サイバーセキュリティ 
組織内の重要なアカウントを不適切に共有してしまうと、
APT攻撃(高度標的型攻撃)は、特定の組織や国家に対して、長期間にわたり隠密かつ高度な方法で継続的に攻撃を仕掛けるサイバー攻撃のことです。
これらの攻撃は、特に企業、組織や国家に継続的に隠密な方法で仕掛けられるため、検知しにくく、とても巧妙です。
このブログでは、そんなAPT攻撃とは、APT攻撃の手口や、APT攻撃から身を守る対策方法をご紹介します。
KeeperPAM™(特権アクセスマネージャー)で企業内の
セキュリティを可視化し、企業の安全を支えます!
APT攻撃とは?
APT攻撃(高度標的型攻撃)は、ある特定の組織や個人をターゲットとして実行されるサイバー攻撃です。APTとは英語表記のAdvanced Persistent Threatから来ており、「先進的で(Advanced)、執拗な(Persistent)、脅威(Threat)」の頭文字を取った言葉であり、日本では「高度標的型攻撃」とも呼ばれます。特に金融、軍事、政府機関などの機密情報を握っている組織に対して長期間にわたり隠密かつ高度な方法で継続的に仕掛けられる傾向があります。
APT攻撃の主な特徴は以下の通りです。
- 高度な手法: 攻撃者は、標的のセキュリティシステムを回避するために、高度なハッキング技術、マルウェア、ゼロデイ攻撃などを使用します。
- 持続性: APT攻撃は一時的なものではなく、攻撃者は標的のネットワーク内に長期間潜伏し続けることが多いです。目的は機密情報の窃盗、スパイ活動、システム破壊など様々です。
- 目標指向性: 攻撃者は、特定の組織やそのインフラに関する詳細な情報を収集し、標的に合わせた攻撃を計画します。
- 隠密性: 検出されることなく活動を続けるために、攻撃者は通信の暗号化、マルウェアの変更、ログの消去など、多様な手法を用います。
なぜAPT攻撃が危険なのか?
多くのサイバー攻撃は特定の個人や組織を狙うことに特化しており、標的の機密情報が流出し、信用を損ねたり、経済的損害を与えたりすることが主な目的です。
ですが、APT攻撃は国家の策略やスパイ行為として仕掛けられることもあります。そのため、大規模な資金、専門知識、技術的リソースを攻撃に投入することができます。
その結果、重要な国家や組織の技術や情報を抜き取り、改ざんされたりする可能性があります。
例えば、大企業の革新技術の情報や国の防衛に関する情報など窃取され、被害の範囲が広がった場合、国民全体の安全を脅かす可能性を持ちます。
そのため、APT攻撃から身を守ることはとても大切です。
APT攻撃の4つの攻撃ステップ
APT攻撃(高度標的型攻撃)の手口は多岐にわたり、攻撃者は綿密に計画された一連のステップを通じて標的の組織や国家のネットワークに侵入し、目的を達成します。典型的な高度標的型攻撃の手口には以下のようなステージが含まれます。
1. 情報収集と偵察
攻撃者は、公開情報の検索やソーシャルエンジニアリングを用いて標的に関する情報を収集します。この段階では、標的組織のネットワーク構造やセキュリティシステムの弱点を探ります。
2. 侵入と権限昇格
収集した情報を基に、フィッシングメール、悪意のあるウェブサイトへのリンク、ゼロデイ脆弱性などを利用して標的のネットワークに侵入します。その後、権限昇格を試みてシステムやデータへのアクセス権を広げます。
3. ネットワーク内での展開
ネットワーク内部に確実に足場を築いた後、攻撃者はバックドアの設置やマルウェアの更新を通じて、長期間にわたって潜伏し続ける基盤を確立します。さらに、ラテラルムーブメント(横方向の移動)を駆使することで、内部の他のシステムへのアクセスを拡大し、標的組織のセキュリティ対策を巧みに回避します。この戦術により、攻撃者はネットワーク内のさまざまな資源に対するコントロールを強化し、より多くの機密情報にアクセスするための機会を増やします。
4. データ収集と外部送信
攻撃者は、機密情報や知的財産など、目的とするデータを探索し収集します。収集したデータは暗号化された通信を介して外部のサーバーに慎重に転送されます。
