Advanced Persistent Threat (APT) とは何ですか?その戦術と影響を理解する

高度な持続的脅威とは何ですか?

高度持続的脅威 (APT) は、機密データを盗んだり、重要な政府、金融、送電網の運営を妨害したりすることを目的とした、ステルスかつ高度な持続的なサイバー攻撃です。これらの攻撃は長期間検出されない可能性があり、ハッカーはルートキットやステガノグラフィーなどのツールや手法を利用して自身の存在を隠し、悪意のある活動を実行します。

一般的な APT のターゲットには、通常、政府機関、企業、研究者が含まれます。ここでは、頻繁に標的にされる組織とその理由を詳しく見ていきます。

• 政府は、攻撃者が戦略的優位性や影響力を得るために利用できる機密情報、軍事機密、または政治情報を保有している場合があります。
• エネルギー、水道、交通、通信などの重要なインフラは、交渉力を得るために中断されたり、単に大混乱を引き起こしたりする可能性があります。
• 大企業は、攻撃者が競争力を獲得したり身代金を要求したりするために使用できる知的財産や独自データを所有している可能性があります。
• 金融機関は、ハッカーが金融詐欺や個人情報窃盗を行うために利用できる口座所有者のデータと記録を保管します。
• 研究グループは最先端のテクノロジーを開発し、APT 攻撃者が自国または国家の利益のために盗む可能性のある科学的進歩を行っています。

高度で持続的な脅威は通常、個人をターゲットにしません。ただし、中断により広範なサービス停止、経済的不安定、個人データの漏洩が生じた場合には、依然として影響を受ける可能性があります。

通常、APT 攻撃の背後にいるのは誰ですか?

通常、APT の背後には政府、国家支援グループ、ハクティビスト、またはその他の資金豊富な犯罪組織がいます。これらの攻撃には、広範なリソース、専門知識、継続的な努力が必要となるため、個人のハッカーや小規模なサイバー犯罪者が攻撃を実行することは通常非現実的です。

高度な持続的脅威のライフサイクル

高度な持続的脅威のライフサイクルには、攻撃者が組織のネットワークにアクセスすること (侵入)、ネットワーク上を横方向に移動して接続されている他のデバイスやシステムに感染すること (拡張)、盗まれたデータを攻撃者が管理する場所にルーティングする (流出) が含まれます。

高度な持続的脅威がどのように機能するかを示す図。

ここでは、APT ライフサイクルのさまざまなステップについて詳しく説明します。

1.侵入

侵入は APT 攻撃の初期段階です。 A specialized team of attackers selects a target, completes in-depth research to determine the most effective tools and tactics for infiltration, and gains unauthorized access to the target’s network.多くの場合、これにはスパイウェア、ソーシャル エンジニアリング、ドライブバイ ダウンロード、SQL インジェクション、またはスピア フィッシングが含まれます。

参入すると足場を築くことができ、拡大への道が開かれます。

2.拡張

侵入後、ハッカーは攻撃を拡大し、横方向の移動を通じて侵害されたネットワークの奥深くに侵入します。このプロセス中に、攻撃者は他のネットワーク デバイス、システム、サーバーを侵害し、多くの場合、その過程で「バックドア」、つまり隠れたアクセス ポイントを作成します。

複数のネットワーク接続ポイントを制御することで、攻撃者はアクセスを維持し、自由に再侵入するための隠されたメカニズムをインストールすることで「永続性」を確立することができ、セキュリティ チームによる攻撃の検出と根絶が困難になります。

異常なネットワーク アクティビティを発生させることなく、キーロガーを通じて管理者の認証情報を盗んだり、ハッシュ攻撃を通過させたりして、制限されたデータやリソースにアクセスする可能性があります。

3.窃盗

窃盗中、攻撃者は暗号化されたデータを管理下の場所に転送します。

多くの場合、彼らは「ゆっくりと時間をかけて」少量のデータを抽出するアプローチを採用します。これにより、アウトバウンド トラフィックの大規模な突然の急増を検出する警告検出システムが回避されます。また、秘密チャネル（転送中のデータを隠す暗号化されたネットワーク経路）を確立することで、違法行為を隠すこともあります。

足場を維持し、流出中の検出を回避するために、攻撃者はステガノグラフィー (盗まれたデータを一見無害なファイル内に隠す) などの手法を使用したり、オフピーク時間に転送をスケジュールしたり、ネットワークやセキュリティ チームを圧倒する煙幕としてサービス拒否 (DoS) または分散型サービス拒否 (DDoS) 攻撃を開始したりすることがあります。

