APT攻撃とは?手口や標的型攻撃との違い、対策方法について解説
サイバー攻撃の一種にAPT攻撃があります。サイバー攻撃は聞いたことがあっても、APT攻撃についてはどのような攻撃かよく知らないという方は多いかもしれません。また、標的型攻撃など他のサイバー攻撃との違いについて気になる方もいるのではないでしょうか。
この記事ではAPT攻撃の特徴、また標的型攻撃と違う点についても解説しています。APT攻撃の対策方法も説明しますので、参考にしてください。
目次
[ 開く ]
[ 閉じる ]
APT攻撃とは
APT攻撃とはサイバー攻撃の一種であり、特定の組織や個人を目的にして複数の攻撃手法を使って継続的に行う攻撃のことです。APTは「Advanced Persistent Threat」の略称で、英語で直訳すると「高度かつ継続的な脅威」という意味となります。
APT攻撃については大きく分けて2種類あります。
- 共通攻撃手法
- 個別攻撃手法
それぞれの手法について詳しく見ていきましょう。
共通攻撃手法
共通攻撃手法は、システムへの侵入が目的の攻撃になります。不特定多数の媒体に対してサイバー攻撃、詐欺といった攻撃を仕掛けるのが特徴です。
具体的には、マルウェアやスクリプトなどを利用してパソコンやサーバー内に侵入し、情報取得などの操作ができる権限を勝手に付与するなどの行為を指しています。
共通攻撃手法は、いわゆる「システムの乗っ取り」を目的とした悪用手法です。乗っ取られたシステムからは企業の組織内だけでなく、外部オンラインの利用やオンラインバンキングの情報が流出するなどのリスクが高まります。
個別攻撃手法
個別攻撃手法とは、特定の情報の搾取や改ざんを目的とする攻撃のことです。
具体的には、悪意のある第三者がいくつかのパソコンやサーバー、ID、アカウント情報へアクセスできる状態にして情報漏洩や情報資産を盗み出すことを可能とします。
個別攻撃手法の場合、不自然な形でのデータの転送や閲覧、改ざんを行うわけではありませんので、乗っ取られた側も被害の重要性を認識することができません。
場合によっては長い期間潜伏しながら必要となる情報を収集し、お金になる情報を取得、または他の企業や顧客、ユーザーに対しての侵入の足掛かりとし、被害者を増加させていきます。
APT攻撃と標的型攻撃の違い
ここからは、APT攻撃と標的型攻撃の違いについて説明します。
先にも触れたとおり、APT攻撃とは大規模な機密情報を盗むために高度かつ持続的に行われる攻撃を意味します。一方、標的型攻撃とは特定の個人や組織を狙って機密情報を盗むことが目的です。
両者の大きな違いとしては、攻撃の対象や、手法の巧妙さが関係してきます。APT攻撃は、国家や組織によって実施されるケースが多い傾向があります。反対に標的型攻撃は個人が主犯となり、対象も個人をターゲットに行われるケースが多いです。
その他、目的や対象、手法などについてわかりやすく表でまとめました。
| APT攻撃 | 標的型攻撃 | |
|---|---|---|
| 目的 | 大規模で重大な情報を盗むこと | 個人・企業の金銭や情報 |
| 攻撃対象 | 内部端末、データベース | 個人の情報 |
| 攻撃手法 | 独自で開発したツールや手口 | 一般的に入手するツール |
| 攻撃手段 | 自由に変化する | パターンが決まっている |
| 痕跡 | 残らない | 残す |
また、APT攻撃と混同されがちなランサムウェア攻撃についても、攻撃の目的が違います。ランサムウェア攻撃は金銭的な見返りを得ることを目的としており、APT攻撃は攻撃対象から情報を盗むことがメインの目的です。
APT攻撃が行われる目的
ここからは、APT攻撃はなぜ行われるのかについて説明します。
APT攻撃は主に以下の目的で攻撃が仕掛けられるケースが多いです。
- 企業や組織が持つ技術情報などの盗み、改ざん
- 国防関連、国家情報などの重大機密情報の盗み、改ざん
どちらも悪質な攻撃手法には変わりありませんが、企業や組織などの技術情報や国防関連の機密情報は国内外に関わらず特に重要視される有益な情報です。そのため、攻撃対象とされる可能性がある組織では、APT攻撃に備えて対策を強化しておかなければなりません。
また、最近では大手企業や国防関連だけでなく、地方公共団体や大手企業を中心にターゲットとされる傾向もあります。
APT攻撃の被害事例
ここでは、APT攻撃が行われたことによる被害事例について2つ紹介します。
- 日本年金機構 情報漏洩事件
- SolorWinds社サイバー攻撃事件
