APTとは何ですか?

サイバー セキュリティには、膨大な数の悪意のある脅威が存在します。これらの脅威の多くはマルウェアを作成しますが、サイバー犯罪者が悪意を持って攻撃する方法は他にもたくさんあります。ただし、両者のスキルレベルは大きく異なります。多くの「ハッカー」は単なるスクリプトキディであり、既存のツールを実行することしかできず、独自のツールを作成するスキルがありません。多くのハッカーはマルウェアを作成するスキルを持っていますが、正確な能力は大きく異なります。ただし、APT というもう 1 つの独占的な層があります。

APT は Advanced Persistent Threat の略です。彼らはハッカーにとって最高の存在であり、一般にこの業界で最高のものです。APT はエクスプロイト開発において技術的に熟練しているだけではありません。また、繊細さ、忍耐力、運用上の安全性など、他のさまざまなスキルも採用しています。一般に、すべてではないにしても、ほとんどの APT は国家の主体であるか、少なくとも国家の支援を受けていると考えられています。この仮定は、彼らが目標を達成するために示す時間、努力、献身から構築されます。

APT のフィンガープリント

APT の正確な目的は、国、APT、攻撃によって異なります。ほとんどのハッカーは個人的な利益を動機としており、侵入してできるだけ早く貴重なデータを入手しようとします。APT は破壊活動、スパイ活動、または破壊的な攻撃を実行し、通常は政治的、または場合によっては経済的な動機を持っています。

ほとんどの攻撃者は通常、日和見主義ですが、APT は静かであるか、非常に標的を絞っている傾向があります。発見した脆弱性のエクスプロイトを開発するだけではなく、ターゲットを特定し、それに感染する最適な方法を考え出し、エクスプロイトを研究して開発します。通常、これらのエクスプロイトは、できるだけ静かで巧妙になるように非常に慎重に構成されます。これにより、検出のリスクが最小限に抑えられます。つまり、エクスプロイトが発見され、根本的な脆弱性が修正される前に、選択した他のターゲットでエクスプロイトを使用できるようになります。

エクスプロイトの開発は技術的で時間のかかる作業です。このため、特に既知の脆弱性のない非常に複雑なシステムを扱う場合には、費用のかかるビジネスになります。APT は国家資金を利用できるため、通常、これらの微妙だが深刻な脆弱性を特定し、非常に複雑なエクスプロイトを開発するために、より多くの時間と労力を費やすことができます。

帰属は難しい

攻撃の原因を特定のグループまたは国民国家に帰することは困難な場合があります。使用されている実際のマルウェア、サポート システム、さらにはターゲットの追跡まで深く調査することで、かなり確実にマルウェアの個々の種類を APT に関連付け、その APT を国に関連付けることが可能になります。

これらの高度なエクスプロイトの多くは、他のエクスプロイトのコードの一部を共有しています。特定の攻撃では、同じゼロデイ脆弱性が利用される場合もあります。これらにより、インシデントを 1 回限りの異常なマルウェアとしてではなく、関連付けて追跡できるようになります。

APT からの多くのアクションを追跡することで、選択したターゲットのマップを構築することが可能になります。これを地政学的緊張の知識と組み合わせることで、少なくとも潜在的な国家スポンサーのリストを絞り込むことができます。マルウェア内で使用されている言語をさらに分析するとヒントが得られる可能性がありますが、これらは不当表示を促すために偽造される可能性もあります。

APT からのサイバー攻撃のほとんどは、誰もそれを認めていないため、もっともらしい否定を伴います。これにより、責任ある各国家は、必ずしも関わりたくない、あるいは非難されたくない行為を行うことができます。ほとんどの APT グループは自信を持って特定の国民国家に属しており、それらの国民国家はその帰属の根拠となるさらに多くの情報を持っていると想定されているため、誰が何に責任があるのか​​を誰もが知っている可能性が高くなります。もしどこかの国が他国への攻撃を公式に告発すれば、おそらく報復的な非難を受けることになるだろう。愚かなふりをすることで、誰もがもっともらしい否定を続けることができます。

例

多くの異なるグループが APT に別の名前を付けるため、APT の追跡が複雑になります。一部の名前は番号が付けられただけです。リンクされたエクスプロイト名に基づいているものや、ステレオタイプの名前に基づいているものもあります。

中国に起因すると考えられる APT は少なくとも 17 件あります。APT 1 などの APT 番号は、いくつかを指します。APT 1 は具体的には PLA Unit 61398 です。少なくとも 2 つの中国の APT には、Double Dragon と Dragon Bridge というドラゴンを特徴とする名前が付けられています。ナンバリングパンダやレッドアポロもあります。

イランに起因するとされる APT の多くは、名前に「子猫」が含まれています。たとえば、Helix Kitten、Charming Kitten、Remix Kitten、Pioneer Kitten などです。ロシアの APT には、Fancy Bear、Cozy Bear、Bezerk Bear、Venomous Bear、Primitive Bear などのクマの名前がよく登場します。北朝鮮は、Ricochet Chollima、Lazarus Group、Kimsuky の 3 つの APT によるものであると考えられています。

イスラエル、ベトナム、ウズベキスタン、トルコ、米国には少なくとも 1 つの APT が存在すると考えられます。米国に帰属する APT は Equation Group と呼ばれ、NSA の TAO または Tailored Access Operations 部門であると考えられています。このグループの名前は、そのエクスプロイトの名前と暗号化の多用に由来しています。

Equation グループは一般に、すべての APT の中で最も高度なものとみなされます。デバイスを阻止し、マルウェアを組み込むように変更したことが知られています。また、さまざまなメーカーのハード ドライブのファームウェアに感染する独自の能力を持つマルウェアが複数存在し、ドライブの完全な消去、オペレーティング システムの再インストール、およびドライブの破壊以外のあらゆる場合でもマルウェアが存続することを可能にしていました。このマルウェアを検出または削除することは不可能であり、開発するにはドライブ ファームウェアのソース コードにアクセスする必要がありました。

結論

APT は Advanced Persistent Threat の略で、一般に国家とのつながりが疑われる高度なハッキング グループを指すのに使用される用語です。APT が示すスキル、忍耐力、献身的なレベルは、犯罪の世界では比類のないものです。政治的なターゲットになることが多いことを考慮すると、これらが一般的なハッキングによる金儲けのグループではないことは明らかです。APT は、大々的にデータ侵害を行うのではなく、巧妙に行動し、可能な限り痕跡を隠す傾向があります。

一般に、平均的なユーザーは APT について心配する必要はありません。彼らは、自分にとって特に価値のある目標にのみ時間を費やします。一般人は国民国家が価値があると考える秘密を隠すことはありません。現実的に標的となる危険にさらされているのは、大企業、特に政府関連の仕事をしている企業、特に影響力のある人々だけです。もちろん、誰もが自分のセキュリティと会社のセキュリティを真剣に考える必要があります。

しかし、セキュリティ業界の一般的な見方は、APT があなたに興味があると判断すれば、たとえ研究開発に何百万ドルもの時間を費やさなければならなかったとしても、何らかの方法であなたのデバイスをハッキングできるだろうというものです。これは、 Stuxnet ワームなど、「エア ギャップ」を飛び越えるように注意深く設計されたマルウェアの数少ない例で見ることができます。