高度な持続的脅威の特性

APT は、ステルスおよび回避技術、横方向の移動、最先端のマルウェア、および検出されずにデータを抜き出すためのゆっくりとしたアプローチに依存しています。

ただし、これは攻撃を受ける側では見られません。代わりに、次のような警告サインに気づくでしょう。

• 異常なアカウント アクティビティ:見慣れない場所や異常な時間からのログインなど、異常なアカウント アクティビティに気づく場合があります。
• 新しい管理者アカウント:APT 攻撃者は、監視を減らしてより多くのアクセス権を得るために、まったく新しい管理者アカウントを作成することもあります。
• Network slowdowns:If the attackers are hasty and transfer large amounts of stolen data, they could consume significant bandwidth and slow down the internet.
• データ使用量の急増:特にオフピーク時間帯に、送信ネットワーク トラフィックが突然または繰り返し急増する場合は、誰かが大量の情報を漏洩していることを示している可能性があります。
• 見慣れないファイル:攻撃者は侵害されたデバイスにマルウェアをインストールすることが多いため、デバイス上に見慣れないファイルやアプリケーションが見つかる可能性があります。また、感染の副作用として、デバイスのパフォーマンスの問題が発生する可能性もあります。
• Disabled security tools:To fly under the radar, attackers sometimes disable antivirus software, firewalls, or intrusion detection systems to operate unnoticed.

高度な持続的脅威の例

There are several common threads between well-known APT attacks — they’re often state-sponsored, utilize custom malware or phishing, and aim to steal information or disrupt critical infrastructure for political gain.以下にいくつかの例を示します。

1.ゴブリンパンダ

ゴブリン パンダは中国を拠点とするサイバースパイ集団で、主に東南アジア諸国、特にベトナムをターゲットにしています。 2014 年の領土紛争の最中に活動が増加し、主にベトナム政府、防衛、エネルギー部門に影響を及ぼしました。

2.ファンシーベア

ファンシー・ベアは、ロシアに本拠を置くグループで、ロシア軍事諜報機関（GRU）と関係があると広く考えられている。なりすましサイトの作成、認証情報収集キャンペーンの開始、機密情報を収集するマルウェアの展開で知られています。これまでのところ、主に米国と西ヨーロッパの政府、航空宇宙、防衛、エネルギー部門をターゲットにしています。

3.コージーベア

Cozy Bear も国家支援のロシアのハッキング グループで、ロシア対外情報局 (SVR) と関連があるとされています。 Fancy Bear と同様、この APT もロシアの利益と密接に連携しています。 However, Cozy Bear has evolved to target governments, critical infrastructure, corporations, and supply chains, often by exploiting zero-day vulnerabilities to maintain stealthy access.

2015 年、コージー ベアは民主党全国大会に違反し、何ヶ月も検知されないアクセスを維持しました。 Fancy Bear followed with a more overt intrusion in 2016. According to senior justice department officials, these operations were authorized at the highest levels of the Russian government.

4.オーシャンロータス

OceanLotus は、Ocean Buffalo としても知られ、ベトナムの高度で持続的な脅威グループです。 They’re known to target consumer goods companies, manufacturing firms, hospitality organizations, and political dissidents, journalists, and activists — especially in Southeast Asia. OceanLotus は通常、ソーシャル エンジニアリング、水飲み場攻撃、カスタム マルウェアを利用してプライベート ネットワークに侵入します。

In 2020, cybersecurity researchers uncovered evidence that Ocean Buffalo was infiltrating China’s Ministry of Emergency Management and the Wuhan provincial government to collect intelligence about COVID-19.

5.エルフィンチーム

The Elfin Team is an Iranian APT group that attacks governments, corporations, and groups involved in engineering, manufacturing, aerospace, and energy research.彼らの悪用はサウジアラビア、米国、その他の国に影響を与えました。一部の標的は、将来のサプライチェーン攻撃に備えるために選択されたと考えられています。

2019 年、Elfin チームは WinRAR の脆弱性を利用してサウジアラビアの化学部門への侵入を試みました。これにより、悪意のあるプログラムが実行され、組織の重要なシステムが侵害される可能性がありました。

6.タイタンレイン

タイタン レインは、2000 年代初頭に米国と英国の政府機関に対する中国国家支援の一連の攻撃でした。 Titan Rain の悪用に関する信頼できる詳細はほとんどありません。 However, it is known that the attackers, active since at least 2003, successfully breached the U.S. State Department, Department of Homeland Security, and the U.K.’s Ministry of Defense and Foreign Office.

7.ヘリックス子猫

Helix Kitten is thought to be an Iran-based advanced persistent threat group that targets the aerospace, government, energy, financial, telecommunications, and business sectors of countries including Bahrain and Kuwait. This group is known for carefully researching its targets to execute spear phishing attacks to support Iranian state intelligence operations.

