前々回」、前回」では、APT攻撃の本質と特徴、攻撃前の「敵対的」偵察について紹介しました。今回も引き続き、APT攻撃で使用される武器や手段について紹介します。APT攻撃は、攻撃が本格的に開始される段階であると同時に、攻撃者が最初に通過しなければならない「関門」でもあります。
前回の記事で述べたように、APT攻撃と通常の攻撃の違いは、ツールや戦術、プロセスではなく、その背後にあるオペレーターの目的、つまり具体的な目標です。
典型的な攻撃は、攻撃者が同じリンクやマルウェアを何百回、何千回と送りつけるなど、量に大きく依存しており、ほとんどの場合、攻撃者はボットやウェブベースのスクリプトを使用して攻撃を推進するため、プロセスは自動化されており、多数の潜在的な被害者が攻撃されれば、攻撃者は半ば成功したような状態に陥る可能性があります。一方、APT攻撃は、複数のリンク、異なる種類のマルウェアを使用し、攻撃量をコントロールするため、従来のセキュリティ防御では検知が困難です。
殴り込む
偵察フェーズでは、攻撃者は標的に関する可能な限りの情報を収集します。この情報は、攻撃の開始時に重要な役割を果たします。この情報により、攻撃者は悪意のあるペイロードを設計・開発し、それを配信する最適な方法を選択することができます。
攻撃キットの低コストなオプションは数多くあり、カスタムモジュールや機能を後から追加することも可能です。これらのツールはどのような場所でもホストすることができますが、攻撃者は通常、評判の良い正規ドメインに設置し、パスバイダウンロード攻撃を利用します。
水溜り攻撃は通常、2つの攻撃方法を使用します。1つは、攻撃者のエクスプロイトキットに標的を誘導するフィッシングメールによる方法です。
もう一つの方法は、共有リソースを標的にすることです。このようなリソースは通常、ターゲットにとって何らかの価値があり、評判も高いものです。このアプローチでは、攻撃者は標的を直接狙うのではなく、標的がアクセスするウェブサイトを感染させ、標的が感染するのを待ちます。
発見されやすい一般的な攻撃に使用できる水たまり攻撃と、よりステルス性の高いパスバイダウンロード攻撃の違いを理解する必要があります。
攻撃者はゼロデイ脆弱性も悪用しますが、必ずしもそうではありません。ゼロデイ脆弱性が利用される主な理由は、攻撃者の標的を達成する確率が高まることです。このような標的は、Paid-Per-Install マルウェアのインストール、情報の窃取、ボットネットの構築、スパイ活動などです。しかし、企業や個人ユーザーは、システムやサードパーティ製ソフトウェアの脆弱性を修正しないことが多いため、ゼロデイ脆弱性よりも既存の脆弱性を悪用する方が容易です。
さらに、攻撃者は、攻撃しやすいターゲットに力を注ぐため、脆弱性を持つ社内開発アプリケーションや、企業のブログやイントラネットに追加されたサードパーティのスクリプトが、攻撃に利用される可能性があります。最後に、ターゲットとなる組織が使用しているCMSやホスティングプラットフォームが古かったり、未修正の場合、これも攻撃の焦点となる可能性があります。
目標の選択
攻撃者が攻撃ベクトルを特定したら、被害者を選ぶ必要があります。多くの場合、被害者はすでに特定されています。しかし、被害者が誰であるかは問題ではなく、攻撃者は成功率を高めるためにできるだけ多くの標的を攻撃することもあります。被害者がまだ選定されておらず、全体的な標的が企業であると仮定すると、偵察段階のデータが再び有用になります。
攻撃者が最初に狙うのは簡単な標的であり、組織内で最も狙われやすいのは、ヘルプデスクのスタッフ、つまり顧客サービス担当者や事務アシスタントなど、決済サービスを提供する従業員であることを覚えておいてください。なぜなら、これらの従業員は、企業内の他の従業員にアクセスしたり、連絡を取ったりすることができるからです。偵察の段階で、攻撃者は、使用しているソフトウェアやハードウェアの種類、ソーシャルネットワーキング情報、公開されているレポート、その他の仕事、趣味、個人情報など、これらの個人に関する情報を入手することができます。
組織内の他の人もターゲットになり得ますが、その主な理由は組織内でのアクセスや影響力です。CEO、CFO、IT部門、QAチーム、開発チーム、営業、マーケティング、広報チームなどです。
輸送ペイロード
ペイロードを確立し、攻撃ターゲットを選択した後、攻撃者は悪意のあるペイロードをターゲットに送信し始める必要があります:
1.パスバイダウンロード攻撃:この配信方式により、攻撃者はより広範な被害者を標的にすることができます。情報を盗むマルウェアやボットネットを構築するマルウェアなど、一般的な犯罪によく用いられる手法です。犯罪キットは、複数の脆弱性を悪用できるため、典型的な配信ツールです。
