Advanced Persistent Threat とは?

Advanced Persistent Threat (APT) は、特定の事業資産を対象とする複雑で多段階にわたるセキュリティイベントです。APT は、組織環境に侵入し、システム間を移動して資産を入手し、機密情報を転送し、検出されずに退出を試みる権限のない攻撃者です。Advanced Persistent Threat は、高度な戦術と的を絞ったアプローチが原因で、特定や対処が難しい場合があります。APT からの保護には、マルチシステム、マルチディシプリンのアプローチが必要です。

APT イベントには、以下のいずれかの目的があります。

知的財産の盗難

企業秘密、政府秘密、独自のソースコード、プライベートコミュニケーションなどの知的財産はすべて、組織にとってプライベートな機密データです。APT グループは、このデータに初めてアクセスする際に、競争上の優位性を獲得したり、ビジネスターゲットネットワークに悪影響を及ぼしたりするために情報を違法に入手します。

金融詐欺

APT はビジネスシステムや業務をコントロールできるようになり、権限のないアクターに金融詐欺に必要な特権アクセスを与えることができます。これらの操作により、ユーザーアカウントから送金が送信されたり、企業から機密データが盗まれて社内の特権者を装ったりする可能性があります。

ランサムウェア 

APT イベントが成功すると、ランサムウェアの実装を目的とする場合があります。この例では、APT は機密データの暗号化を開始し、ユーザーがターゲットネットワークにアクセスできないようにします。これらの権限のないグループは、ファイルを復号するための鍵を提供する見返りに、高額な身代金を要求する可能性があります。 

風評被害

一部の APT グループの具体的な目標は、情報を一般に漏らして組織の評判を傷つけることです。

APT は価値の高いターゲットのみを考慮します。Advanced Persistent Threat (APT) は、従来のパターンに従わないため、一般的なサイバー脅威よりも特定が複雑です。共通のセキュリティイベントベクトル、イベントの時間枠、またはシグネチャがないため、これらのセキュリティイベントを見つけて無効にすることはより困難です。 

典型的なセキュリティイベントでは、データベース操作やデータ移動のトラフィックが突然急増することがありますが、APT イベントのより系統的なアプローチは隠されたままです。

また、APT は即座に利益を得ようとしない場合もあるため、時間をかけてより広範な脅威を構築することができます。システム内で検出されないままにしておくと、グループが行動を起こすまで、企業内で長期間 APT が検出されないままになります。

高度な持続的脅威の最も一般的な特徴と症状は次のとおりです。

アクセスしやすい洗練されたマルチステージイベント

Advanced Persistent Threat には複数の段階のイベントが含まれ、多くの場合、同様の一連の手順に従います。

まず、権限のない攻撃者が対象組織とそのシステムを偵察して、資産と潜在的な脆弱性に関する情報を収集します。ここから、特定された脆弱性を利用する方法を開発します。

権限のないアクターが会社のシステムにアクセスすると、システムのさまざまな部分に移動します。そのためには、ソーシャルエンジニアリング、ネットワークセグメントのナビゲーション、その他の手法を通じて昇格した権限にアクセスします。また、セキュリティ担当者の注意をそらす可能性もあります。コマンドサーバーとコントロールサーバーは、通信を調整するように設定されています。

ターゲット資産にアクセスできるようになると、通常、権限のない攻撃者は、イベントの目的に応じて、データを漏洩したり、侵害されたシステムを改ざんしたりします。一部の Advanced Persistent Threat は、この最終段階を経て、その痕跡を隠そうとして、イベントが認識されないようにします。

やる気のある APT グループによる実行

APT イベントは、通常はグループで活動する、モチベーションの高い無許可のアクターによって行われます。これらのグループには、国が後援する APT、専門のサイバー犯罪組織、ハクティビストグループ、ハッカーを雇う小規模チームなど、さまざまな形態があります。

APT の主な目標は金銭的利益ですが、機密情報を収集したり、データを公開したり、インフラストラクチャを妨害したり、組織の評判に影響を与えたりするために、APT イベントの立ち上げに取り組むグループもあります。 

複数のシステムにまたがる長期間にわたるイベント

前述のステージは、長期間にわたって発生する可能性があります。APT イベントは対象を絞ったものであるため、注意喚起やシステム内でのアラートが発生しないように、グループは慎重にゆっくりとしたペースで行動するように計画します。場合によっては、APT が当初の目標を達成するための措置を講じるまで、数か月または数年間検出されないままになることがあります。

跡を残さないように設計

APT 攻撃者の動きの最終段階は、ファイルの削除、ログの変更、データベースの特定の側面の隠蔽などの手法によって、イベントの痕跡をすべて隠すことです。サイバーセキュリティチームがシステムの異常を発見する可能性を減らすことで、権限のない攻撃者は何の影響もなく退出する可能性が高くなります。

さらに、APT は、その存在の証拠を隠すことで、特定の侵入方法を秘密にしておくこともできます。この秘密の出口により、他のターゲット組織に対しても、同じようにゆっくりとした系統的な戦略をとることができます。