データを送ったあとは、送信したことの証拠を消す作業を行います。
このような手順により、APT攻撃はとても巧妙に行われ、攻撃者はばれることなく長期間にわたってこっそりと活動を続けることが可能です。
APTの入口となる攻撃
APT(高度標的型攻撃)攻撃の入口となる代表的な攻撃手法には、次のようなものがあります。
フィッシング
フィッシング攻撃は、偽のメールを使ってユーザーから機密情報を騙し取ったり、悪意あるリンクをクリックさせてマルウェアをインストールさせる手法です。この攻撃は、個人の識別情報やログイン情報の窃盗を目的としており、APT攻撃の初期段階で利用されます。
サプライチェーン攻撃
サプライチェーン攻撃は、攻撃者は標的組織のサプライチェーンに組み込まれている第三者のソフトウェアやサービスを標的とします。信頼されているサプライヤーやパートナー経由でマルウェアを配布することで、標的組織のセキュリティ対策を迂回し、ネットワークへのアクセスを確立します。
ゼロデイ攻撃
ゼロデイ攻撃は、公にはまだ知られていないソフトウェアの脆弱性を悪用するものです。これらの攻撃は、セキュリティ対策がまだ準備されていない脆弱性を利用するため、非常に効果的です。APT攻撃者はこれらを利用して初期の侵入を行い、長期間にわたって潜伏を続けます。
ソーシャルエンジニアリング
ソーシャルエンジニアリングは、騙しや誤解を招くことで人々に特定の行動をとらせる手法です。攻撃者は、信頼を構築したり、恐怖や緊急性を植え付けることで、標的の従業員を騙して機密情報の開示や悪意のある行為をさせます。これにより、物理的なセキュリティ対策やデジタルセキュリティ対策を迂回することが可能になります。
これらの攻撃手法は、APT攻撃の入口として一般的に利用され、攻撃者が標的のネットワーク内に侵入し、その後の活動のための基盤を築くための手段となります。
APT攻撃から企業や組織を守る方法
高度標的型攻撃(APT攻撃)は非常に巧妙で持続的なサイバー攻撃であり、対策には多層的なセキュリティアプローチが必要です。以下にAPT攻撃から身を守るための具体的な方法を挙げます。
1. 組織内で最小権限の実施
最小特権の原則の適用は、APT攻撃から身を守る対策の一つです。この原則に従って、アプリケーションやユーザーがデータベースにアクセスする際には、その目的に本当に必要な権限だけを持つアカウントを使用するようにします。例えば、あるアプリケーションがデータベースから情報を読み取るだけの場合は、そのアプリケーションにはデータの読み取り権限のみを与え、書き込みや削除の権限は与えないようにします。これにより、役割と権限を定義するために、役割ベースのアクセス制御 (RBAC)を詳細に設定が可能になり、よりAPT攻撃のリスクを低減することができます。
2. 多要素認証の設定
多要素認証(MFA)は、組織のネットワークにアクセスする際に複数の認証要素を必要とするセキュリティプロトコルです。 認証要素は、ユーザーが知っていること、ユーザーが所有するもの、あるいはユーザー本人ということになります。 MFAを有効にすると、ユーザーは通常、ログイン認証情報に加えてワンタイムコードなどの追加の識別情報を提供します。
組織は、特権アカウントへのアクセスにMFAを要求して追加のセキュリティレベルを提供し、許可されたユーザーのみがこれらのセンシティブなアカウントにアクセスできることを徹底させる必要があります。 サイバー犯罪者は特権アカウントへのアクセスに必要な追加の認証を提供できないため、APT攻撃の脅威から組織を保護します。
3. ゼロトラストを実施する
ゼロトラストとは、すべてのユーザーとデバイスが継続的に認証され、ネットワークシステムやデータへのアクセスを制限するセキュリティのフレームワークです。 何も信頼せず、すべてのデバイスが侵害されたことを前提にしています。 ゼロトラストは、3つの原則に基づいています。
- 漏洩を想定:ゼロトラストは、人間であれ機械であれ、組織のネットワークに侵入しようとするすべてのユーザーには漏洩の可能性があり、セキュリティ侵害につながると想定します。
