PR

 情報システムへの不正侵入や破壊、諜報活動といったサイバー攻撃の中で、狙った標的に対して様々な手法で執拗に攻撃し続けること。APT(Advanced Persistent Threat)とは、「高度かつ持続的な脅威」を意味する。大量に頒布される迷惑メールなどによる従来型の脅威と違い、「攻撃が持続的かつ複合的である」「標的を特定の組織や法人に絞っている」という特徴がある。攻撃者はITスキルの高い実行役を複数抱え、資金力がある組織と考えられている。

 APT攻撃の厳密な定義は、ITベンダーやIT関連団体・組織によって少し異なる。例えば、米マカフィーは、「国家の指示や資金援助を受けて、特定の標的を狙ったサイバー空間上のスパイ行為や妨害工作」と定義している。情報処理推進機構(IPA)は攻撃者の素性や狙いは限定せず、「システムの脆弱性を悪用し、複数の攻撃を組み合わせた、対応が難しく執拗な攻撃」としている。

 APTが広く知られるようになったきっかけの一つが、2009年末から米グーグルなど30社以上が標的になった「Operation Aurora」と呼ばれる事件だ。この事件ではグーグルのメールサービス「Gmail」が攻撃を受け、一部のアカウントやパスワードが漏えいするなどの被害が発生した。

 その後も、政府機関や防衛産業、セキュリティ関連企業などを狙ったAPT攻撃は続出している。2011年3月には、米EMCのRSA部門でワンタイムパスワードに使われるセキュリティ情報が流出。同年5月には、この情報を使ったとみられる米ロッキード・マーチンなどへの不正侵入が発覚した。日本では三菱重工業など複数の防衛産業へのAPT攻撃が9月に判明。中央省庁への攻撃も次々と明らかになった。

 APT攻撃でよく使われる手法としては、組織内の特定の人物宛てに、関係者を装って差出人や件名、本文などを偽装する「標的型メール攻撃」がある。偽装の手口も巧妙化している。三菱重工への攻撃では、まず業界団体のシステムに侵入して得たメールの情報を使い、実在する業界団体の職員をかたったメールが送られていたとみられる。

 メールに添付されている不正プログラムは、ウイルス対策ソフトで検出されないことを事前に確認した、既存の亜種や新規に開発したものが使われることが多い。不正プログラムが、未知か未対策のままのソフトウエアの脆弱性を突く「ゼロデイ型」の場合は、OSやソフトの最新パッチを適用していてもシステムを乗っ取られることがある。

 不正プログラムは実行形式のファイルだけでなく、「PDF」形式や「MS Office」「一太郎」などのファイル形式も用いられる。オフィスソフトの脆弱性を突き、文書を閲覧するだけで実行される仕組みを持つ。これら不正プログラムの多くは、「バックドア」と呼ぶ不正侵入口を設けたり、そこを通じて別の不正プログラムを呼び込んだりする。

 APT攻撃を防ぐことは難しい。被害を最小限に抑えるには、不審なメールや不正プログラムの侵入を防ぐだけでなく、侵入を許した場合の不審な通信やシステムの挙動を監視する対策が不可欠である。