The Anti-virusTimesTM

2025年3月28日金曜日

近年の情報セキュリティにおける主要な傾向として、企業インフラに対するサイバー攻撃の増加が挙げられます。この背景には、マルウェアとその拡散手法の絶え間ない進化、IT産業全体の成長など、多くの要因が存在します。その結果、攻撃者はより多くの潜在的な標的、より高価値な情報を盗む機会、そして成功した攻撃の実績を得ています。これは決して、サイバー犯罪者が一般ユーザーへの関心を失ったことを意味するものではありません。大規模で高度なITエコシステムも、一般家庭のコンピュータやサーバーも、同じ基本原理で動作しています。したがって、多様化するデジタル脅威と最先端の攻撃手法の前では、誰も安全とは言えないと断言できます。

情報セキュリティに関心をお持ちの方なら、標的型攻撃やAPT（高度持続的脅威）といった概念を既に耳にされているでしょう。これらはメディアやアンチウイルスベンダーの発表で頻繁に取り上げられます。こうした攻撃を伴う情報セキュリティインシデントは数多く知られていますが、その詳細や実際の影響の全容が一般に公開されることは稀です。このテーマに関する情報が乏しいことが、インシデントを確実にAPTと分類できる明確な基準が存在しない主な理由の一つです。そしてそれが、このやや曖昧な概念を様々な宣伝やPRキャンペーンで利用しやすくしています。

本日のアンチウイルス・タイムズでは、標的型攻撃、特にAPTについて取り上げます。これらの用語を同義語として扱い、このカテゴリーに該当する脅威の種類を理解していきます。もちろん、一般家庭ユーザーが直接そのような攻撃に巻き込まれる可能性は低いでしょう。しかし、危険性を認識し、脅威アクターが何を可能とするかを知ることは、読者にとって有益です。さらに、以下で見るように、標的型攻撃の余波は確実に様々な分野の膨大な数の人々に影響を及ぼし得ます。

APTとは何か？

APTという略語は2000年代半ばに特定の脅威カテゴリーを包括する広範な用語として登場し、米国防総省が起源とされている。当時、APTとは国家安全保障上の脅威となり得る、異常なITインシデントやサイバー諜報活動を指していました。時を経て、マスメディアがこの用語を採用し、特に悪名高いサイバーセキュリティ攻撃（Googleなどの著名な標的に対する攻撃）を表現するようになりました。その後、情報セキュリティ専門家もこの用語を採用しました。

なお、この用語は現象自体よりもずっと後になって登場したことも特筆すべき点です。では、今日、高度持続的脅威とはどのようなものと見なされているのでしょうか？最も一般的な定義の一つでは、APTは高度に洗練された計画的な攻撃であり、通常は侵害されたインフラ内で脅威主体が長期にわたる秘密活動を行うと説明されます。こうした攻撃は通常、データ窃取、サイバー諜報活動、あるいは被害者の評判を傷つけたり組織の運営を妨害したりする目的で標的情報システムを破壊するために仕掛けられます。APT攻撃は長期的な目標を念頭に実施されることが多く、複雑でしばしば独自のマルウェアを用いてインフラに密かに侵入し破壊的行動を実行します。さらにAPTは慎重な計画と、資金力と高度なサイバー犯罪専門知識を含む膨大なリソースの投入を伴います。

時を経て、APTという用語は、特定の企業が提供する専用ソリューションでしか防げない、恐ろしく壮大で不可解、壊滅的で回避不可能な災厄を意味するようになりました。端的に言えば、企業のマーケティング部門がAPTの悪名高さを形作る一翼を担ったのです。高度な標的型攻撃は確かに存在しますが、特定インフラの完全性は、潜在的な脅威の深刻さよりも、企業情報セキュリティチームが予防的保護措置を実施する意思に大きく依存していることに留意して下さい。

大手企業や政府機関に対する著名な標的型攻撃に関する情報はウェブ上で入手可能であり、こうした攻撃にはしばしばAPTの属性が認められます。Doctor Webウイルス研究所も情報セキュリティインシデントを調査しており、その一部は標的型攻撃に分類されます。多くの事例において、攻撃対象の機密性を損なうことなく、こうしたインシデントの特異な特徴を当社の出版物で解説しています。例えばこちらのレビューでは、標的型攻撃が失敗に終わった幸運な事例を紹介しています。企業は侵害発生後に支援を求める場合もあります。また当社の研究者は、侵入の兆候が発見されるまで何年も企業インフラに足場を維持できた脅威アクターの事例も扱ってきました。

