- ターゲットを知ること。 これは、盗む価値のあるものがあるかどうかを調べることから、従業員のリストを作成すること、さらには不満を持つ元従業員のリストを作成することまで、さまざまです。 対象者が何に興味を持っているかを知ることで、その情報を利用することができます。
- 入口を探す。 これには通常、カスタマイズされたマルウェアを配信するために、スピアフィッシングやウォータリングホールのようなソーシャルエンジニアリングのテクニックが必要です。
- 足場の確保。
- 作成した足場から慎重に範囲を広げます。 例えば、感染したコンピュータからネットワークを偵察することです。 これには、侵害されたシステムにマルウェアやその他のツールを入れて隠すことも含まれます。
- 探している情報やその他の貴重な情報を見つけて盗む。
- ネットワークへの強固なグリップが確立されたら、情報への永続的なアクセスを確保するために、ネットワークのエントリーポイントを移動または拡大する必要があるかもしれません。 常時監視する必要がない場合は、通常、痕跡を隠すためにツールを削除します。
Advanced Persistent Threat (APT)とは、特定のターゲットに対して、そのシステムを侵害し、そのターゲットに関する情報を得ることを目的とした、長期にわたる攻撃です。
APT(Advanced Persistent Threat)とは、特定のターゲットに対して、そのシステムを危険にさらし、ターゲットから情報を得ることを目的とした、長期にわたる攻撃のことです。
ターゲットは、個人、組織、企業のいずれかです。 これらの脅威がダブっていた頃のターゲットは、政府や軍事組織でした。
セキュリティ分野の専門家の中には、政府(機関)やそれに類する組織が攻撃を開始した場合にのみAPTと認定する人が少なくありません。
では、現在の脅威の状況ではどのような意味を持つのでしょうか?
脅威の主体は、足場を確保し、侵入した後に侵害を拡大するために、さまざまな「ツール」や方法を使用します。 情報を盗むことに関しては、侵害を秘密にしておくことが重要な仕事になります。
当然、攻撃者の身元を隠すことも重要です。APTの帰属は、現実世界の紛争につながる可能性があるからです。 そのため、攻撃者は自分の痕跡を隠したいと考えるでしょう。 この種の作戦では、パッチの当たっていない脆弱性(ゼロデイ)を使用することも珍しくありません。
Advanced Persistent Threat のステージ
以下のステージのすべてがすべての状況で必要になるわけではありませんし、ターゲットや攻撃者が狙う情報によっては、リストのタスクに費やす時間や労力が大きく異なる場合があります。
セキュリティ専門家のうなり声
セキュリティ研究者がAPTという表現を聞いてうなるのは、脅威が私たちの定義で指定した要件を満たしていない場合に、この言葉を使う人がいるからです。
どうやら、何ヶ月も前に検出されるべきだったマルウェアではなく、「高度なもの」によって侵入されたと説明したほうが、悪い印象を与えないようです。
たとえば、病院でほとんど独占的に使用されている、ある種のソフトウェアを実行するコンピュータだけを攻撃するワームは、APTではありません。
まとめ
この記事では、Advanced Persistent Threats (APT) とは、特定のターゲットを狙った、専門的で長期にわたる攻撃であると説明します。
Links
CyberCriminals and their APT and AVT Techniques
Kill chain
Pieter Arntz