2014年から2015年前半にかけてのAPT:地滑り的な変化が進行中か

2015年7月14日

2015年も半分が過ぎました。この1年半の間に新しいAPT(Advanced Persistent Threat)活動が数多く見つかりましたが、その中でも2015年に報告された2つのAPTから、地滑り的な変化が起こりつつある様子が見えてきます。

まず地図を確認

APTをリアルタイムでモニタリングするビジュアルツール『Targeted Attacks Logbook』を見てみましょう。

このツールはAPTの活動状況を表すインタラクティブマップです。昨年よりも現在の方が、軍艦が密集しているようです(実際に発見されたのは2014年でも、今年に入ってから報告されたAPTが多かったのは確かですが)。下の画像をご覧ください。

apts2014-1024x503

これは2014年にLogbookを初めて発表したときの状況です。

apts2015-1024x505

これが現時点の状況です。

「軍艦」の色は、APTの被害者数を示しています。ご覧のとおり、ほとんどは緑から水色の範囲に収まっていますが、2015年第1四半期に公表されたDesert Falconsは、5,000件もの標的を攻撃した可能性があります。

2015年第1四半期には、Falconsの他に以下の3つのAPTが確認されました。

Equation APT – APTの「母艦」「デススター」とも言える、サイバースパイ活動の大規模フレームワークです。活動期間は12年ほどと考えられています(最新のデータによると、最初にサンプルが検知されたのは2002年ですが、それ以前から存在していた可能性があります)。

Carbanak – 史上初の犯罪目的のAPTです。最初で最後になることはないでしょう。

Animal Farm – フランス語話者によるサイバースパイ活動です。こちらも非常に活動期間の長い大規模なAPTであり、標的数は最大5,000件に上ります。

第1四半期が終わってから、さらに数件のAPTが発表されました。Hellsing APT(別のAPT集団であるNaikonに反撃したことで存在が明らかになった)、CozyDuke、SpringDragon、そして当社Kaspersky Lab:-)を標的としたDuqu 2などです。

それから、Grabitが登場しました。

一見したところAPTは、もっぱら重要度の高い政治(または地政学)上のグレーゾーンに関係しているかのようです。こういった活動のほとんどは、活動規模の大小に関わらず、世界的に重要な情報を収集するという明白な企てのもとで大規模組織を標的としています。そして標的となるのは、たいていが政府組織や大使館であり、さまざまな業界の大手企業です。

そしてCarbanakとGrabitが登場

この2つのAPTは大きく異なりますが、共通点もあります。これまでのAPTの型にはまった活動をしないところです。

Carbanakは、史上初の犯罪目的のAPTです。政治とは無関係で、目的は重要なデータの抽出ではなく、銀行から金銭を盗むことです。

一方、Grabitはスパイ活動です。厳密にはAPTではありませんが、APTと同じような目的を持っています。標的はほぼ中小企業に限られます。

この2つの点を結ぶ線はあるのでしょうか?おそらくないでしょう。しかし、それぞれから予測される将来は、「商業化と犯罪化」という1つの傾向を示しています。

端的に言うと、犯罪者は収益を目当てにAPTの手法や技術を使うようになり、大規模組織からより小さな(そして攻撃に弱い)組織へと徐々に標的を移しつつあります。

しかしそれは、大企業を狙ってサイバースパイ行為を働くAPTが、すぐになくなるという意味ではありません。さまざまな規模や業種の企業にとってAPTの手法が脅威となってくる、という話です。実際に、業種や規模はあまり関係ありません。引き出せる現金があるとわかれば、犯罪者は無差別かつ無節操に攻撃を仕掛ける傾向にあります。

こういった犯罪の標的となる可能性は、あらゆる企業にあります。標的を絞った高度な攻撃かもしれませんし、無差別で行き当たりばったりの攻撃かもしれません。しかし、攻撃を受けることと被害者になることは別問題です。Kaspersky Labでは、さまざまな規模の企業に対応可能な法人向けセキュリティ製品をご用意しています。