APTについて知っておくべきこと

2013年11月21日

最近、私たちの日常の活動を侵害するマルウェアがよく話題になっています。一部のマルウェアは他よりも危険度が高く、個人ユーザーも企業も標的とされます。企業も攻撃を受けていますが、それは企業活動に欠かせない要素である知的財産が狙われているためです。コンピューター世界に存在する脅威の中でも特に危険な攻撃、それがAPT(Advanced Persistent Threat)なのです。私たちはアムステルダムで開催のRSA Conference Europe 2013で、WebSenseのセキュリティストラテジストであるニール・サッカー(Neil Thacker)氏、Alien Vault Labsのディレクターであるジェイミー・ブラスコ(Jaime Blasco)氏、そしてKaspersky LabのGlobal Research and Analysis Team(GReAT) ディレクターであるコスティン・ライウ(Costin Raiu)に話を聞きました。彼らとともに、APT攻撃の特徴と、企業や個人が身を守る方法を紐解いていきます。

APT

「Advanced Persistent Threats」を直訳すると、「高度で執拗な脅威」となります。何とも恐ろしい名前ではありませんか?「Advanced」(高度)というのは、こうした攻撃に使われるのが、通常のサイバー犯罪に用いられるものより洗練されたツールだからです。「Persistent」(執拗)とされている理由は、企業内に作成された侵入口が数か月間、場合によっては数年にわたって存続するためです。APT攻撃では主に企業が標的にされますが、個人ユーザーも安全というわけではありません。あなたはサイバー犯罪者にとって魅力ある標的ではないかもしれませんが、企業で重要なポジションに就いているあなたの友人や家族を狙うために、あなたを利用できる可能性があるのです。こうした攻撃によって発生する被害は、単純なマルウェアで生じる被害よりもはるかに深刻です。ニール・サッカー氏は、「攻撃者はさまざまなベクトル、さまざまな種類のエクスプロイト、多種多様なぜい弱性を利用して、企業の機密データにアクセスしようとします」と説明します。しかし、サイバー犯罪者はこうした攻撃で実際に何を標的としているのでしょうか?

主な標的は知的財産

ほとんどの企業は重要なデータを自社のネットワークに保存しています。特許、革新的なデザイン、モデル、機密情報や社外秘のデータまで、あらゆるものが企業ネットワークに保存されます。APTの主な標的は知的財産です。攻撃者は機密データにアクセスできる社員(できればセキュリティ問題に対する意識が低い人)を特定して、ネットワークに侵入し、その社員のコンピューターから送受信されるすべてのデータを収集しようとします。ジェイミー・ブラスコ氏は、「この種のデータを社内に保存している企業は、こうした脅威に注意を払うとともに、知的財産を保護するために必要な手段を総動員しなければなりません」と警告しました。しかし、犯罪者の活動はスパイ行為にとどまらない場合もあります。深刻な被害を発生させ、標的企業の機能を完全に麻痺させる恐れもあるそうです。Kaspersky LabのGReAT ディレクター、コスティン・ライウは次のように説明しました。「こうした攻撃が企業活動に直接的な損害をもたらしたケースもありました。たとえば、石油企業のSaudi Aramcoに対する攻撃です。昨年8月のこの標的型攻撃で、同社のコンピューター30,000台が使えなくなってしまいました。確かに、最も頻繁に標的になるのは知的財産ですが、企業ネットワーク全体を麻痺させて企業活動を完全に停止させることが攻撃の目的という場合もありますし、攻撃の結果そういった状況が生まれることもあるのです」。こうして浮き彫りになった事実を前に、企業はAPT攻撃からどのようにして自社を防衛すればいいのでしょうか。また、どんなツールを使うべきでしょうか。

特効薬はなくても対抗手段はある

まず知っていただきたいのは、3人のエキスパートが指摘するとおり、「特効薬的な」解決策はないということです。しかし、この3人から、リスクを最小限に抑えるためのアドバイスを聞くことができました。

「こうした脅威から身を守るためには、もちろんプロテクション技術も必要ですが、私に言わせれば、プロセス、技術、人間の行動を組み合わせたものが解決策です。予防的対策と教育こそが最も重要な要素なのです」ジェイミー・ブラスコ氏

ジェイミー・ブラスコ氏は、「魔法のレシピ」はないとしても、一定の行動様式とプロセスを採用するべきだと主張します。「こうした脅威から身を守るためには、もちろんプロテクション技術も必要ですが、私に言わせれば、プロセス、技術、人間の行動を組み合わせたものが解決策です。予防的対策と教育こそが最も重要な要素なのです。」コスティン・ライウは次のように付け加えました。「APTの被害者を分析することも非常に有用です。分析の結果、APT攻撃の95%が、セキュリティ基準があまり厳しくない企業を標的としていることがわかりました。このような企業は、セキュリティという観点でのリスクや慣行を理解していないことに加え、最新のパッチをインストールしておらず、アンチウイルスソフトウェアも使用していません。それが侵入を受けてしまう原因です。企業は何よりもまず、最新のパッチを適用して最新のオペレーティングシステムを使用し、安全性の高いブラウザー(ChromeFirefoxなど)を最新のパッチをインストールした状態で使用する必要があります。また、ユーザーの教育も必要です。これらの要素をすべて集めることができたなら、標的型攻撃からの防御を強化できるでしょう」。ニール・サッカー氏は「特定の社員を教育することも不可欠です」としています。この教育は組織内のすべてのレベルで実施する必要があります。サイバー犯罪者を甘く見るべきではありません。あなた自身がリスクを理解し、必要な予防手段をすべて実施したとしても、攻撃者はあっさりと標的を変え、より意識の低いパートナーを利用してあなたに近づこうとするでしょう。

結論として、企業が価値あるデータを保有している限り、標的型攻撃やAPTは存在し続け、規模を拡大していくと見て間違いないでしょう。奇跡のような解決策はありません。しかし、予防措置と社内教育がセキュリティ強化への第一歩だと思われます。100%の安全というものはまだ存在しないため、常に警戒が必要であるということを強く意識しなければなりません。