあります。では、どうして、これらの攻撃を「Advanced」(高度)と言うのでしょうか?
それは、攻撃のための準備や偵察が念入りかつ、周到になされているからです。たいてい、APTは重要性の高いターゲット、例えば、軍事施設や原子力発電所のような重要施設のようなところを狙っているため、攻撃者は、求めている情報を入手する手段を探すために標的の調査に相当の時間を費やしていると考えられます。このようなAPTの「Advanced(高度)」という性質は、多くの組織にとって大きな懸念になりますし、また、実際になっています。
Persistent(継続的)
APTは、多くの時間と工数を使って作成された高度なマルウェアです。目的を達成するためには、作成者はAPTを標的システムに長時間とどまらせたいと考えます。その目的を達成するために、APTは、「slow and low(スローアンドロー)」と呼ばれる特性を持っています。
それは、どういう特性でしょうか? それは、「静か」であり、「影響が少ない」ようにすることです。
- 静か
APTは、最初の検知を回避する必要があります。そして、例えば、侵入後、すぐに大量のトラフィックの送信を開始すれば、セキュリティチームによる調査が開始され、検知されてしまいます。そのため、「ノイズ」をできる限り小さくする必要があります。
- 影響が少ない
PCに侵入後、PCの動作が遅くなったなぁと感じられると、ユーザーが、情報システム部門などに連絡を取って、調査を依頼する可能性があります。そのような調査活動が始まってしまうと、侵入が発見されてしまって、目標であるできるだけ長く検知されないことを達成できません。そのため、侵入に成功しても影響が少ないように挙動しないといけません。
Threat(脅威)
最後にTの部分である「Threat(脅威)」についてです。
APTは、従来のセキュリティ対策によって容易に防御できるものではありません。そのため真剣に対処方法を考えなければ、組織に多大な損害を引き起こしてしまうほどの脅威ということです。
つまり、APTは、「高度」で「継続的」な「脅威」を持った攻撃ということになります。
常に注意を怠らず対応するようにしてください。
