Stuxnetワームの拡大で考えるAPT攻撃対策

APT(Advanced Persistent Threat)攻撃には多くの定義がありますが、ポイントソリューションのセキュリティベンダーが「悪事」を止める自社の能力について話す際に使われるケースがほとんどです。一般的には、恐るべき手段、組織、動機を持つ任務実行中の敵を指し、よくスパイ活動に例えられます。このような概念はデジタル時代以前から存在しており、古くは孫武やカウティリヤといった軍事戦略家が記録した機密情報収集に関する文書にさかのぼることができます。


APT攻撃に関する話題は、近年ますます取り上げられるようになりました。その一因が、Operation Auroraと呼ばれる一連のサイバー攻撃です。この攻撃は2009年半ばに始まり、グーグル、ノースロップ・グラマン、ダウ・ケミカルを始め、30社以上がターゲットにされました。攻撃の発信元は中国だと推測されています。Operation Auroraは、洗練され、ターゲットが絞られ、密かに行われ、ターゲットを長期的に操ることを意図していたことから、APT攻撃であると考えられました。過去10年間に、中国が発信源と考えられるAPT攻撃が他にも複数発生しています。以下の2例も、そのひとつと考えられます。


Titan Rain – ロッキード・マーティン、米サンディア国立研究所、米陸軍レッドストーン・アーセナル、NASA、その他複数の政府機関から、米国議会図書館に相当する量の情報を引き出した、2003年の一連の攻撃。


F-35 Joint Strike Fighter – 2009年、ウォールストリート・ジャーナルが、米国防総省の3,000億ドルのプロジェクトから数テラバイトのデータが盗み出されたと報道。


APT攻撃とそれがビジネスに及ぼすリスクに関して理解するには、主体、動機、ターゲット、目的の4つを考慮する必要があります。APT攻撃における、これら4つの側面を理解すれば、より優れたセキュリティ戦略を立てることが可能です。


  1. 攻撃者:APTの背後にいる攻撃者は、テロ組織、活動家団体、犯罪者組織などが考えられます。一般的に、これらの攻撃者は国家の過激派であると見なされていますが、中国のantiCNN.exe攻撃、一般市民に愛国的なオンライン攻撃への参加を呼び掛けたロシアの青年組織「ナーシ」に見られるように、支持者や一般人がAPT攻撃に関与している場合もあります。多くのAPT攻撃が東欧諸国、ロシア、中国を拠点にしています。
  2. 動機:APT攻撃を仕掛けるハッカーの動機は、ほとんどの場合が経済または政治的な利益です。彼らは、盗み出したものから多額の金銭を得たいと考えているか、または組織や集団と根本的に対立する強力なイデオロギーによって動いています。
  3. ターゲット:APT攻撃のターゲットは、多くの場合、主流メディア、政府、軍事企業、学術機関などの組織や、需要が多く機密性の高い情報を管理する権限を持つ個人です。国の公益事業に関連する組織もしばしばターゲットにされます。
  4. 目的:APT攻撃に関わる組織や組織のまとめ役は、その存在を隠し続けます。バックドアを作成し、痕跡を隠すなどの手段を使い、代替経路を確保しながら、見つからないようにします。最終的には機密データを入手し、通信を監視し、業務や作戦を妨害します。



当面の懸念のひとつに、2010年7月に米国、インド、イラン、その他数カ国の工業制御システムで見つかったStuxnet(スタクスネット)ワームがあります。Stuxnetは、洗練された、費用のかかる、目的を持って作成されたワームです。Stuxnetの正確な発信源や動機は不明ですが、機密情報を盗み出したり、工業制御装置を人質にしたりするために作成されたわけではなさそうです。そのような目的を達成するためであれば、もっと優れた手段は他にもあります。Stuxnetは、制御装置、つまりオン/オフの切り替えを行う装置をターゲットにしています。ゼロデイの脆弱性を利用し、盗み出した暗号化シグネチャーを利用し、ルートキットを活用しますが、これらはすべてプログラマブルロジックコントローラーでは初めて確認されたものです。Stuxnetは、システムオペレーションを制御するために作られています。

では、APT攻撃から身を守るために何を知る必要があるでしょうか。

まず、APT攻撃に対する特効薬は存在しません。もしAPT攻撃対策装置を提供するという人が現れたら、すぐに逃げましょう。

セキュリティへの取り組みは、脅威ではなく、リスクをベースにして考えるべきです。自分の機密資産を確認し、ネットワークと資産の詳細を一元管理できるようにすることが必要です。脅威情報を戦略全体に統合し、攻撃者の行動や手法を把握します。また、サイロを解体することも必要です。複数の異なるセキュリティサイロが存在すると、APT攻撃を仕掛ける攻撃者にとって有利になります。フォーチュン50社でも従業員50人の企業でも、戦略を統合することがAPT攻撃に対する最善の策といえるでしょう。

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速