APTとは?

2013年6月18日

APTとは「Advanced Persistent Threat」の略です。この言葉は、ニューヨークタイムズに対する数か月にわたる攻撃活動を詳細に記述した同メディア機関の暴露記事を受けて有名になりました。この攻撃活動は、中国軍の部隊が一連のスピアフィッシングメールとカスタマイズされた大量のマルウェアサンプルを使用してニューヨークタイムズのネットワークに侵入したもので、現在この部隊は「APT 1」として知られています。

apt-title

APTには2つの見方があります。事象としてのAPTと、人々としてのAPTです。一方では、APTは精密なサイバー攻撃の一種です。他方では、こうした精度の高い攻撃の開始を仕掛けるグループ(国家または別経路の資金援助を得ていることが多い)を意味することもあります。

APTは実際のところ、直観的に想像するものとは少し違っています。一般的なサイバー犯罪者やマルウェア拡散をたくらむ人々が何を目標とするのか想像したとき、ふつうイメージするのは、できるだけ多くのコンピューターに感染して、認証情報を盗んだり、ボットネットを構築したり、その他悪意あるソフトウェアをダウンロードさせたりすることではないでしょうか。狙いがお金であれ、計算リソースであれ、網を広く張れば張るほど手に入れる機会は増えます。一方、APTを利用する攻撃者は、特定の人々のマシンを感染させることに関心を寄せています。

大切なのは、APTの標的となる可能性があるのはCEOだけではないということです。インターネットに接続しているほとんどすべての人々がターゲットになり得るのです。

APTスタイルの攻撃の最終的な目標は、何らかの重要な情報が保存されたマシンのセキュリティを侵害することです。たとえば、攻撃者が著名企業の最高経営責任者(CEO)や最高情報責任者(CIO)のマシンに対してキーロガーをダウンロードしたり、バックドアをインストールしたりできれば、その攻撃は間違いなく成功といえます。ただ、こうした人々を計略でだますには、ずいぶんと早起きする必要があるでしょう。彼らに手抜かりはありません。セキュリティのためのチームとツールが彼らを守っています。言い換えれば、こうした企業の個人のコンピューターに不正侵入するのは単純に難しすぎます。

そこでAPTを仕掛ける犯罪者たちは、CEOを標的にする代わりに、コピーライターやグラフィックデザイナーなど、少し下の従業員に狙いを定めることがよくあります。こうした従業員のマシンには特別に貴重な情報はないかもしれませんが、価値あるデータを持つマシンと同じネットワーク上にあり、重要なマシンへの感染の足掛かりとして使える可能性があります。要するに、コピーライターのマシンに不正侵入してその電子メールアドレスを入手し、それを使ってCEOにスピアフィッシングを仕掛けるということです。

とはいえ、この方法も、企業が法人向けセキュリティ製品や従業員に対する教育への投資を続けるなか、多くの場合は非常に難しいことがわかっています。そこで犯罪者たちは、最後の手段として、非常に漠然とした標的を選んで攻撃し、感染を重ねていって最終的に重要なデータを得ようとしています。たとえば、あなたの大叔父がボーイング社の重要人物であるか、あなたが非常に特殊な設計会社でエンジニアとして働いており、その会社がボーイング社のジェット旅客機で使用される排気用の構成部品を開発しているとします。ハッカーは、最終的に秘密を得るための情報漏えいにつながる出発点として、まずはあなたを標的にするかもしれません。

大切なのは、APTの標的となる可能性があるのはCEOだけではないということです。インターネットに接続しているほとんどすべての人々がターゲットになり得るのです。

6月の初め、Kaspersky Labのアナリストは、40か国の外交官や軍事請負企業、政府機関を標的に5年以上の期間にわたって行われてきた、「NetTraveler」と呼ばれるAPTスタイルのスパイ行為について明らかにしました。この攻撃は多くのAPTスタイルの攻撃と同様に、Microsoftの既知のぜい弱性を攻撃するスピアフィッシングメールから始まりました。最終的に攻撃者は、システム情報の抽出やキーロガーのダウンロード、Office文書(Word/Excel/PowerPointファイル)の窃盗などが可能なツールを展開しましたが、このツールは製造業や防衛産業で利用されるCorelDRAWやAutoCADなどのファイルを盗み出すように設定変更することも可能でした。この攻撃は、重要な秘密が含まれる個人や組織のコンピューターだけを標的にしたものですから、APTだと考えるべきでしょう。先に述べたように、APTという用語はハッカーや攻撃者グループを指す場合もあります。今回のNetTravelerの場合、APTグループは非常に大規模な活動を行いました。悪名高いComment Crew(別名APT 1)ほどではないでしょうが。ただし、カスペルスキーの研究者は、NetTravelerを立ち上げたのが誰であれ、その人物にはTitan Rain攻撃やGhostNet攻撃と同様の責任があると主張しています。