APT攻撃
長期間にわたりターゲットを分析して攻撃する緻密なハッキング手法
From Wikipedia, the free encyclopedia
APT攻撃(APTこうげき、英:Advanced Persistent Threat、持続的標的型攻撃)はサイバー攻撃の一分類であり、標的型攻撃のうち「発展した/高度な(Advanced)」「持続的な/執拗な(Persistent)」「脅威(Threat)」の略語で長期間にわたりターゲットを分析して攻撃する緻密なハッキング手法、または集団[1][2][3]。「ターゲット型攻撃」「高度標的型攻撃」「標的型諜報攻撃」とも訳される[4][5]。
独立行政法人 情報通信研究機構(NICT)のサイバー攻撃対策総合研究センター(CYREC)では「特定の相手に狙いを定め、その相手に適合した方法・手段を適宜用いて侵入・潜伏し、数か月から数年にわたって継続するサイバー攻撃」[6]としている。世界のセキュリティー業界では、組織名不明のクラッカー組織を見つけると、イランに拠点を置くハッカー組織APT33、ロシアのAPT29、北朝鮮のAPT38のように「APT+数字」で名前を付ける[3]。
経緯
特定の組織内の情報を窃取するためのコンピュータウイルスやマルウェアが標的型脅威(Targeted threat)と分類され、これらを用いるサイバー攻撃が標的型攻撃と呼ばれるようになり、無差別に行われる他のサイバー攻撃と区別していた。
2005年7月には、標的型攻撃の中でも、高度な技術を駆使するものについての警告がイギリスのUK-NISCCとアメリカのUS-CERTから発行された [7] [8] 。ただし、当時はまだAPT(Advanced Persistent Threat)という用語は用いていなかった。
最初にAPT(Advanced Persistent Threat)という用語を用いたのは、2006年、アメリカ空軍においてであったという。 正体不明の敵による攻撃について論じる際に、この用語は適していたという [9] 。
この用語を最初に用いた人物として、当時アメリカ空軍のコロネル(大佐)であったグレッグ・ラットレイ(Greg Rattray)が挙げられている。彼は、機密性の高い攻撃活動を外部向けに説明するため、APTという言葉を非機密用語として導入したとされる。[10][11][12]
今日、APT攻撃は、標的型攻撃の中で区別されるようになっている [13] [14] 。
2010年1月、Googleの中国拠点等において発生した「オーロラ作戦(Operation Aurora)」という一連の攻撃事件が話題になった [15]。
2010年6月、中東の原子力施設を狙った「スタックスネット(Stuxnet)」というコンピュータワームが発見された。
2010年12月に独立行政法人 情報処理推進機構(IPA)から内容的にAPT攻撃についてのレポートが公開された [16]。
2013年4月に独立行政法人 情報通信研究機構(NICT)が設立した「サイバー攻撃対策総合研究センター(CYREC)」の設立理由の筆頭に、このAPT攻撃が記述されている [6]。
攻撃プロセス
攻撃プロセスは、次のように整理できる [17] 。
- 初期侵害(Initial Compromise):バックドア不正プログラム投入(通常の標的型攻撃)
- 拠点確立(Establish Foothold):バックドアとの通信を確立、追加機能投入
- 権限昇格(Escalate Privileges):パスワードクラック、パス・ザ・ハッシュ(Pass the hash)等
- 内部偵察(Internal Reconnaissance):イントラネット構成調査
- (水平展開(Move Laterally):イントラネット内を移動)←反復
- (存在維持(Maintain Presence):バックドアの追加設置等)←反復
- 任務遂行(Complete Mission):情報の窃取(ファイル圧縮・ファイル転送等)
緩和戦略
イントラネットの設計・構築・運用管理において、多層防御を行う必要がある [18][19]。
- クライアントPCについて、Windows標準のセキュリティ機能(ZoneID、AppLocker等)を設定することによって、メール添付ファイルの実行を抑止できる[21]。
- マルウェアを検出したクライアントPCをネットワークから自動遮断するソリューションを活用することができる[22]。
- スーパーユーザーのアクセス権限の設定において、アイデンティティ管理ソリューションの、いわゆる特権ID管理ソリューションを活用することができる。
- 攻撃者が心理的に「内部偵察」しにくいようにイントラネットのシステムを設計し、攻撃者の「内部偵察」活動を発見するための「トラップ(罠)」を設置し、システム管理者が「水平展開」活動に早期に気付くことができるようにする必要がある。
- 各システムのデータログを関連付けて把握し易くするためにはSIEM(Security Information and Event Management)ツールを導入する。その前提として、各システムの時計を同期させておく必要がある。
組織内にCSIRT(Computer Security Incident Response Team)を編成し、運営する[24]。
APTグループ
| 国名 | APT | グループ名 | 別名 | 出典 |
|---|---|---|---|---|
| 中国 | APT1 | 中国人民解放軍61398部隊 | Comment Crew、Comment Panda、GIF89a、Byzantine Candor | [25] |
| APT2 | PLA Unit 61486 | |||
| APT3 | Buckeye | UPS Team[25] | [26] | |
