持続的標的型攻撃

今日、企業にとって最も重大な脅威の一つが持続的標的型攻撃（APT）です。APTは、組織のデータ、ネットワーク、またはシステムを侵害することを目的とした高度で標的を絞った攻撃です。機密性の高いコンテンツや信頼できるパートナーと共有するためのチャネルは、特にAPTに対して脆弱です。したがって、それらを保護することは、ビジネスの整合性と長期的な成功を確保するために重要です。この記事では、APTの性質、機密コンテンツ通信に対するリスク、およびビジネスと信頼できる相手と共有する機密情報を保護するために取るべきステップについて探ります。メール、ファイル共有、マネージドファイル転送（MFT）、およびセキュアファイル転送プロトコル（SFTP）を通じて。

持続的標的型攻撃（APT）とは何か？

APTは、組織のネットワーク、システム、またはデータにアクセスすることを目的とした標的型攻撃です。APTの背後にいる攻撃者は通常、資金が豊富で高度な技術を持ち、検出を回避し、数ヶ月から数年にわたって検出されないようにするためのさまざまな手法を使用します。これらの攻撃は通常非常に高度であり、スピアフィッシングのようなソーシャルエンジニアリング戦術を使用して組織のネットワークにアクセスすることがよくあります。一度内部に侵入すると、攻撃者は被害者のエコシステムを横断し、知的財産や個人識別情報、保護対象保健情報（PII/PHI）などの貴重なデータを探します。

なぜ機密コンテンツ通信はAPTに対して脆弱なのか？

APTは貴重な情報を抽出するために設計されています。通信チャネルはこの情報の主要な供給源です。たとえば、メール、ドキュメント、ファイルはAPTに対して特に脆弱です。これらの攻撃は、企業秘密、財務データ、契約、顧客データ、その他のプライベートで機密性の高い情報の盗難を引き起こす可能性があり、競争上の優位性を得るために使用されたり、闇市場で売却されたりすることがあります。

ATP攻撃はどのように機能するのか？

APT攻撃プロセスには複数の段階があり、以下で詳しく説明します。

偵察フェーズ（APT-1）

APT攻撃の最初の段階は偵察、またはAPT-1として知られています。このフェーズでは、攻撃者がターゲット組織についての情報を収集します。これには、ネットワークアーキテクチャ、システム、セキュリティプロトコルが含まれます。攻撃者は、ソーシャルエンジニアリング技術、ネットワークスキャン、オープンソースインテリジェンス（OSINT）などのさまざまな方法を使用して、組織、そのエコシステム、サプライチェーン、および人々に関する重要な情報を収集します。

初期侵入（APT-2）

APT攻撃の第二段階は初期侵入、またはAPT-2として知られています。このフェーズでは、攻撃者がターゲット組織のネットワークまたはシステムにアクセスします。攻撃者は、スピアフィッシング、ドライブバイダウンロード、またはソフトウェアやシステムの脆弱性を悪用するなどのさまざまな方法を使用することがあります。

足場の確立（APT-3）

APT攻撃の第三段階は足場の確立、またはAPT-3として知られています。このフェーズでは、攻撃者がターゲット組織のネットワークまたはシステムに持続的な存在を確立します。攻撃者は、バックドアのインストールや新しいユーザーアカウントの作成など、さまざまな方法を使用して足場を維持し、検出を回避します。

権限の昇格（APT-4）

APT攻撃の第四段階は権限の昇格、略してAPT-4です。このフェーズでは、攻撃者がターゲット組織のネットワークまたはシステムで権限を昇格させ、機密データやシステムにアクセスできるようにします。攻撃者は、ソフトウェアやシステムの脆弱性を悪用したり、盗まれた認証情報を使用したりするなど、さまざまな方法を使用して権限を昇格させます。

