Overview
APT(Advanced Persistent Threat:高度標的型攻撃)とは、高度な技術と豊富な資源を持つ攻撃者(多くの場合、国家支援型のグループ)が、特定の標的に対して長期間にわたり持続的に行うサイバー攻撃です。「Advanced(高度)」は攻撃手法の洗練度、「Persistent(持続的)」は長期間にわたる攻撃の継続性、「Threat(脅威)」は組織化された攻撃主体を指しています。
APTの主な標的は政府機関、軍事組織、重要インフラ(エネルギー・通信・金融)、大企業、研究機関です。攻撃の目的は知的財産の窃取、機密情報の収集、インフラの破壊、政治的な影響力の行使など多岐にわたります。一般的なサイバー犯罪と異なり、APTは数ヶ月から数年にわたって標的ネットワーク内に潜伏し続けることがあります。
APTグループは各国の情報機関や軍事組織と関連付けられることが多く、それぞれに番号や名前が付けられています。セキュリティ業界ではMITRE ATT&CKフレームワークを用いてAPTグループの戦術・技術・手順(TTP)を体系的に分類・共有し、防御側の対策に役立てています。
Details
主要なAPTグループ
- APT28(Fancy Bear):ロシア軍参謀本部情報総局(GRU)と関連付けられるグループ。政治的な目的でのサイバースパイ活動や選挙干渉に関与。2016年の米国民主党全国委員会(DNC)へのハッキングで世界的に知られる
- APT29(Cozy Bear):ロシア対外情報庁(SVR)と関連付けられるグループ。政府機関や外交機関への高度なスパイ活動に従事。SolarWinds攻撃(2020年)の実行グループとされる
- APT41(Double Dragon):中国と関連付けられるグループで、国家支援型のスパイ活動と金銭目的のサイバー犯罪の両方を行う珍しい二面性を持つ
- Lazarus Group:北朝鮮偵察総局(RGB)と関連付けられるグループ。金融機関や暗号資産取引所を標的とした窃盗活動で知られ、Sony Pictures攻撃(2014年)やWannaCryランサムウェア(2017年)にも関与
- Equation Group:米国国家安全保障局(NSA)と関連付けられるグループ。Stuxnet、Flame等の高度なサイバー兵器を開発・運用したとされる
攻撃フェーズ
APT攻撃は一般的に以下のフェーズで進行します。
- 偵察(Reconnaissance):標的の組織構造、従業員情報、技術環境、取引先関係などを長期間にわたり調査。OSINT(公開情報の収集)やSNSの分析を活用する
- 初期侵入(Initial Compromise):スピアフィッシングメール、水飲み場攻撃、ゼロデイ脆弱性の悪用、サプライチェーン攻撃などの手法で標的ネットワークへの最初のアクセスを獲得する
- C2確立(Establish Command & Control):バックドアやRAT(Remote Access Trojan)を設置し、外部のC2サーバーとの通信チャネルを確立する。通信はHTTPS、DNS over HTTPS、クラウドサービスを利用して正規トラフィックに偽装される
- 水平移動(Lateral Movement):認証情報の窃取(Pass-the-Hash、Kerberoasting等)を通じてネットワーク内の他のシステムに侵入範囲を拡大する。Active Directoryの侵害が重要な目標となる
- 目的達成(Actions on Objectives):データの窃取(Exfiltration)、システムの破壊、偽情報の流布など、攻撃者の最終目的を実行する
MITRE ATT&CKフレームワーク
MITRE ATT&CKは、実際のサイバー攻撃の観測に基づいて、攻撃者の戦術(Tactics)と技術(Techniques)を体系的にまとめた知識ベースです。14の戦術カテゴリ(初期アクセス、実行、永続化、権限昇格、防御回避、認証情報アクセス、発見、水平移動、収集、C2、データ窃取、影響など)に分類された数百の技術が文書化されています。
Cyber Kill Chain
ロッキード・マーティン社が提唱したCyber Kill Chainは、APT攻撃を7つのフェーズ(偵察→武器化→デリバリー→エクスプロイト→インストール→C2→目的実行)に分解し、いずれかのフェーズで攻撃を阻止することを目指すフレームワークです。
TTP(戦術・技術・手順)
TTP(Tactics, Techniques, and Procedures)は、攻撃者の行動パターンを記述する枠組みです。TTPの分析により、攻撃グループの特定(アトリビューション)や、将来の攻撃の予測が可能になります。同じAPTグループは似たTTPを繰り返し使用する傾向があるため、過去の攻撃パターンから防御策を事前に準備することができます。
