情報セキュリティマネジメント試験 用語辞典
単なる標的型攻撃と異なる点は準備や攻撃が長い期間に渡って行われる点である。最初にメールや外部メディア等で組織内部の従業員(組織の幹部を含む)の端末への不正侵入を試み、そこから組織の内部へ更に入り込んでいくなど目的達成のために数か月から数年にわたって攻撃が継続する。最終的には組織にとって非常に重要な情報(知財情報や個人情報)を盗み出すことなどを目的とする。
- 別名:
- 持続的標的型攻撃/ターゲット型攻撃
- 分野:
- 情報セキュリティ » サイバー攻撃手法
- 出題歴:
- 28年春期問19
- 重要度:
(Wikipedia APT攻撃より)
APT攻撃(英:Advanced Persistent Threat)はサイバー攻撃の一分類であり、標的型攻撃のうち「進んだ/高度な(Advanced)」「持続的な/執拗な(Persistent)」「脅威(Threat)」をいう。
「持続的標的型攻撃」と訳されたり、「ターゲット型攻撃(APT)」と訳されており、訳語が統一されているわけではない。
独立行政法人 情報通信研究機構(NICT)のサイバー攻撃対策総合研究センター(CYREC)では「特定の相手に狙いを定め、その相手に適合した方法・手段を適宜用いて侵入・潜伏し、数か月から数年にわたって継続するサイバー攻撃」としている。
経緯
特定の組織内の情報を窃取するためのコンピュータウイルスやマルウェアが標的型脅威(Targeted threat)と分類され、これらを用いるサイバー攻撃が標的型攻撃と呼ばれるようになり、無差別に行われる他のサイバー攻撃と区別していた。
2005年7月には、標的型攻撃の中でも、高度な技術を駆使するものについての警告がイギリスのUK-NISCCとアメリカのUS-CERTから発行された
。ただし、当時はまだAPT(Advanced Persistent Threat)という用語は用いていなかった。
最初にAPT(Advanced Persistent Threat)という用語を用いたのは、2006年、アメリカ空軍においてであったという。正体不明の敵による攻撃について論じる際に、この用語は適していたという。
今日、APT攻撃は、標的型攻撃の中で区別されるようになっている。
2010年1月、Googleの中国拠点等において発生した「オーロラ作戦(Operation Aurora)」という一連の攻撃事件が話題になった。
2010年6月、中東の原子力施設を狙った「スタックスネット(Stuxnet)」というコンピュータワームが発見された。
2010年12月に独立行政法人 情報処理推進機構(IPA)から内容的にAPT攻撃についてのレポートが公開された。
2013年4月に独立行政法人 情報通信研究機構(NICT)が設立した「サイバー攻撃対策総合研究センター(CYREC)」の設立理由の筆頭に、このAPT攻撃が記述されている。
攻撃プロセス
攻撃プロセスは、次のように整理できる 。
- 初期侵害(Initial Compromise):バックドア不正プログラム投入(通常の標的型攻撃)
- 拠点確立(Establish Foothold):バックドアとの通信を確立、追加機能投入
- 権限昇格(Escalate Privileges):パスワードクラック、パス・ザ・ハッシュ(Pass the hash)等
- 内部偵察(Internal Reconnaissance):イントラネット構成調査
- (水平展開(Move Laterally):イントラネット内を移動)←反復
- (存在維持(Maintain Presence):バックドアの追加設置等)←反復
- 任務遂行(Complete Mission):情報の窃取(ファイル圧縮・ファイル転送等)
緩和戦略
イントラネットの設計・構築・運用管理において、多層防御を行う必要がある。
- 潜入しているマルウェア(遠隔操作ツール RAT)を発見するためには、そのRATが行うネットワーク内外への通信を捉えることが重要である。
- クライアントPCについて、Windows標準のセキュリティ機能(ZoneID、AppLocker等)を設定することによって、メール添付ファイルの実行を抑止できる。
- マルウェアを検出したクライアントPCをネットワークから自動遮断するソリューションを活用することができる。
- スーパーユーザーのアクセス権限の設定において、アイデンティティ管理ソリューションの、いわゆる特権ID管理ソリューションを活用することができる。
- 攻撃者が心理的に「内部偵察」しにくいようにイントラネットのシステムを設計し、攻撃者の「内部偵察」活動を発見するための「トラップ(罠)」を設置し、システム管理者が「水平展開」活動に早期に気付くことができるようにする必要がある。
- 攻撃の痕跡をデータログに捕捉できるようにサービスや機器を設定する。
- 各システムのデータログを関連付けて把握し易くするためにはSIEM(Security Information and Event Management)ツールを導入する。その前提として、各システムの時計を同期させておく必要がある。
組織内にCSIRT(Computer Security Incident Response Team)を編成し、運営する。
出題例
- 攻撃者はDoS攻撃及びDDoS攻撃を繰り返し組み合わせて,長期間にわたって特定組織の業務を妨害する。
- 攻撃者は興味本位で場当たり的に,公開されている攻撃ツールや脆弱性検査ツールを悪用した攻撃を繰り返す。
- 攻撃者は特定の目的をもち,特定組織を標的に複数の手法を組み合わせて気付かれないよう執拗(よう)に攻撃を繰り返す。
- 攻撃者は不特定多数への感染を目的として,複数の攻撃を組み合わせたマルウェアを継続的にばらまく。
正解
- 総当たり攻撃
- 辞書攻撃
- パスワードリスト攻撃
- レインボーテーブル
- サイドチャネル攻撃
- クロスサイトスクリプティング
- クロスサイトリクエストフォージェリ
- クリックジャッキング
- ドライブバイダウンロード
- SQLインジェクション
- ディレクトリトラバーサル
- ディレクトリリスティング
- OSコマンドインジェクション
- 中間者攻撃
- MITB攻撃
- 第三者中継
- DNSキャッシュポイズニング
- DNS水責め攻撃
- IPスプーフィング
- セッションハイジャック
- セッションID固定化攻撃
- リプレイ攻撃
- DoS攻撃
- DDoS攻撃
- EDoS攻撃
- メールボム
- 標的型攻撃
- APT
- 水飲み場型攻撃
- フィッシング
- ワンクリック詐欺
- スミッシング
- ゼロデイ攻撃
- テンペスト攻撃
- ポートスキャン
- ダウングレード攻撃
- フットプリンティング
- SEOポイズニング
- 情報セキュリティの考え方(10)
- 情報セキュリティの重要性(2)
- 脅威(23)
- 脆弱性(2)
- 不正のメカニズム(1)
- 攻撃者の種類(3)
- 攻撃の動機(1)
- サイバー攻撃手法(38)
- 暗号技術(11)
- 認証技術(5)
- 利用者認証(8)
- 生体認証技術(3)
- 公開鍵基盤(6)
このページのWikipediaよりの記事は、ウィキペディアの「APT攻撃」(改訂履歴)の記事を複製、再配布したものにあたり、このページ内の該当部分はクリエイティブ・コモンズ 表示 - 継承 3.0 非移植 ライセンスの下 に提供されています。