内部偵察（APT-5）

APT攻撃の第五段階は内部偵察、またはAPT-5として知られています。このフェーズでは、攻撃者がターゲット組織のネットワークまたはシステムについてさらに情報を収集します。攻撃者は、脆弱性のスキャンやさらなる攻撃のための潜在的なターゲットの特定など、さまざまな方法を使用して内部偵察を行います。

横移動（APT-6）

APT攻撃の第六段階は横移動、またはAPT-6として知られています。このフェーズでは、攻撃者がターゲット組織のネットワークまたはシステムを横断し、アクセスするための機密データや設計を探します。攻撃者は、脆弱性を悪用したり、盗まれた認証情報を使用したりするなど、さまざまな方法を使用して横移動し、検出されないようにします。

存在の維持（APT-7）

APT攻撃の第七段階は存在の維持、またはAPT-7として知られています。このフェーズでは、攻撃者がターゲット組織のネットワークまたはシステムに持続的な存在を維持し、組織に入る、通過する、または退出する機密データにアクセスしようとします。攻撃者は、ルートキット、バックドア、その他のマルウェアのインストールなど、さまざまな方法を使用して存在を維持します。

ミッションの完了（APT-8）

APT攻撃の最終段階はミッションの完了、またはAPT-8として知られています。このフェーズでは、攻撃者が主な目的を達成し、機密データを盗みます。攻撃者はまた、APT攻撃の痕跡を隠し、すべての痕跡を削除しようとすることもあります。

持続的標的型攻撃（APT）のさまざまな例

持続的標的型攻撃（APT）は、規模や範囲が異なり、それぞれが特定の業界や目的を標的としています。以下は、APT攻撃の実際の例です：

オペレーション・オーロラ

オペレーション・オーロラは、APT10として知られる中国の国家支援グループに帰属しています。このAPTは2009年に発見され、Googleやその他の著名なテクノロジー企業を標的にしました。攻撃者は、Microsoftのウェブブラウザ、Internet Explorerの脆弱性を悪用して企業のネットワークにアクセスしました。

カルバナク

このAPTは、世界中の銀行や金融機関を標的にし、数年間にわたって数百万ドルを盗みました。カルバナクは、銀行の従業員にスピアフィッシングメールを送信し、攻撃者がターゲットのネットワークにアクセスできるようにしました。このAPTは2014年に発見され、攻撃者はロシアに拠点を置いていると考えられています。

ラザルスグループ

このAPTは、2014年のソニー・ピクチャーズのハッキングや2017年のWannaCryランサムウェア攻撃に関与していることで知られています。ラザルスグループは、金融機関や防衛請負業者を含むさまざまな業界を標的とする北朝鮮の国家支援グループです。

ナイコン

このAPTは、中国の国家支援グループに帰属し、主に東南アジア諸国の政府および軍事組織を標的としています。ナイコンは、スピアフィッシングメールやマルウェアを使用してターゲットのネットワークにアクセスします。

FIN7

このAPTは、レストランを含むホスピタリティ業界を標的とする金銭目的の犯罪組織です。FIN7は、洗練されたフィッシングキャンペーンとカルバナクマルウェアを使用してクレジットカードデータを盗むことで知られています。

トゥルラ

このAPTは、ロシアの国家支援グループに帰属し、さまざまな業界だけでなく、政府機関や政府大使館も標的としています。トゥルラは、スピアフィッシングメールやウォータリングホール攻撃を使用してターゲットネットワークにアクセスします。

持続的標的型攻撃の検出と緩和

持続的標的型攻撃（APT）の検出は困難です。なぜなら、APTは検出を回避し、長期間にわたって検出されないように設計されているからです。しかし、組織がAPTを特定するために使用できるいくつかの戦略があります。以下は、企業がAPTによって引き起こされる損害を検出し、緩和するために使用できる戦略のスナップショットです：