Advanced Persistent Threat (APT) インテリジェンスは、現在進行中の APT キャンペーン、すでに確立されている APT 権限のない攻撃者、およびAPTが使用している現在のソーシャルエンジニアリング手法について企業に情報を提供し、指示する特殊な形式の脅威インテリジェンスです。 

APT インテリジェンスは、そのソース、三角測量手法、レポート、分析、およびアプリケーションの点で一般的な脅威インテリジェンスとは異なります。

APT を防止し、APT から身を守るのに役立つ効果的なセキュリティ対策をいくつか紹介します。

脅威インテリジェンス

脅威インテリジェンスシステムは、APT の防止に役立つ効果的な戦略です。脅威インテリジェンスは、内部と外部のセキュリティデータを照合して、イベントの現在の状態とそれらに共通するベクトルの全体像を提供します。公開データと非公開データを使用することで、APT の主な潜在的な敵と戦術、およびそれらに対する防御方法を特定できます。

組織は、脅威インテリジェンスプラットフォーム、オープンソースの脅威インテリジェンスフィード、MITRE ATT&CK などのフレームワークを実装することで、情報を引き出し、戦略を立てることができます。

ログ記録とテレメトリ

サイバーセキュリティシステム、ネットワーク、資産アクセスポイント、エンドポイントモニタリング、およびシステム全体のヘルスデータを効果的かつ広範囲にログに記録することで、セキュリティ専門家はビジネスシステムの包括的な概要を把握できます。詳細なログを保持し、高度な分析を実装することで、異常検出が向上し、予期しないセキュリティイベントの遡及的調査が可能になります。

テクノロジー

APT の検出、無効化、軽減の能力を強化するために使用できるテクノロジーはいくつかあります。このセキュリティ技術スタックの中心となるテクノロジーは次のとおりです。

• 侵入検知システム (IDS): ネットワークトラフィックを監視して異常なアクティビティを特定するツール。
• セキュリティ情報とイベント管理システム (SIEM): さまざまなセキュリティシステムからのデータを相互に関連付けて、脅威をリアルタイムで検出し、予期しないセキュリティイベントに対応するためのソリューションです。
• エンドポイントの検出と対応 (EDR): 企業のすべてのエンドポイントデバイスをマッピングして監視し、異常を特定して自動的に対応します。

階層型セキュリティ

APT セキュリティ対策に加えて、階層型セキュリティ戦略を実装して、予期しないセキュリティイベントが発生する可能性を減らすこともできます。ネットワークセグメンテーションの導入、ロケーションストレージの保護、最小権限アクセスの実装、すべての企業アカウントへの多要素認証の適用、保存中および転送中の強力な暗号化標準の使用が可能になります。さらに、ネットワークソフトウェア、システムソフトウェア、およびアプリケーションソフトウェアに定期的にパッチを適用することで、既知の脆弱性を軽減できます。

トレーニング

APT やその他の予期しないサイバーセキュリティイベントが発生する最も一般的な侵入ポイントの 1 つは、会社の従業員との接触です。フィッシング詐欺であれ、従業員を騙して侵害されたリンクをクリックさせることによる社会的操作であれ、グループは組織内の個人を標的にすることがよくあります。AI の進歩に伴い、高度ななりすまし技術が一般的になりつつあります。

定期的にセキュリティ意識向上プログラムを実施して、組織内のソーシャルエンジニアリングの脅威に対抗することができます。従業員は APT の最初の兆候を認識し、その出来事をセキュリティチームに報告できる必要があります。

AWS は、Advanced Persistent Threat から組織を保護するために設計されたサービスを提供しています。AWS Security Hub は、統一された可視性、実用的なインサイト、自動化されたワークフローを通じてクラウドセキュリティを変革します。

Amazon GuardDuty は、クラウド向けに完全にスケーラブルでマネージド型の脅威検出機能を提供します。Amazon GuardDuty は自動分析とカスタマイズされた修復案により、脅威の特定、関連付け、対応をすばやく行い、事業の中断を最小限に抑えることができます。Amazon GuardDuty は、インテリジェントな脅威検出により AWS アカウント、ワークロード、データを保護するのに役立ちます。

Amazon Inspector は、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、コンテナイメージ、AWS Lambda 関数などのワークロードやコードリポジトリを自動的に検出し、ソフトウェアの脆弱性や意図しないネットワークへの露出がないかスキャンします。

Amazon Macie では、機械学習とパターンマッチングを利用して機密データを発見し、データセキュリティのリスクを可視化して、そのリスクに対する自動的な防御を行います。

AWS Security Incident Response を使用すると、セキュリティイベントに対する準備、セキュリティイベントへの対応、セキュリティイベントからの復旧が可能です。セキュリティインシデント対応サービスは、モニタリングと調査を自動化し、コミュニケーションと調整を迅速化し、AWS カスタマーインシデント対応チーム (CIRT) に 24 時間 365 日直接連絡できるようにします。

今すぐ無料アカウントを作成して、AWS の APT から組織を保護することから始めましょう。