| APT4 | Maverick Panda、Sykipot Group、Wisp | [25] | ||
| APT6 | [25] | |||
| APT7 | [25] | |||
| APT8 | [25] | |||
| APT9 | [25] | |||
| APT10 | Red Apollo | APT10 (by Mandiant)、MenuPass (by ファイア・アイ)、Stone Panda (by Crowdstrike)、POTASSIUM (by マイクロソフト) | [27][28] | |
| APT12 | Numbered Panda | Calc Team | [25] | |
| APT14 | [25] | |||
| APT15 | ニッケル (ハッカー集団) | KE3CHANG、Vixen Panda、Royal APT、Playful Dragon | [29] | |
| APT16 | [25] | |||
| APT17 | Tailgator Team、DeputyDog | [25][30] | ||
| APT18 | Wekby | [25] | ||
| APT19 | Codoso Team | |||
| APT20 | Wocao | Twivy[25] | [31][32] | |
| APT21 | Zhenbao | [25] | ||
| APT22 | Barista | [25] | ||
| APT23 | [25] | |||
| APT24 | PittyTiger | [25] | ||
| APT25 | Uncool、Vixen Panda、Ke3chang、Sushi Roll、Tor | [25] | ||
| APT26 | [25] | |||
| APT27 | [33] | |||
| APT30 | PLA Unit 78020 | Naikon | ||
| APT31 | ジルコニウム (ハッカー集団) | [34][35] | ||
| APT40 | APT40 | BRONZE MOHAWK、FEVERDREAM、G0065、Gadolinium、GreenCrash、Hellsing、Kryptonite Panda、Leviathan、MUDCARP、Periscope、Temp.Periscope、Temp.Jumper | ||
| APT41 | ダブルドラゴン (ハッカー集団) | Winnti Group、Barium、Axiom | [36][37][38][39] | |
| Tropic Trooper | [40][41] | |||
| ハフニウム | [42][43] | |||
| イラン | APT33 | Elfin Team | Refined Kitten(by Crowdstrike)、マグナリウム (by Dragos)、ホルミウム (by マイクロソフト) | [44][45][46] |
| APT34 | Helix Kitten | |||
| APT35 | Charming Kitten | APT35 (by Mandiant)、Phosphorus (by Microsoft)[47]、Ajax Security (by ファイア・アイ)[48]、NewsBeef (by カスペルスキー)[49][50] | ||
| APT39 | ||||
| Pioneer Kitten | [51] | |||
| イスラエル | 8200部隊 | |||
| 北朝鮮 | キムスキー | ベルベット・チョンリマ、ブラック・バンシー | ||
| APT37 | Ricochet Chollima | Reaper、ScarCruft | ||
| APT38 | ラザルスグループ | |||
| ロシア | APT28 | ファンシーベア | Fancy Bear、APT28 (by Mandiant)、Pawn Storm、Sofacy Group (by Kaspersky)、Sednit、Tsar Team (by ファイア・アイ)、ストロンチウム (by マイクロソフト) | [52][53] |
| APT29 | コージーベア | CozyCar[54]、CozyDuke[55][56] (by F-Secure)、Dark Halo、The Dukes (by Volexity)、NOBELIUM、Office Monkeys、StellarParticle、UNC2452、YTTRIUM | ||
| サンドワーム | Unit 74455、Telebots、ブードゥー・ベア、アイアン・バイキング | [57] | ||
| ベルセルクベア | Crouching Yeti、Dragonfly、Dragonfly 2.0、DYMALLOY、Energetic Bear、Havex、IRON LIBERTY、Koala、TeamSpy | [58][59][60] | ||
| FIN7 | ||||
| Venomous Bear | ||||
| アメリカ | イクエーション・グループ | [61] | ||
| ウズベキスタン | サンドキャット | ウズベキスタン国家保安庁 | [62] | |
| ベトナム | APT32 | OceanLotus | [63][64] | |
| 不明 | APT5 | [25] |
関連項目
- オーロラ作戦
- スタックスネット
- ダークホテル
- アメリカ NSA(国家安全保障局)/TAO(Tailored Access Operations)
- イスラエル 8200部隊
- 中国サイバー軍
- 年金管理システムサイバー攻撃問題
- ファイルレスマルウェア - APT攻撃には、ファイルレスマルウェアなどの隠密性の高いマルウェアが用いられる。