標的型攻撃に対する危機感はありつつも、攻撃手法や侵入経路について詳しく理解しているわけではなく、具体的な対策が取れていないというケースは少なくありません。
深刻化するサイバー攻撃の被害に対し、各企業のセキュリティ意識は未だ後を追っている状態だと言えるでしょう。
そんな標的型攻撃の重要なキーワードである、“APT”と“ゼロデイ攻撃”の2つについて今回は解説します。
APT(Advanced Persistent Threat)とは
まず、昨今のAPTに対する解釈には明確な線引きがなく、標的型攻撃全般を指すものとして使用されることもあれば、政府機関が関与した組織的かつ大掛かりなサイバー攻撃などを指す場合もあります。
トレンドマイクロ社よるとAPTとは「特定の組織に不正侵入し、時間や手段などを問わず目的達成に向け標的に特化して行う継続的な攻撃」と定義しており、APTを表現する上で最も的確な定義なのではないかと思います。
つまりAPTとは、従来の標的型攻撃に比べ高度化(Advanced)されかつ持続的(Persistent)に実行される脅威(Threat)だと言えます。
上記の定義から考えるに、近年発生している標的型攻撃のほとんどがAPTと捉えることができるでしょう。
攻撃者は“標的型攻撃メール”や“水飲み場攻撃”を足掛かりにエンドポイント(主にクライアント端末)を制御し、管理者権限の奪取を試みます。
この時、攻撃者が長期的に潜伏するためにあくまで“静かに“、そして“影響が少ない”行動でネットワークの検知を掻い潜ります。
そして管理者権限を奪取してからも目立った行動は取らず、徐々に機密情報を集約し外部サーバーとの通信を経て情報奪取へ至るのです。
こうしたAPTの特徴から、9割以上の企業が標的型攻撃に気付くことができず、外部機関からの指摘によって発覚しています。
ゼロデイ攻撃とは
ゼロデイ攻撃とは脆弱性を突く攻撃であり、脆弱性とはシステムセキュリティ上に発生する不具合や設計ミスによる弱点を指します。ゼロデイ攻撃が防御困難な理由は、脆弱性が発見されてからソフトウェアベンダーによるセキュリティパッチが適用されるまでのタイムラグを狙うため、攻撃を防ぐ手立てがないという点です。
企業自らがシステムセキュリティ上の脆弱性を検知する体制が整えられていないという点も、ゼロデイ攻撃対策の難しさに拍車をかけています。
また、多くの企業が業務で使用しているソフトウェアは多くの脆弱性を抱えている可能性があり、攻撃者の格好の的になってしまっているため被害が絶えません。
つまり企業はAPTだけでなく、ゼロデイ攻撃による侵害まで想定してセキュリティ対策を取る必要があります。
被害事例
イラン核施設 - ウラン濃縮用遠心分離機を攻撃
2010年にイランでは核施設を狙ったAPTが発生し話題となりました。
攻撃にはスタックスネット(Stuxnet)と呼ばれる、Windows上で動作するAPT型コンピュータワームが使用され、同種のマルウェアにより核施設だけでなく多くの企業が被害に遭っています。
スタックスネットは、Microsoft Windowsで動作するコンピュータワームでインターネットから隔離されたスタンドアロンのパソコンでもUSBを経由するという手段により感染します。
2009年11月~2010年1月にかけては、イランのイスファハン州ナタンズにあるウラン濃縮用遠心分離機1,000台(全体の10%)が破壊されるという事件が発生しました。
Adobe Flash Player - ゼロデイ攻撃によるマルウェア感染
Adobe Flash Playerでは、度々ゼロデイ攻撃が実行され多くの企業が被害に遭っています。
2016年10月26日にゼロデイ脆弱性に対する“定例外更新プログラム”の「CVE-2016-7855」が緊急公開されましたが、既に標的型攻撃による被害が発生しています。
これら一部の事例から見るに、やはりAPTやゼロデイ攻撃に対するセキュリティ環境の構築は緊急性が非常に高いと言えます。
APT対策、ゼロデイ対策のポイント
ここでAPTとゼロデイ攻撃の特徴を踏まえ、対策のポイントについて解説します。
内部対策、出口対策の重要性を理解する
まずAPTに対して100%のセキュリティはなく、従来型のセキュリティ製品やエンドユーザーの意識的セキュリティ対策に頼った入口対策だけでは防御不可能だと知ることが先決です。
従って重要になるのが内部対策と出口対策であり、内部ネットワークへ侵入されることを想定して検知・防御するセキュリティ体制を取ります。
具体的にはIPSによる内部ネットワークの監視、データベース防御によるDBサーバーの監視を行い、内部に侵入した攻撃者の行動を捉えます。
また、情報送信を行うために実行される外部サーバーとの通信を検知・防御することも必要です。
もちろん、Web分離(インターネット分離)やエンドポイントプロテクションにより、“そもそも内部侵入を許さない”入口対策も疎かにはできません。
未知の脆弱性を想定した対策を取る
ゼロデイ攻撃は基本的に、ベンダーの正規セキュリティパッチが適用されるまでを狙うため“不可避の攻撃”だと言えます。
つまり、万が一すべてのセキュリティをすり抜けて脆弱性を攻撃されれば、企業がそれを防ぐ手立てはないでしょう。
そこでシステムが持つ未知の脆弱性を想定し、セキュリティ対策を取る必要があります。
例えばシステムモニタリングによる迅速な脆弱性発見や、仮想セキュリティパッチの適用による暫定的な対策、あるいは未知の脅威に強いセキュリティソリューションを導入することで対処できます。
Tripwire EnterpriseによるAPT、ゼロデイ攻撃対策
Tripwire Enterpriseでは、システムに行われた変更を検知することが可能です。システムのスナップショットを取得しベースラインとして保存し、次のタイミングで新たなスナップショットと比較します。ベーライントスナップショットの比較により変更検知をします。何かしら攻撃による変更が行われた場合、即座にTripwire Enterpriseで発見できるのです。コンソールから検知された変更を比較することもできます。
変更検知による標的型攻撃ソリューションにご興味がございましたら、ぜひ、弊社製品情報をご確認ください。