目次:
コンピューターネットワークへの攻撃はもはやニュースではありませんが、サイバーセキュリティの懸念を次のレベルに引き上げる別の種類の攻撃があります。 これらの攻撃は、高度な持続的脅威(APT)と呼ばれます。 過去数年間に発生した有名なケースのレビューで、日常の脅威とどのように異なるのか、なぜそれほど大きな損害を与えることができるのかをご覧ください。 (背景を読むには、技術の5つの恐ろしい脅威をご覧ください。)
APTとは何ですか?
高度な持続的脅威(APT)という用語は、標的に対する持続的なサイバー攻撃を実行するための実質的な手段、組織、および動機を持つ攻撃者を指します。
驚くことではないが、APTは高度で、持続的で、脅迫的です。 ステルスおよび複数の攻撃方法を使用してターゲット(多くの場合、価値の高い企業または政府のリソース)を侵害するため、高度です。 また、このタイプの攻撃は、特定の攻撃者を検出、削除、および特定することが困難です。 さらに悪いことに、標的が突破されると、多くの場合、攻撃者が侵入先のシステムに継続的にアクセスできるようにバックドアが作成されます。
APTは、攻撃者がターゲットに関するインテリジェンスを収集するために数か月を費やし、そのインテリジェンスを使用して長期間にわたって複数の攻撃を開始できるという意味で、永続的であると見なされます。 加害者は、多くの場合、原子力発電所のレイアウトや米国の防衛請負業者に侵入するためのコードなど、非常に機密性の高い情報を求めているため、脅威となっています。
APT攻撃には通常、3つの主要な目標があります。
- ターゲットからの機密情報の盗難
- ターゲットの監視
- ターゲットの妨害
APTの加害者は、多くの場合、信頼できる接続を使用してネットワークおよびシステムにアクセスします。 これらの接続は、たとえば、スピアフィッシング攻撃の餌食になる同情的なインサイダーまたは無意識の従業員を介して検出される場合があります。
APTはどのように違いますか?
APTは、他のサイバー攻撃とは多くの点で異なります。 まず、APTは、標的組織に侵入するために特別に設計されたカスタマイズされたツールと脆弱性エクスプロイト、ウイルス、ワーム、ルートキットなどの侵入手法を使用することがよくあります。 さらに、APTは複数の攻撃を同時に開始してターゲットを突破し、ターゲットシステムに継続的にアクセスできるようにします。ターゲットをだまして攻撃を撃退したと思わせることもあります。
第二に、APT攻撃は長期間にわたって発生し、その間、攻撃者はゆっくりと静かに動き、検出を避けます。 典型的なサイバー犯罪者によって開始される多くの攻撃の迅速な戦術とは対照的に、APTの目標は、攻撃者が定義された目標を達成するまで継続的な監視と対話で「ゆっくりと」移動することで検出されないようにすることです。
第三に、APTはスパイ活動や妨害活動の要件を満たすように設計されており、通常は隠れた国家主体が関与します。 APTの目的には、軍事、政治、または経済の情報収集、機密データまたは企業秘密の脅威、操作の中断、または機器の破壊さえ含まれます。
第4に、APTは限られた範囲の非常に価値のあるターゲットを対象としています。 APT攻撃は、政府機関と施設、防衛請負業者、およびハイテク製品の製造業者に対して開始されました。 国家インフラストラクチャを維持および運用する組織および企業も、ターゲットになる可能性があります。
APTのいくつかの例
オーロラ作戦は、最初に広く公表されたAPTの1つでした。 米国企業に対する一連の攻撃は高度で標的を絞ったステルス攻撃であり、標的を操作するように設計されていました。2009年半ばに行われた攻撃は、Internet Explorerブラウザーの脆弱性を悪用し、攻撃者がコンピューターシステムにアクセスし、それらのシステムにマルウェアをダウンロードできるようにしました。 コンピューターシステムはリモートサーバーに接続され、Google、Northrop Grumman、Dow Chemicalなどの企業から知的財産が盗まれました。 (悪意のあるソフトウェアの他の有害な攻撃について読む:ワーム、トロイの木馬、ボット、オーマイ!)
Stuxnetは、サイバー攻撃を使用して物理インフラストラクチャを破壊した最初のAPTでした。 Stuxnetワームは、米国とイスラエルによって開発されたと考えられており、イランの原子力発電所の産業用制御システムを標的にしました。
Stuxnetはイランの核施設を攻撃するために開発されたように見えますが、意図した目標をはるかに超えて広がり、米国を含む西側諸国の産業施設に対しても使用される可能性があります。
APTの最も顕著な例の1つは、コンピューターとネットワークのセキュリティ会社であるRSAの違反です。 2011年3月、RSAは従業員を狙ったスピアフィッシング攻撃に突入し、サイバー攻撃者に大きな被害をもたらしました。
2011年3月に顧客が会社のWebサイトに投稿したRSAへの公開書簡で、Art Coviello会長は、洗練されたAPT攻撃により、リモートワーカーが会社のネットワークに安全にアクセスするために使用するSecurID 2要素認証製品に関連する貴重な情報を抽出したと述べました。
「現時点では、抽出された情報では、RSA SecurIDのお客様に直接攻撃が成功することはないと確信していますが、この情報は、現在の2要素認証の実装の有効性を、より広範な攻撃」とコビエッロは言った。
しかし、アメリカの防衛大手ロッキードマーティンを含む多数のRSA SecurIDトークンの顧客がRSA違反に起因する攻撃を報告したため、Covielloはそれについて間違っていました。 損傷を制限するために、RSAは主要顧客のトークンを交換することに同意しました。
APTはどこですか?
1つ確かなことは、APTが継続されることです。 盗むべき機密情報がある限り、組織化されたグループはそれを追跡します。 そして、国家が存在する限り、物理的またはサイバーのスパイ行為と妨害行為があります。
2011年秋に発見されたDuquと呼ばれるStuxnetワームへのフォローアップが既にあります。寝台エージェントのように、Duquは重要な産業システムに迅速に組み込まれ、インテリジェンスを収集して時間を費やしています。 将来の攻撃の弱点を見つけるために設計文書を調査しているので安心してください。
21世紀のセキュリティの脅威
確かに、Stuxnet、Duquおよびその相続人は、政府、重要なインフラストラクチャオペレーター、および情報セキュリティの専門家をますます悩ませるでしょう。 21世紀の日常生活の日常的な情報セキュリティの問題と同様に、これらの脅威を真剣に考える時が来ました。
