APTとは何か。その狙いは何か。
「サイバー産業スパイ活動の実態」で世界的な問題だと説明している「Advanced Persistent Threat(以下APT)」とは一体どのようなものなのでしょうか?
従来のサイバー攻撃は、不特定多数に攻撃を仕掛けて隙のあるサイトを見つけ出して攻撃を行う、「数打ちゃ当たる」といったものでした。それに対してAPTでは、「攻撃対象の限定」「ソーシャルエンジニアリング」「スパイ活動」という以下3つの攻撃を複合的に組み合わせて行います。より狙い撃ちする傾向を強化し、成功率を高めている攻撃と言えるでしょう。
(1)攻撃対象の限定:業種、企業、部署、個人レベルで攻撃対象を特定している
(2)ソーシャルエンジニアリング:相手の「心理的な隙」や「行動ミス」などの盲点を突く様々な方法で、対象の個人情報を事前調査している
(3)スパイ活動:被害先企業の内部でしか知りえない、実際の議事録等、人事異動表などの情報を「餌」に攻撃を仕掛けてくる
国内でのAPTの具体的な事例は明らかになっていない、とレポートには記載されています。 それは何故なのでしょうか?
APTが表舞台にでてきたのは、Google社が同社と同様にAPTの被害を受けた企業名を公開したことによります(Operation Aurora(※1))。GoogleはAPTによる被害を受けた際、その攻撃者を特定しようと行った調査で、Googleにしかけられた攻撃がほかの企業にも同時に行われていたことを知ったようです。被害をうけたそうした企業の多くは、世界展開をしている大企業でした。これら攻撃を受けた企業の多くは被害の具体的内容を一般に公開せず、非公式な場でのみで被害に関する話を進めていたようです。その理由は、おそらく日本の事故ケースと同様に、失敗談を外に漏らしたくなかったからでしょう。そうした背景もあり、一般に被害内容や具体的手法が知られる事は少なかったと言えます。
(※1) http://www.mcafee.com/japan/security/operation_aurora.asp
日本におけるAPT被害の実態として、「技術情報」の流出が懸念されるとあります。 やはり、日本の技術情報は狙われているのでしょうか?
日本の技術情報の価値は非常に大きいと思います。昨年、中国で新幹線の技術が盗まれたというニュースは記憶に新しく、日本の得意分野である技術情報を欲している国は沢山あると思います。これは裏を返せば、これらの技術情報は、産業スパイによって常に何らかの手段によって狙われていると言っても過言ではありません。これらの技術情報は、実際に「特定部署の人材引き抜き」や「情報の売買」などによって窃取されるケースもあれば、サイバー攻撃により窃取されるケースもあります。
攻撃者はまず侵入した端末から、特定のキーワードを含む情報を窃取しようとする、とありますがそれは具体的にどのようなものなのでしょうか?
詳細な内容をお話しするのは困難ですが、例えば、「輸送機関連のキーワード」などがそうした「特定のキーワード」に当たります。製造業などでは設計に関する図面は製品の命のようなものです。攻撃者(たち)はこのような技術情報を喉から手が出るほど欲しがっているはずです。 また、攻撃対象となった端末、つまりウイルス感染した端末から特定のキーワードを対象に他の端末へ検索を行っているということは、感染した端末は「偶然感染してしまった」のではなく「狙われて感染した」のだと推測されます。「その業種、その企業、その部署」に目当ての情報がある、もしくはその端末から狙うことができると事前調査を行った上で、攻撃をしかけてきているのでしょう。
より計画的で高度な手法へ
攻撃メールには、その企業内でのみ使用される情報を「おとり」にして標的型メールを送りつけてくるとあります。
これが APT の最も不気味なポイントです。機密情報の窃盗された痕跡を我々は確認しています。しかし、その「おとり」となった組織の内部情報がどこから入手されているのかは、わかっていません。組織内メールを金銭により買い付けている業者もあると聞いていますので、そういったルートかもしれません。また、海外の事例では攻撃対象とする相手を、SNS(ソーシャルネットワークサービス) で特定し、その人の「人間関係や人脈の調査」なども行っているようです。これはもはやサイバー攻撃といった単純なものではなく、「デジタルとリアルの両側面からの複合的な脅威」だといえます。
調査結果の中で、APT による二次被害として最も多かったもの、また、狙われたタイミングにはどのようなものがあるでしょうか?
