高度標的型攻撃 (コウドヒョウテキガタコウゲキ) とは | 意味や読み方など丁寧でわかりやすい用語解説
高度標的型攻撃 (コウドヒョウテキガタコウゲキ) の読み方
日本語表記
高度標的型攻撃 (コウドヒョウテキガタコウゲキ)
英語表記
Advanced Persistent Threat (アドバンスト・パーシステント・スレット)
高度標的型攻撃 (コウドヒョウテキガタコウゲキ) の意味や用語解説
高度標的型攻撃とは、特定の組織や個人を狙い、長期にわたって潜伏し、機密情報を窃取したり、システムを破壊したりすることを目的としたサイバー攻撃のことである。従来の不特定多数を対象としたばらまき型の攻撃とは異なり、攻撃者は標的の組織や個人に関する情報を詳細に調査し、その脆弱性を悪用するために、高度な技術と豊富なリソースを投入する。 高度標的型攻撃の概要を説明する。まず、攻撃者は標的とする組織や個人の選定を行う。選定の基準は、保有する情報の価値や、攻撃によって得られる利益など様々である。次に、標的のシステム構成、ネットワーク環境、従業員の行動パターンなど、詳細な情報を収集する。この情報収集には、公開されている情報だけでなく、ソーシャルエンジニアリングと呼ばれる手法を用いて、従業員から直接情報を聞き出すことも含まれる。 情報収集の結果に基づいて、攻撃者は攻撃手法を決定する。一般的な手法としては、標的の従業員に偽装したメールを送信し、添付ファイルを開かせたり、悪意のあるウェブサイトに誘導したりすることで、マルウェアを感染させるというものがある。このメールは、標的の業務内容や関心事に合わせた内容で作成されるため、受信者は警戒心を抱きにくい。 マルウェア感染後、攻撃者はシステム内部に侵入し、活動拠点を構築する。初期段階で感染させたマルウェアは、あくまで侵入の足がかりに過ぎず、攻撃者はさらに高度な機能を持つマルウェアをインストールしたり、既存のシステムツールを悪用したりして、権限を昇格させながら、ネットワーク内を水平展開していく。この過程で、セキュリティ対策を無効化したり、ログを改ざんしたりすることで、発見を遅らせる。 内部に侵入した攻撃者は、目的とする情報にアクセスし、窃取する。窃取する情報は、企業の機密情報、顧客情報、知的財産など、多岐にわたる。情報を窃取した後、攻撃者は痕跡を消去し、潜伏を続ける。潜伏期間は数ヶ月から数年に及ぶこともあり、その間に継続的に情報を窃取したり、システムを破壊する準備を進めたりする。 高度標的型攻撃の詳細について説明する。高度標的型攻撃は、複数の段階を経て実行されることが特徴である。それぞれの段階で、攻撃者は異なる技術や手法を用いる。 初期段階では、標的への侵入を試みる。この段階で最も一般的な手法は、スピアフィッシングと呼ばれる、特定の個人や組織を狙ったメール攻撃である。スピアフィッシングメールは、送信元を偽装したり、標的の知人や取引先になりすましたりすることで、受信者を欺く。メール本文には、緊急性や重要性を強調した内容が記載されており、受信者に添付ファイルを開かせたり、リンクをクリックさせたりするように誘導する。添付ファイルには、マルウェアが仕込まれており、実行されると、システムにバックドアが作成される。 バックドアが作成されると、攻撃者はシステム内部に侵入し、偵察活動を開始する。偵察活動では、システム構成、ネットワーク構成、ユーザーアカウント情報など、標的の環境に関する情報を収集する。収集した情報に基づいて、攻撃者は次の段階である、権限昇格と水平展開の準備を行う。 権限昇格とは、攻撃者がシステム管理者権限などの高い権限を取得することを指す。権限昇格には、OSやアプリケーションの脆弱性を悪用したり、パスワードを解析したりするなどの手法が用いられる。権限昇格に成功すると、攻撃者はシステム全体を制御することが可能になる。 水平展開とは、攻撃者がネットワーク内の他のシステムに感染を拡大させることを指す。水平展開には、共有フォルダやネットワークドライブなどを利用したり、リモートデスクトップ接続などのシステムツールを悪用したりする手法が用いられる。水平展開によって、攻撃者はより多くのシステムにアクセスし、より広範囲な情報を収集することが可能になる。 最終段階では、攻撃者は目的とする情報を窃取したり、システムを破壊したりする。情報窃取には、データベースから直接情報を抜き出したり、ファイルサーバーから機密ファイルをコピーしたりするなどの手法が用いられる。システム破壊には、重要なファイルを削除したり、システムを停止させたりするなどの手法が用いられる。攻撃者は、痕跡を消去し、攻撃を隠蔽するために、ログファイルを改ざんしたり、マルウェアをアンインストールしたりすることもある。 高度標的型攻撃は、その高度な技術と巧妙な手口により、従来のセキュリティ対策では防御が困難である。組織は、高度標的型攻撃に対する防御策として、多層防御の構築、従業員へのセキュリティ教育の徹底、インシデント発生時の対応体制の整備などを行う必要がある。