Security Measures
- 01ゼロトラストアーキテクチャの導入:APT攻撃は内部ネットワークへの侵入と水平移動を前提とするため、「信頼しない、常に検証する」を原則としたゼロトラストモデルを導入してください。マイクロセグメンテーションにより、侵害された端末からの水平移動を制限します。
- 02脅威ハンティングの実施:アラートを待つだけでなく、セキュリティアナリストが能動的にネットワーク内の脅威を探索する脅威ハンティングを定期的に実施してください。MITRE ATT&CKフレームワークに基づく仮説駆動型のハンティングが効果的です。
- 03特権アクセス管理(PAM)の強化:APTグループはドメイン管理者などの特権アカウントの侵害を最優先目標とします。PAMソリューションを導入し、特権アカウントの使用を厳格に制御・監視してください。特権アクセスワークステーション(PAW)の導入も推奨されます。
- 04ネットワーク分離と監視の強化:重要資産を含むネットワークセグメントを分離し、セグメント間の通信を厳格に制御してください。NDR(Network Detection and Response)を導入し、異常なトラフィックパターンやC2通信の検知能力を強化しましょう。
- 05インシデントレスポンス計画の整備:APT攻撃を想定したインシデントレスポンス計画を策定し、定期的にテーブルトップ演習やレッドチーム演習を実施してください。検知から封じ込め、根絶、復旧までの手順を事前に確立しておくことが重要です。
- 06脅威インテリジェンスの戦略的活用:自組織の業種・地域に関連するAPTグループのTTPを把握し、それに基づいた防御策を優先的に実装してください。ISACやCERT、脅威インテリジェンスプラットフォームを通じて最新の脅威情報を共有・活用する体制を構築しましょう。
Incidents
📋 SolarWinds サプライチェーン攻撃(APT29, 2020年)
2020年12月に発覚したSolarWinds攻撃は、APT29(Cozy Bear)によるものとされる史上最大規模のサプライチェーン攻撃です。攻撃者はSolarWinds社のネットワーク管理ソフトウェア「Orion」のビルドプロセスに侵入し、正規のソフトウェアアップデートにバックドア(SUNBURST)を埋め込みました。
約18,000の組織がこの汚染されたアップデートをインストールしましたが、攻撃者は特に価値の高い標的(米国財務省、商務省、国土安全保障省、Microsoft、FireEye等)を選択的に攻撃しました。攻撃者は約9ヶ月間にわたり検知されることなく活動し、多くの機密情報を窃取しました。この事件はサプライチェーンセキュリティの重要性を世界に再認識させ、米国政府のサイバーセキュリティ政策に大きな転換をもたらしました。
📋 Sony Pictures Entertainment ハッキング(Lazarus, 2014年)
2014年11月、北朝鮮と関連付けられるLazarus Groupが、Sony Pictures Entertainmentに対して壊滅的なサイバー攻撃を実行しました。攻撃者はスピアフィッシングメールで初期アクセスを獲得し、数ヶ月にわたってネットワーク内で水平移動を行い、大量のデータを窃取しました。
最終的に攻撃者はワイパーマルウェア(Destover)を展開し、Sony Picturesのコンピューターシステムの約75%を破壊しました。未公開映画、従業員の個人情報、幹部間のメール、給与情報などが流出しました。攻撃の動機は、北朝鮮の指導者を題材とした映画「The Interview」の公開阻止とされています。FBIが公式に北朝鮮の関与を認定した初めてのケースとなりました。
📋 Operation Aurora(APT17, 2009年)
2009年末から2010年初頭にかけて、中国と関連付けられるAPTグループがGoogleをはじめとする34社以上の米国大手テクノロジー企業に対してサイバー攻撃を実行しました。攻撃にはInternet Explorerのゼロデイ脆弱性が利用され、スピアフィッシングメール経由で標的企業に侵入しました。
攻撃者の主な目的は、各企業のソースコードの窃取と、中国の人権活動家のGmailアカウントへのアクセスでした。Googleはこの攻撃を受けて中国市場からの撤退を決断し、Google.cnの検閲付き検索サービスを停止しました。Operation Auroraは、国家支援型のサイバースパイ活動が民間企業に対しても大規模に行われていることを世界に示した歴史的な事件となりました。