レポート内の6章(3)でも記載したのですが、ネットワーク共有経由での二次被害が多く見受けられました。原因は、アクティブ・ディレクトリの管理共有のパスワードが破られていたことです。こうした被害は、被害企業からグループ企業に飛び火していく事例として多々見られるケースです。このケースはボット感染でも良く見られるのですが、「M&A」に原因がありました。M&A 直後というのは、業務を潤滑にするため突貫で様々な情報の共通化が行われます。それに伴ってネットワークやアクティブ・ディレクトリの管理情報なども「すべて共通のもの」に設定されていました。組織統合の最大限の効率化が「サイバー産業スパイの手助け」となっていたのは皮肉です。
マルウェアの感染、キーワード検索の後、5~8時間の間隔をあけて攻撃者が再侵入していますが、これはAPT の特長なのでしょうか?これにはどういった意味があるのでしょうか?
7章のタイムラインを確認いただくと分かるかと思いますが、再侵入してきている時刻はほぼ16時頃です。この時刻は中途半端に思えます。しかし12章に記載されているアジア諸国の攻撃元の時刻、GMT+8時間で考えるとどうでしょうか。ちょうど17時頃となります。つまり、標的企業の終業時刻が17時であることを知っており、かつ端末のシャットダウンの直前を狙って(間違って)再侵入しているとすると、そこには高い計画性が感じられます。実際に、マルウェアに感染したPCの操作内容を調べますと、PCの利用者が帰宅した後にマルウェアが動作するように細工されていました。恐らく、最初からPCの利用者が帰宅した後に操作するつもりだったのでしょう。
役員や開発部門がもっとも攻撃メールの開封率が高かったという話ですが、逆を言えば、攻撃者は経営情報や開発データに価値を置いて狙ってきているという認識で良いのでしょうか?
この傾向は「攻撃者の侵入経路に関連する特長」だと考えられます。まず、攻撃者は「標的とする企業の全体の動きが把握できる権限」を狙ってきます。役員クラスのメールなどは、その典型です。そして役員から情報を窃取すると、役員になりすまして別の社員へ、その社員からまた別の社員へ、といったように企業の神経をはいずりまわり様々な個所へ侵入を謀ります。そして最終的に、開発を担当する部署や端末に侵入し、開発データなどを窃取するのです。「役員の情報は入口」で、お目当ては「技術情報」と考えておくのが妥当でしょう。
APTに対する防御策としては何が有効なのでしょうか?
APT は、「事前の綿密な調査活動」「極少数の社員へのソーシャルエンジニアリング」に加え、「高度なサイバー攻撃」という複合的な手法が用いられます。狙われるのは、ごく一部の個人であるため、標的企業はその被害になかなか気付くことができません。正直なところ、従来のセキュリティ技術だけでは100%防ぐことは難しいと思います。そのため、被害に気付いた後の「事後対応」も非常に重要になってきます。
また、従来の技術で予防するのであれば、「システム、人間の両側面から多段的に防御する」ことで、「攻撃の成功確率を下げていく」しかありません。但し、その検出率は非常に低いものとなります。特に、 APT で最も厄介なのが、ソーシャルエンジニアリングです。こればかりは、狙われるのが人間ですから、どれだけ免疫力を付けておくかがポイントになってきます。具体的には
- (1)不正メールに何パーセントくらいの確率で従業員が気付けるか
- (2)担当部署にエスカレーションが確実に行えるか
- (3)担当部署は攻撃メールを分析し、被害範囲を迅速に特定できるか
などが考えられます。こればかりは、シミュレーション型の訓練を定期的に実施し、「脅威を体験」することで各従業員が脅威への対処方法を体得することが現状の最善策かと思います。
