こんな話があります。
とある企業で新たなシステム管理者が採用されました。彼が着任後しばらくして、社内システムが以前より目に見えて安定して稼働するようになり、各種機器類やOSなどには常に最新のアップデート、パッチが当たっている状態が保たれるようになりました。その結果、彼は非常に有能であると高く評価されるようになりました。
しかし、そんな平和な日々が続いていたはずのある日、突然社内システムが外部の何者かの手によって、一瞬で乗っ取られてしまいました。間もなくして攻撃者を名乗る者から金銭を要求する脅迫が届きます。会社の経営陣は慌ててシステム管理者を呼びつけ、至急システムを正常に復旧するよう指示しました。しかし、彼は青ざめた顔のまま「無理です」と答え、その場に辞表を置いて逃げ出してしまいました。
いったいなぜでしょう。実は、彼はシステム管理者としてあまりいい仕事はしていなかったのです。自分で当てたアップデートやパッチはごくわずかで、他は自動で行われたのだろうと勝手に思い込んでいて、ログもちょっと流し見する程度、ましてや潜伏中の何者かの存在など、その気配すらみじんも感じていませんでした。
社内システムが安定させ、各種機器類に最新のパッチが当たっていたのは、誰なのでしょうか? 実は、潜伏中の「攻撃者」が、システムを掌握し彼の目的を達成する上で必要だったので、潜伏期間中にシステムにパッチを当て、あれこれ調整を施して、安定稼働させていたのです。
このような攻撃者の行動は(特に有能な管理者がいる場合)潜伏している自身の存在が発覚してしまいかねない危険を伴いますが、システムの把握とその信頼性の確保は、攻撃者にとっても重要なカギになります。ステルスはAPT攻撃の要の部分ですので、攻撃者はその痕跡を残さないようログを改ざんしたり、そもそもログ上に表れないスクリプトを実行したりと、発覚のリスクを極限まで軽減するのが当然です。
このように、攻撃者は最終目的を確実に実行する為に、万全な体制を築いていきます。そして、いよいよ「その時」がやって来たらターゲットに対する「攻撃(目的の遂行)」が実行されます。もちろんその「攻撃」は前述のようなシステム乗っ取り、脅迫行為に限らず、その目的は機密情報の搾取や、システムの破壊でなど、実にさまざまです。
APT攻撃の事例
実際の事例としては、Googleをはじめ約30社のグローバル企業からソースコードが盗まれた事件、大手石油会社3社に重要な産業情報を流出させた事件、RSAのSecurIDトークンシードファイル約4000万を漏えいさせた事件、プレイステーションネットワークの顧客情報およそ1億件を流出させた事件などが有名です。
繰り返しになりますが、APT攻撃は、高レベルのクラッカーたちで組織される犯罪シンジケートによる犯行が大半で、特定の標的専用にゼロデイの脆弱性を利用したスクリプトを用意するケースも少なくありません。またステルスを用い、しかも段階を踏みじっくり時間をかけて確実な攻撃(Low &amp Slow Attacks)を仕掛けてくるため、検知が非常に難しいという特徴を持ちます。
実際、例えば先に事例で挙げた石油会社3社の事件では、内容としては「全世界で発見されている原油の所在地、埋蔵量、その価格といった極秘情報」のデータを流出させたわけですが、当の本人たちは後日FBIから連絡を受け、その被害状況を伝えられるまで、そもそも攻撃を受けたこと自体に気付いていなかった、という事実からも、その攻撃の本質と脅威のレベルがうかがい知れます。
このように、APT攻撃では、その対象となるターゲットが被害を受けることで、結果的に社会への二次的な影響が非常に大きなものとなる、そういう対象に攻撃が仕掛けられるケースが多いのです。結果、被害を受ける影響範囲がその標的やその周辺のみでは済まないこともあります。ターゲットである国家や団体下の社会混乱が攻撃者の真の目的であるケースまでもあるのです。
事件の結果に起因して後に別の事件が発生するなど、結果的に被害を受ける企業、団体、個人が広く社会全体へと波及しやすいのも、APT攻撃の特徴の1つと言えるかもしれません。
- 中山貴禎
- トヨタや大手広告代理店など、さまざまな業界を渡り歩き、2010年1月よりネットエージェント取締役。機密情報外部流出対策製品のPM兼務。クラウド関連特許取得、米SANSにてトレーニング受講等、実務においても精力的に活動。
Keep up with ZDNet Japan
ZDNet JapanはFacebook、Twitter、RSS、メールマガジンでも情報を配信しています。