2018 年、あるサイバーセキュリティ会社は、Helix Kitten が通信会社を標的にして諜報目的で大量のデータを収集していることを発見しました。 The attackers aimed to intercept sensitive communications, exfiltrate information, and potentially deploy additional malware to extend their access.

8.方程式グループ

Equation Group は、米国国家安全保障局 (NSA) と関連があると考えられている高度な持続的脅威グループです。少なくとも 2000 年代初頭から活動しており、アフリカ、アジア、ヨーロッパ、中東の政府、軍隊、重要インフラ組織を標的にしてきました。

2009 年、このグループは、未知の脆弱性を悪用するように設計されたトロイの木馬を埋め込んだ、感染した CD-ROM を科学会議の参加者に配布したと報告されています。 In at least one case, malware installed the DoubleFantasy backdoor, potentially granting attackers persistent access to monitor activities and steal sensitive research.

高度な持続的脅威防御

APT を防御する最も効果的な方法は、フィッシングやソーシャル エンジニアリングなどの侵入戦術に騙されないようにすること、セキュリティ対策を強化すること、ソフトウェアを最新の状態に保つこと、サイバーセキュリティ ツールに投資することです。

ここでは、予防がどのようなものかを詳しく見ていきます。

• Keep an eye out for phishing attacks:Know how to recognize potential threats to help avoid clicking on a phishing link and attackers infiltrating your network. If you can’t tell if a message is legitimate, run it through an AI-powered assistant like Norton Genie to assess red flags before interacting with it.
• ソーシャル エンジニアリングを認識する方法を学ぶ:ソーシャル エンジニアリングの試みを早期に特定すると、高度で持続的な脅威の侵入段階を中断することができます。
• 強力なパスワードを設定する:攻撃者が制限されたデータにアクセスしたり、ネットワーク内を横方向に移動したりすることをより困難にするために、強力でユニークなパスワードを作成します。
• 生体認証の有効化:顔、虹彩、指紋などの生体認証を使用して機密データにアクセスします。物理的特徴は複製が難しいため、APT 攻撃者が不正アクセスすることはより困難になります。
• ソフトウェアを更新する:ソフトウェア アップデートでは既知の脆弱性が修正されることが多く、攻撃者が悪用できる侵入ポイントが制限されます。
• VPN を使用する:仮想プライベート ネットワーク (VPN) を使用すると、あなたとあなたのインターネット アクティビティが覗き見されにくくなります。また、攻撃者が転送中の機密データを傍受することを防ぐことにも役立ちます。
• ウイルス対策ソフトウェアをインストールする:ウイルス対策ソフトウェアは、APT 攻撃中にインストールされたマルウェアの防御、検出、削除に役立ちます。新しいテクノロジーやカスタム テクノロジーを利用する場合、すべての高度な永続的脅威を検出できるわけではないことに注意してください。
• 権限を制限する:厳格なアクセス制御を適用し、ユーザー権限を制限することで、組織は攻撃の横方向への拡大を防ぎ、潜在的なデータ侵害による全体的な影響を最小限に抑えることができます。

VPN を使用してインターネット接続を暗号化する

高度な持続的脅威攻撃は非常に洗練されているため、長期間検出されずにネットワークに潜んでいる可能性があります。侵害の潜在的な影響と範囲を制限するには、データを保護するための措置を講じてください。まずは VPN を使用します。これは、堅牢なサイバーセキュリティ戦略の重要なコンポーネントです。

高度で持続的な脅威に対する保護を保証できる VPN はありませんが、ノートン VPN は、オンラインで送受信するデータを暗号化し、覗き見やサイバー犯罪者が読み取れないようにすることで、デジタル プライバシーを保護します。

よくある質問

APT 攻撃の主な目的は何ですか?

高度な持続的脅威攻撃の主な目的は、標的のネットワーク上に長期間にわたって検出されない存在を確立し、機密データを盗むことです。

APT と他のマルウェアの違いは何ですか?

APT は高度かつ長期にわたるサイバー攻撃であるため、他のマルウェアとは異なります。これらの攻撃では、スパイ活動や知的財産の盗難などの長期的な戦略的目標を達成するために、検出が困難な高度なマルウェアが頻繁に使用され、システムに侵入します。

これは、ハッカーが手っ取り早い金銭的利益を得たり、業務を妨害したり、破壊したりするためによく使用する典型的なマルウェアとは異なります。 Pegasus スパイウェアと同様に、APT は高度に洗練されたハッキング グループによってのみ使用されます。

高度な持続的脅威はどのように機能しますか?

高度な持続的脅威には、攻撃者が脆弱性や人的ミスを介してネットワークに侵入することが含まれます。次に、感染したネットワーク上を横方向に移動して、より多くの足がかりを獲得します。最終的には、数か月、場合によっては数年かけてデータを窃取します。