- 明示的に検証:ゼロトラストでは、すべての人間と機械は、組織のネットワークやシステムにアクセスする前に、自分が何者であるかを証明する必要があります。
- 最小特権の確保:ユーザーに組織のネットワークへのアクセスが許可されると、ユーザーには自分の職務遂行のためだけに必要なアクセス権が与えられます。
ゼロトラストのフレームワークに従うことで、組織は攻撃対象領域を縮小し、サイバー犯罪者がネットワークに初期アクセスを獲得するのを防ぐことができます。 また、ゼロトラストを導入すると、サイバー犯罪者は検出されずにAPT攻撃することが難しくなります。
4. PAM ソリューションに導入する
PAM(特権アクセス管理)ソリューションは、非常にセンシティブなデータやシステムにアクセスする権限を持つアカウントを管理し、保護するツールです。 PAMソリューションを使用すると、組織はデータインフラ全体を完全に可視化し、各ユーザーのセンシティブデータへのアクセスを制御できます。 また、PAMソリューションは、組織が従業員のパスワード慣行の実態を把握することも可能にします。 組織は、従業員が強力なパスワードを使用してアカウントを保護し、パスワードの共有は許可されたユーザーのみであることを徹底させることができます。
5. 教育とトレーニング
従業員を対象とした定期的なセキュリティ教育とトレーニングは、APT攻撃への防御力を高める上で不可欠です。
特にAPT攻撃の入口として、フィッシングやソーシャルエンジニアリングを攻撃者が用いることもしばしばあります。そのため、ソーシャルエンジニアリングの詐欺とは何か、そしてそれをどう識別するかについて、毎月トレーニングを行うことが大切です。
従業員がフィッシングメールを見分け、怪しい行動やリンクのクリックを避けるよう教育することが重要です。
6. ソフトウェアを最新の状態に保つ
サイバー犯罪者は、組織のセキュリティインフラ内に見つかったセキュリティの脆弱性を悪用するゼロデイ攻撃などを用いて、攻撃の入り口を探しています。 多くの場合、犯罪者らは、古いバージョンのソフトウェアに見受けられる脆弱性を探し出します。 組織は、ソフトウェアを常に最新の状態に保ち、セキュリティ上の欠陥に対するパッチの適用や、デバイスをより安全に保護するセキュリティ機能の追加を行う必要があります。 これにより、APT攻撃の被害に遭うリスクを軽減できます。
これらの方法は、APT攻撃に対する防御策の一部に過ぎませんが、APT攻撃はとても高度で検知しにくいため特権管理ソリューションを活用することが需要です。
これにより、組織はAPT攻撃によるリスクを大幅に軽減し、攻撃者がシステム内で自由に動き回り、重要な情報にアクセスすることを防ぐことができます。
まとめ:Keeperで組織内部に仕掛けられるAPT攻撃(高度標的型攻撃)を対策しよう
APT攻撃は、その巧妙さと持続性により、多くの組織や国家が直面する最も深刻なセキュリティ上の脅威の一つです。
APT攻撃を放置すると、サイバー犯罪者は非常にセンシティブなデータへの特権アクセスを獲得し、組織の最も貴重な資産を盗むことが可能になってしまいます。 組織は、最小特権アクセスとゼロトラストセキュリティを実装するために、PAMソリューションに投資することが望ましいです。
PAMソリューションがあれば、組織は特権アカウントの管理やセンシティブデータにアクセスするユーザーのモニタリング、センシティブデータを保護するためのセキュリティ対策の導入が可能になります。KeeperPAM™は、エンタープライズパスワードマネージャー(EPM)、Keeper シークレットマネージャー(KSM)、そしてKeeperコネクションマネージャー(KCM)という3つを組み合わせた、ゼロトラストおよびゼロ知識暗号化された特権アクセス管理ソリューションです。 KeeperPAMは、組織が攻撃対象領域を縮小させ、APT攻撃による脅威からセンシティブデータを保護するのに役立ちます。
まずは無料体験版のデモをリクエストしてお試しください。
