定義上、高度持続的脅威(APT)とは、特定の被害者を標的とした長期にわたる攻撃であり、そのシステムの侵害や標的に関する情報の取得を目的とする。
約10年前、この用語は主に国家が支援する脅威アクターに対して用いられていた。ここで脅威アクターという表現を用いたのは、彼らが活動する国家において、彼らはサイバー犯罪者とは見なされていないからだ。もちろん、そうした攻撃の被害者となった側では、その認識は変わる。
これらの脅威が最初に確認された当時、その標的は政府や軍事組織でした。現在では、標的はあらゆる個人、組織、企業となり得ます。医療、通信、金融、MSP(マネージドサービスプロバイダー)、SaaSプラットフォーム、サプライチェーンプロバイダーに対する攻撃が頻繁に確認されています。
「APT」は、たとえ短期間の侵入や機会主義的な攻撃であっても、深刻な侵害全般に対して劇的なレッテルとして頻繁に用いられる。そこで、この名称を分解し、真にAPTと呼べる要件を明らかにしよう。
上級
Advanced 必ずしもハリウッド級のハッキングを意味するAdvanced 、攻撃者が周到に計画し周到に準備していることを意味する。 彼らはしばしば複数の手法を組み合わせる:新規の未知のソフトウェア欠陥(いわゆるゼロデイ脆弱性)を購入または発見すること、古いが修正されていないバグを悪用すること、同僚やパートナーからの本物そっくりのフィッシングメールを作成すること。また、ネットワーク内に既に存在する正当な管理ツール(いわゆるLOLbins:Living Off the Land Binaries)を利用することもあり、これは通常のIT作業のように見えるため、彼らの活動を発見しにくくする。
実際には、「高度」とは最も洗練されたツールを使うことではなく、特定の標的に対して適切なツールと戦術の組み合わせを選択することにある。APTグループは、標的に関する人物、システム、サプライヤーを数週間にわたり調査し、その後AIの助けを借りてそれらのデータを分析するかもしれない。そうすることで、最終的に行動を起こす際には、初回で成功する可能性が最も高くなるのだ。
持続的な
APTが危険な理由は、その執拗さにある。攻撃者は素早い襲撃と撤退を好まない。侵入し、内部に潜伏し、アクセスが有用である限り繰り返し侵入を続けることを狙う。防御側が活動を発見し、あるシステムから排除しても、事前に仕掛けた別のバックドアを利用するか、単に再編成して新たな侵入経路を探すだけである。
執拗であるということは、彼らがゆっくりと静かに動くことも意味する。攻撃者は数か月かけてネットワークを探索し、複数の隠れた侵入経路を作り、定期的に戻って盗む価値のある新たなデータが現れていないか確認するかもしれない。防御側の視点から見ると、これによりインシデントは単発の出来事から継続的な攻撃へと変わる。たとえ攻撃者を排除したと思っても、彼らは再び試みようとすると想定しなければならない。
脅威
脅威という言葉は、単一のマルウェアの種類のみを指すわけではない。APTは通常、複数の攻撃手法を含む。これは単一のマルウェアではなく、作戦全体——関係者、そのツール、インフラストラクチャ——を指す。
APT攻撃には、フィッシング、脆弱性の悪用、リモートアクセスツールのインストール、パスワードの窃取や悪用などが含まれる。これらの活動が組み合わさることで、組織のシステムやデータに対する脅威が形成される。
脅威の背後には、特定の目標(例えば機密設計の窃取、通信の盗聴、将来の混乱への準備など)を持ち、その目標を達成するまで粘り強く活動を続ける忍耐力とリソースを備えた組織が存在する。
安全に過ごすには
APTの被害に遭わないためには、手強い相手と対峙する可能性があると想定せよ。
- 予期しないメールやメッセージ、添付ファイルには、職場だけでなく注意が必要です。
- 可能な限りパスキーを使用し、使用できない場合は強力で固有のパスワードを使用し、パスワードマネージャーを活用してください。
- 可能な限り多要素認証(MFA)を有効にしてください。
- ソフトウェアとハードウェアを常に最新の状態に保ってください。特に、外部に公開されているネットワーク機器は重要です。
- 最新のリアルタイムマルウェア対策ソリューションを使用し、できればウェブ保護機能を備えたものを使用してください。
- 異常な活動をすべて記録し、報告してください。些細な詳細でさえ、後になって重要になる可能性があります。
脅威を報告するだけでなく、取り除く
サイバーセキュリティのリスクは、ヘッドラインを超えて広がるべきではありません。今すぐMalwarebytes ダウンロードして、デバイスに脅威を持ち込まないようにしましょう。