ネットワーク監視

APTは、オペレーターと通信し、追加のマルウェアをダウンロードするためにコマンド＆コントロール（C&C）サーバーに依存することがよくあります。ネットワーク監視ツールは、C&Cサーバーに関連する疑わしいドメイン、IPアドレス、またはポートへのトラフィックを特定できます。

異常検出

APTは、通常のネットワークトラフィックとは異なる異常な動作を示すことがよくあります。異常検出ツールは、ユニークなデータ転送パターンや異常なログインを監視し、セキュリティチームに潜在的な脅威を警告します。

エンドポイントにおける検出と対応（EDR）

EDRツールは、エンドポイントでの悪意のある活動を検出し、対応するために設計されています。これらは、システムの動作を監視し、疑わしいファイルを特定し、既知のマルウェアを検出してブロックします。

脅威インテリジェンス

セキュリティチームは、既知のAPT、その戦術、技術、手順（TTP）、およびそれに関連する侵害の指標（IOC）を特定するために脅威インテリジェンスを使用できます。脅威インテリジェンスフィードを継続的に監視することで、セキュリティチームは潜在的な脅威を早期に特定し、対応できます。

ユーザー・エンティティ行動分析（UBA）

UBAツールはユーザーの行動を監視し、失敗したログイン試行や異常なIPアドレスからのログイン、またはそのデータを必要としない従業員による機密データへのアクセスなどの疑わしい活動を特定できます。

ペネトレーションテスト

定期的なペネトレーションテストは、組織が防御の弱点やAPTが悪用する可能性のある脆弱性を特定するのに役立ちます。

重要なのは、単一の検出方法が完全ではないことを認識し、セキュリティチームはAPTを特定するためにツールと技術の組み合わせを使用する必要があります。APT攻撃による損害を緩和するためには、早期の検出と対応が重要であり、組織は脅威を迅速に封じ込め、修復するための堅牢なインシデント対応計画を持つべきです。

KiteworksがAPT攻撃からビジネスを保護する方法

Kiteworksのプライベートコンテンツネットワークは、APTのリスクを軽減し、特に信頼できる外部関係者と共有される最も機密性の高いコンテンツを保護するための重要なツールを組織に提供します。これらの機能には以下が含まれます：

1. ATPスキャン、隔離、可視性：高度な脅威対策（ATP）スキャン、隔離、可視性は、ゼロデイ脅威保護戦略の重要な要素です。Kiteworksプラットフォームは、ゼロデイおよび既知の脅威をチェックするために、受信ファイルをATPシステムに通します。失敗したファイルを隔離し、適切なセキュリティ担当者に通知します。すべての活動は完全にログに記録され、報告およびCISOダッシュボードを通じて可視化され、監査ログおよびSIEMにエクスポート可能です。
2. Check Point SandBlast ATPのネイティブサポート：Kiteworksプラットフォームは、Check Point SandBlast ATPをネイティブにサポートしており、企業が既存のATP投資を活用し、ゼロデイ脅威に対する追加の保護層を提供します。
3. FireEye Malware Analysis（AX）ATP統合：プラットフォームはまた、FireEye Malware Analysis（AX）ATPをサポートし、イベントに完全なコンテキストを追加するためにFireEye Helix SIEMにログエントリをエクスポートし、企業がゼロデイ脅威をより効果的に検出し、対応することを可能にします。
4. ICAP互換ATPシステム：ネイティブATPサポートに加えて、プラットフォームはICAP互換ATPシステムもサポートしており、企業がゼロデイ脅威から保護するための選択肢を幅広く提供します。

仮想強化アプライアンス、組み込みのアンチウイルス保護および侵入検知システム（IDS）、転送中のTLS 1.2暗号化および保存中のAES-256暗号化、オンプレミス、プライベートクラウド、ハイブリッドまたはFedRAMP展開オプションなど、追加の機能がAPTやその他のサイバー脅威から共有する機密情報を保護します。

詳細を知りたい方は、カスタムデモをスケジュールしてください。

 

リスク＆コンプライアンス用語集に戻る