標的型攻撃は通常、企業や公共組織に対する他のネットワーク攻撃とは区別して扱われます。企業への攻撃が比較的新しい傾向であることは既に述べました。より一般的なインシデントでは、インフラが脆弱に見える、あるいは潜在的に利益をもたらすと見なされるあらゆる企業が標的となり得ます。こうした攻撃は単発的な事象であることが多く、成功に長期的な準備や高度な技術を必要としません。サイバー犯罪者は闇市場で入手可能な最も基本的なツールを使用し、小規模なグループで活動する場合もあれば、単独の犯罪者が全てを実行することさえあります。こうしたケースでは侵入者は主に金銭的利益を目的とします。一方、標的型攻撃は決して日常的な事象ではありません。原則として産業スパイ活動、さらには国家安全保障上の諜報活動が攻撃の主目的であり、標的は決して無作為に選ばれません。現在、世界中で数十のAPT犯罪組織が確認されており、それぞれ独自の犯行手口、ツール、標的を好みます。脅威の真の規模は不明です。事件の詳細や影響は、明らかな理由からメディアで公表されることは稀です。同時に、調査に参加する情報セキュリティ研究者やアンチウイルスベンダーは、将来同様の事件を回避しユーザーを適切に保護するため、重要なデータを互いに共有することが多いです。調査過程では、アナリストは通常関連するIoC（侵害の指標）も共有します。IoCにはマルウェア定義、C&CサーバーIPアドレス、特定攻撃に関連するドメイン名などのフォレンジックデータが含まれます。このデータはセキュリティ専門家が組織内の不審なファイルやネットワーク活動を分析し、インフラが同様の攻撃を受けていないかを確認するのに役立ちます。

標的型攻撃のシナリオ

標的型攻撃は多様なパターンで展開されますが、ほぼ常に段階的に実行されます。攻撃は特定ターゲットを侵害するための入念な準備から始まります。悪意のある攻撃者は、組織のインフラストラクチャ、従業員、使用ソフトウェア、さらには内部規定に関する情報を収集することがあります。実際、この種の攻撃はネットワークやデバイスへの干渉に限定されないのです。偵察活動や情報収集を行うため、攻撃者はソーシャルエンジニアリング技術を用い、求職者、従業員、またはパートナー企業の代表者を装う場合があります。これは最適な侵入手法とインフラへの侵入ポイントを決定する上で重要なステップです。

奇妙なことに、標的ネットワークの最初のノードを侵害するため、脅威アクターはしばしばフィッシングに頼ります。もちろん彼らは無作為に行動せず、標的型フィッシング（スピアフィッシング）を仕掛けます。事前に収集した情報のおかげで、攻撃者は巧妙に設計されたソーシャルエンジニアリングの手口を非常に効果的に活用できます。そのために、特定の従業員やグループに標的型フィッシングメールを送信することが多いです。

あまり知られていないソフトウェア、OS、ハードウェアの脆弱性、あるいはゼロデイ脆弱性を悪用する方法もあります。この手法も、標的組織のインフラや使用ソフトウェアに関する情報に基づいています。ゼロデイ脆弱性の発見と悪用には多大な労力と資金が必要ですが、前述の通りAPT犯罪組織は必要なリソースを保有しています。

悪意ある攻撃者は、標的のネットワークに到達するためサプライチェーン攻撃を選択することもあります。標的のパートナー、サプライヤー、請負業者を攻撃し、それらのインフラを経由して標的組織に侵入する。多くの企業が業務運営に第三者のサービスや製品に依存しているため、この手法は非常に効果的です。脅威アクターは、防御が手薄なネットワークを経由した侵入経路を見つけるためにこの方法を利用します。チェーン上の脆弱なリンクと、その悪用方法に関する情報もインテリジェンスデータの一部です。攻撃者は特定の製品やサービスを改変し、定期的な更新スケジュールを利用してバックドアを展開します。

当然ながら、サイバー犯罪者は複数の手法や技術を組み合わせ、成功確率を高めるためにそれらを複製することも可能です。彼らの主な目的は、悪意のある初期モジュールを組織のネットワークに潜入させ、ユーザーに実行させることです。攻撃者のその後の手順には、自身の存在を隠蔽し、インフラストラクチャに足場を築き、ネットワーク内を着実に前進することが含まれます。