一つひとつの被害事例について詳しくみていきましょう。
日本年金機構 情報漏洩事件
日本年金機構 情報漏洩事件とは、2015年5月に日本年金機構から約125万人もの個人情報が盗み出された事件であり、日本全土にAPT攻撃が脅威であることを伝えるきっかけになった大規模被害を受けた事件です。
具体的な攻撃手段は不審なメールを利用した「標的型メール」を利用した手法による攻撃がされ、連続して3度行われた結果、機構に保管されている個人情報が漏洩しました。
ランダムにばら撒かれるメールに比べ、メールアドレスを個別指定して送付されるメールの方がユーザーが騙されやすく、APT攻撃として効果を発揮したと考えられています。
SolarWinds社サイバー攻撃事件
SolarWinds社サイバー攻撃事件とは、ロシア政府が実施したAPT攻撃のことです。ソフトウェア開発会社であるSolarWindsのネットワーク監視ソフトウェア「Orion」をハッキングし、アメリカの政府機構やIT企業を対象にしてサイバー攻撃を仕掛けています。
この事件の裏には、「The Dukes」と呼ばれるロシアを拠点とするAPT攻撃を行うハッカー集団が関与したとされています。この組織とロシア政府には関係があったという指摘を受けていることから、国家間を揺るがす大事件へと発展しました。
サイバー攻撃を原因とする事件によって、ネットワーク内に保存されていたユーザーIDやパスワード、財政状況についての記録、ソース情報などのさまざまな重大情報がロシアの手に渡ってしまったと噂されています。
APT攻撃の対策方法
ここまでAPT攻撃について特徴を解説してきましたが、ここでは対策方法を2つ紹介します。
- 多層防御を実施する
- ソリューションサービスを導入する
それぞれ、詳しく見ていきましょう。
多層防御を実施する
APT攻撃には「多層防御」を実施することが望ましいでしょう。
多層防御には具体的に3つの対策があります。
- 【入口】侵入対策
- 【内部】拡大対策
- 【出口】漏洩対策
【入口】侵入対策
侵入対策とは、APT攻撃などのサイバー攻撃が入り込む隙を作らず、内部へのネットワークの侵入を防ぐことです。
具体的にはファイアウォールを設置することで不正な侵入を防ぐことや、IDS/IPS(不正に侵入することを防止するシステムの一種)などを使用したセキュリティ対策が可能となります。APT攻撃は個別でされる高度な設定により侵入してしまうと対策が難しくなっていくため、攻撃対策の中でも重要な対策の一つになります。
【内部】拡大対策
拡大対策とは、内部のネットワークに、セキュリティを攻撃するユーザーが侵入した場合に行う対策のことです。
具体的には、APT攻撃を受けたと発覚した時点でサーバーやデータベースから隔離し、内部で被害が広がるのを防ぎます。「入口対策」で防ぐことが最も理想的ですが、被害が甚大になる前に実施することが必要な対策の一つです。
【出口】漏洩対策
漏洩対策とは、侵入された後、効果を発揮する情報保護の最後の防衛線とも呼べる対策です。漏洩する可能性がある情報を暗号化することにより、万が一攻撃を受けた際の外部への情報漏洩を防ぎます。
具体的には根本的に外部へ行うアクセスを監視することや、不審なサイトにはアクセスをしないように制限を敷くことが挙げられるでしょう。万が一、マルウェアが侵入した場合にも、出口対策を十分に行うことで情報の持ち出しを徹底的に防止できることが考えられます。
ソリューションツールを導入する
APT攻撃への対策として、ソリューションツールを導入することも効果的です。ソリューションツールを導入することでAPT攻撃による侵入を防止できることはもちろん、すでに侵入したマルウェアの駆除や情報流出の防止にも効果があります。
ソリューションツールは、類似的にサイバー攻撃を行い、攻撃に対して耐性があるのかを調べる「評価サービス」や「標的型攻撃対策ソリューション」など、種類はさまざまです。日常からサイバー攻撃への意識を高める効果が期待できるため、導入をおすすめします。
まとめ
APT攻撃とは、主に大企業や国家を対象に高威力な攻撃を断続的に行う攻撃手法のことです。標的型攻撃やランサムウェア攻撃などサイバー攻撃にはさまざまな種類がありますが、違いをよく理解したうえでAPT攻撃を防ぐための対策を講じる必要があります。具体的には、多層防御の実施やソリューションツールの導入が有効です。大きな被害を受けてからでは遅いので、自社に合った対策を講じて未然にAPT攻撃から守りましょう。
文責:GMOインターネットグループ株式会社
