先進的な持続可能性の脅威は、組織の管理者やCSOにとって悪夢です。APT攻撃では、組織がそれを阻止するために何かをすることは難しく、そのような攻撃に対処するには通常、損害と損失を最小限に抑えるように設計された、明確な対応策と復旧計画が必要です。なぜなら、APTの活動が検知された時点で、すでに手遅れになっていることがほとんどだからです。トレンドマイクロのセキュリティ・リサーチ担当バイス・プレジデントであるリック・ファーガソン氏は、標的型攻撃が組織の従来のセキュリティ・アーキテクチャや管理モデルと対峙している場合にも当てはまると付け加えています。
しかし、セキュリティの専門家は、標的型攻撃に対応する際にはさまざまなテクニックや戦略を用いる必要があることを知っており、彼らにとってはまだ勝機が残されています。
多くのビジネスリーダーにとって、APTは高度な攻撃手法を使って機密情報や中核データにアクセスする個別攻撃に焦点を当てています。攻撃者は情報を入手すると、それを何らかの利益のために売却または使用します。このようなインシデントの背後には、スパイ活動を行う国や、主要製品の発売や合併・買収で優位に立とうとするビジネス上の競合相手が存在します。
このシナリオでは、企業の競合他社や国が直接攻撃するのではなく、攻撃者がサードパーティを攻撃し、そのサードパーティを使って攻撃を仕掛けたり、攻撃キャンペーンを管理したりすることに注意が必要です。このため、APT攻撃を阻止するのは非常に困難です。企業は、直接攻撃を行うハッカーを捕まえて阻止することはできますが、攻撃の根本原因を突き止めることはまったく別の問題です。
また、一般的なサイバー犯罪者の中には、APT攻撃と同じ手法で攻撃を仕掛けてくるケースもあり、高度な攻撃と呼ぶのは適切でない場合がほとんどです。また、APT攻撃の特徴としてよく使われるゼロデイ脆弱性を悪用する能力も、APTの特徴として使うべきではありません。さまざまなサイバー犯罪者がゼロデイ脆弱性を悪用しているのは、そのようなツールがより高いレベルの成功につながるからです。
標的型APT攻撃と通常のサイバー攻撃の違いは、使用するツールや戦略、手順ではなく、目的や全体的な目標です。セキュリティ・ベンダーは同意しないかもしれませんが、APTに分類されない機密記録や企業秘密の損失につながるAPT攻撃やインシデントを見ると、何が違うのでしょうか?
APTキャンペーンの背後にいる攻撃者は、その目標を達成するためにサイバーブードゥーを使用しません。基本的な攻撃手法を駆使して攻撃を行います。彼らが一般的な攻撃者と異なるのは、資金的な裏付けがあり、明確なミッションの目的を持っていることです。彼らは目的を達成するためなら、どんなに時間がかかっても全力を尽くします。問題なのは、セキュリティと防御の配備に関して、多くの企業があまり注意を払わず、安易な攻撃に対して脆弱なままになっていることです。
APT関連の活動は攻撃ではなく、標的を絞った持続的な活動です。このようなキャンペーンの背後にいるオペレーターは、多くの時間と経験を費やし、企業のネットワークやデータにアクセスするだけでなく、何年にもわたってアクセスを維持できるような詳細な計画を策定しています。
2009年、ロッキード・マーティンはAPT防御に関するホワイトペーパーを発表し、こうした高度な攻撃キャンペーンの特徴や、既存のインフラを活用した対策について説明しました。このホワイトペーパーでは、「従来の脆弱性ベースのアプローチでは不十分であるため、脅威そのもの、その意図、能力、操作モードを理解する必要があります。