注:これがネットワーク・セグメントを分離して保護する理由です。これは、データ侵害時に連鎖的な影響が生じるリスクを低減するのに役立ちます。あるエリアへのアクセスによって他のすべてのエリアへのアクセスが可能になれば、攻撃者の仕事は容易になります。
2.水溜り攻撃:水溜り攻撃は、一般的な攻撃とは異なり、きめ細かい攻撃を行います。攻撃キャンペーン全体が他の無関係な人々を犠牲にする可能性がある一方で、攻撃者は選択されたグループまたは特定の人物に関心があります。
3.フィッシング:典型的なフィッシング攻撃は、幅広い被害者を標的としています。攻撃者はこの方法で、迅速かつ安価に、しかもそれほど労力をかけずに大量のマルウェアを配布することができます。ペイロードがインストールされた後、潜在的な被害者が電子メールの添付ファイルを開いたり、悪意のあるリンクをクリックしたりすれば、攻撃は成功です。フィッシングは金融関連のマルウェアを拡散するために使用され、一般的なマルウェアはデータを盗んだりボットネットを構築したりするために使用されます。
フィッシング・キャンペーンに使用されるメールアドレスは、偵察段階で収集されたデータだけでなく、データベース・リークによって公開されたデータなど、さまざまなソースから入手することができます。一般的にフィッシングの目的は数で勝負することであり、攻撃者が100万件のアドレスに悪意のあるメールを送り、1000個のマルウェアがインストールされれば、それは大成功とみなされます。
4.フィッシング:集中型フィッシング攻撃(スピアフィッシング)は、潜在的な被害者の範囲がはるかに狭いことを除けば、通常のフィッシング攻撃とほぼ同じ方法で機能します。スピアフィッシング攻撃は、偵察段階で収集されたデータによって、悪意のある添付ファイルを開いたり、リンクをクリックするなどの行動を被害者に確信させることができるため、一人または少人数のグループを攻撃するのに適しています。
スピアフィッシングキャンペーンは、特にパッシブ・アンチスパム技術では検知が困難です。スピアフィッシングが成功するのは、被害者がメールに含まれる情報を信じ、ほとんどの人がスパム対策が脅威を打ち消すと思い込んでいるからです。
概要
APT攻撃を黎明期に食い止めることは非常に重要です。なぜなら、この段階で攻撃を食い止めることができれば、戦いはすでに勝利したも同然だからです。しかし、犯罪者はそう簡単には対処できません。多層防御を導入しない限り、この攻撃を完全に阻止することは、言うは易く行うは難しです。ここでは、この攻撃を防御する方法を見てみましょう:
侵入検知システムと侵入防御システムは、優れた保護レイヤーです。しかし、ほとんどの場合、どちらか一方だけを導入し、両方は導入していません。
IDS製品は可視性を提供しますが、データ侵害が発生して初めて効果を発揮します。組織がIDSのアラートに即座に対応できれば、損失や損害を軽減することができます。一方、IPS製品は既知の攻撃を発見・特定するのに有効ですが、可視性に欠けます。両ソリューションの欠点は、シグネチャに依存していることです。シグネチャを更新しなければ、攻撃者が展開する最新の攻撃手法を検出できない可能性があります。
ウイルス対策は通常、多くのエクスプロイトキットによってインストールされたマルウェアを検出することができます。しかし、AVシグネチャだけではあまり役に立たず、すべてのAV製品はシグネチャ保護に依存する必要があります。AV ベンダーは、ホワイトリストやホストベースの IDS など、さまざまな保護機能を提供していますが、これらの機能を有効にして使用する必要があります。
スパムフィルターもほとんどの攻撃を検出してブロックするために不可欠ですが、組織はスパム対策だけに頼ることはできません。スパムフィルタは誤検知を起こしやすく、特に攻撃者がホワイトリストに登録されたドメインを装っている場合、すべての攻撃をブロックすることはできません。
パッチ管理は、攻撃者が利用できる最も強力なツールの1つであるエクスプロイト・キットに対抗できるため、もう1つの重要な保護レイヤーです。しかし、オペレーティング・システムを修正するだけでは十分ではなく、サードパーティのソフトウェアも定期的に修正する必要があります。
最後に、セキュリティ意識向上トレーニングも必要です。組織は、フィッシング攻撃を含む最も明白な脅威からユーザーを守るためのトレーニングを行うべきです。セキュリティ意識向上トレーニングは、組織が直面するリスクに直接対処する継続的な取り組みです。