スターターモジュールは通常、トロイの木馬型ダウンローダーやその他のマルウェアであり、ネットワーク内のデバイス上で残りの悪意のあるペイロードを隠蔽し展開します。APT攻撃には通常、犯罪者が特定のインフラを想定して自ら設計・開発した高度なマルウェアが使用される点に留意が必要です。そのため、従来のアンチウイルスツールは、特にシグネチャベースの検出のみに依存している場合、こうした独自設計のマルウェアに対して無力となる可能性があります。例えば、既知のAPT関連トロイの木馬サンプルの中には、システムサービスを利用してダウンロードされた後、正当なDLLファイルを偽装し、その後RAM内にのみ常駐するものがあります。C&C（コマンド＆コントロール）サーバーからの対応するコマンドを受け取ると、特定の破壊的タスクのための追加プラグインをダウンロードできる複雑なマルチコンポーネント型トロイの木馬やバックドアの変種も存在します。ウイルス作成者が様々なコード難読化技術を使用しているため、このような悪意のあるサンプルの分析とデバッグも複雑です。しかし、それらを徹底的に調査することで、トロイの木馬の動作を把握し、セキュリティ専門家がサンプルが引き起こす可能性のある損害を評価できるようになります。

初期侵入後、トロイの木馬はシステム内で永続的かつ確実に動作し、他のエンドポイントへ拡散するための措置を講じます。前述の通り、この段階ではC&Cサーバーからのコマンド受信、追加悪意あるモジュールのダウンロード、ネットワークスキャン、隠蔽動作の維持が可能となります。攻撃者は常にトロイの木馬に自己破壊オプションやアイドルモード実行機能など、隠蔽を維持するための機能を実装します。最終目標はネットワーク内の特定デバイスとそこに保存されたデータへの到達です。組織のドメインコントローラーが悪意ある攻撃者に侵害される状況は特に危険と見なされます。このノードへのアクセス権獲得は、攻撃者にインフラ内での自由な行動を事実上許すことになります。

リスクを最小化する方法は存在するのか？

標的型攻撃への防御は複雑な課題であり、その多くの側面は本入門書の範囲を超えています。もちろん、標的型攻撃は一般ユーザーを直接危険に晒すものではありません。しかし、ご存知の通り、何事も始まりがあるものです。被害を受けた企業の従業員の大半は、決して情報セキュリティの専門家ではありません。中にはサプライチェーン攻撃の標的として選ばれる可能性のある一般ユーザーも含まれます。しかし、スピアフィッシングでさえ、誰もが認識し抵抗できる日常的な手口に依存しています。そして攻撃の成功は、APT犯罪組織の驚異的な技術力にさえ依存しない場合があります。多くの場合、侵入成功の真の理由は、緩い企業セキュリティにあります。アンチウイルスタイムズ（AVT）では、情報セキュリティへの包括的アプローチの重要性を繰り返し強調してきました。個人データの保護からバックアップの作成、家庭用ルーターの適切な設定まで、あらゆる側面を含むものです。陳腐に聞こえるかもしれませんが、標的型攻撃から効果的に身を守るには、同じ基本原則に依拠しつつ、より詳細なアプローチが求められます。組織の運営を麻痺させることなく、必要な保護制限を課しつつ適切なバランスを取ることは、まさにこのため困難なのです。

本稿の締めくくりとして、標的型攻撃から離れて、あらゆる組織に共通する脅威を改めて認識しておきましょう。企業はインフラ保護のための確立された情報セキュリティポリシーを整備し、従業員向けのセキュリティ研修を実施し、日常業務における情報セキュリティの基本を推進することが不可欠です。これはネットワーク経由で情報にアクセスする全てのデスクトップ／ノートPCユーザー、特に機密データを取り扱う権限を持つ従業員に適用されます。役割ベースのアクセス制御、権限の最小化、ローカルネットワークの複数セグメント化といった基本的で健全な実践は、本来あるべきほど普及していません。また、全ネットワークノードでのアンチウイルスソフトの稼働から、インシデント監視・迅速対応ソリューションに至るまで、セキュリティソフトウェアが必須であることは言うまでもありません。