はじめに
標的型攻撃(APT)は、特定の企業や政府機関を長期的に狙い、情報窃取や破壊活動を行う高度な攻撃です。ランサム攻撃が広範囲に被害をもたらすのに対し、標的型攻撃は事前調査や社会工学を駆使して少数の高価値ターゲットに絞り込みます。本稿では、APTの攻撃チェーン、代表的な攻撃グループや事例、対策の枠組みを詳細に解説します。以前の記事では端的な紹介にとどまりましたが、今回は重複を避けつつ深掘りします。
攻撃チェーンと手口
標的型攻撃は一般に次のような段階で構成されます:
- 偵察
- 攻撃者はターゲットの業務内容や組織図、従業員の役職や興味関心をOSINTやSNSなどから調査します。
- 侵入
- 横移動と権限昇格
- 侵入後は、攻撃者が権限を拡大して重要サーバやドメインコントローラにアクセスします。パスワードダンプやクレデンシャルハーベスティングが用いられます。
- 情報収集と窃取
- 機密文書や知的財産、認証情報などを収集し、暗号化した通信経路で外部サーバに送信します。
- 潜伏と持続
- 攻撃者は長期間にわたってネットワークに潜伏し、継続的に情報を収集します。痕跡を隠すためにツールを自動削除し、一般的な管理ツールに隠れる手口(Living off the Land)が多用されます。
APTグループと事例
Fujitsu事件
国内IT企業のサーバが侵害され、顧客情報が流出した事件では、侵入手口として標的型フィッシングとVPN脆弱性の併用が疑われています。攻撃者は長期間潜伏し、外部からの検知が困難でした。事件後、同社は顧客への説明とともにシステム再構築を行いました。
DMM Bitcoin事件
暗号資産取引所が北朝鮮系グループ「Lazarus」による攻撃を受け、約480億円相当の暗号資産が盗まれました。攻撃では従業員に偽の求人情報を送るなどの社会工学が使われ、マルウェア感染を通じて取引システムにアクセスされました。この事件は、金融分野のサプライチェーンを狙う国家級攻撃の典型例とされています。
JAXAへの侵入
宇宙航空研究開発機構への攻撃では、VPN機器のゼロデイ脆弱性を悪用した侵入が報告されています。攻撃者は長期にわたり内部システムにアクセスし、技術データを窃取しようと試みました。事件は国際的な防衛産業への攻撃が続いている現状を示し、重要インフラの脆弱性管理の必要性が指摘されました。
防御策とフレームワーク
APTへの防御には、技術的対策と組織的対策の両方が求められます。
多層防御と検知技術
フィッシングメール対策として、添付ファイルやリンクを自動解析する機能を持つメールゲートウェイと、ユーザー教育を組み合わせることが効果的です。EDRやNDR(Network Detection and Response)は、未知のマルウェアや異常な通信を検知し、早期対応を可能にします。また、ゼロトラストネットワークアクセス(ZTNA)により、すべてのアクセスを継続的に認証・監視し、最小権限でのアクセスを実施します。
サイバー脅威インテリジェンス
攻撃グループの手口やツール、C2サーバの情報を共有する脅威インテリジェンスは、APTの早期検知と対処に役立ちます。MISPやSTIX/TAXIIなどの共有基盤を利用し、業界団体や政府機関からのアラートを受け取る仕組みを作ります。自社で発見したIoCを積極的に共有することで、全体の防御力を向上させることができます。
インシデント対応訓練
APTは長期にわたって潜伏するため、インシデントレスポンスチームは平時から訓練を行い、検知から封じ込めまでの手順を熟知しておく必要があります。実際の攻撃シナリオを模擬した机上演習やRed Team/Blue Team演習を通じて、組織全体の対応力を養います。攻撃者が暗号化やデータ破壊を行う前に行動を検知し、ネットワークを隔離できるよう準備します。
まとめ
標的型攻撃は特定の組織を集中的に狙うため、一般的なマルウェア対策だけでは不十分です。本稿では攻撃チェーンと典型的事例を整理し、多層防御や脅威インテリジェンス、訓練の重要性を説明しました。重複を排し、APTへの理解を深める新たな内容を提供しました。組織は、自社のリスク評価に基づき、技術的・人的対策を組み合わせて継続的に防御力を高める必要があります。
