APT攻撃はサイバー攻撃の一種であり、何も対策しなければ、企業や組織として被害を受けたり、顧客やユーザーに二次的な被害を与えたりする恐れがあります。

同時に、APT攻撃は特定の個人を狙い撃ちするサイバー攻撃であるため、情報システム部やセキュリティ担当だけでなく、従業員全員が情報を共有し、周知徹底する必要があります。

今回は、APT攻撃に関する基礎知識や起こり得る被害及びリスク、そして対策方法についてご説明します。

APT攻撃に関する基礎知識

はじめにAPT攻撃に関する基礎知識について押さえておきましょう。

APT( Advanced Persistent Threat )攻撃とは

APT攻撃のAPTとはAdvanced Persistent Threatの略称であり、高度で継続的な脅威、または高度で執拗な脅威、を指します。また、APT攻撃はターゲット型攻撃と表現されることもあります。

APT攻撃は、特定の人物を標的に定めて、その人物に対して様々な形のサイバー攻撃や詐欺、騙しを継続的かつ執拗に行う攻撃手法であり、不特定多数を標的としたサイバー攻撃よりも被害を受ける可能性が高いのが特徴です。

過去にはGoogleや中東の原子力施設などが狙われた事例もあり、金銭目的だけではないような、悪意のある組織や高度な技術を持つ悪質な人物が関与している可能性も懸念されています。

APT攻撃の攻撃手順や手法

APT攻撃は、バックドアの設置などから侵入を試み、侵入後に新たな機能を追加したり、別のサイバー攻撃の手法を用いて乗っ取りや改竄を行ったりします。すぐにデータを盗み見たり盗み出したりするというより、潜伏してネットワークやデバイスの情報を取得し、その他のデバイスやアカウントにバックドアを設置しながらさらに乗っ取ることで、取得できる情報を増やしていきます。最終的に金銭につながる情報をコピーしたり、データを改竄したりすることで利益を得ていることが考えられ、また情報の削除や改竄によって混乱に陥れることを目的として行われている場合も想定されています。

企業や組織としてAPT攻撃への対策が必要な理由

企業や組織としてAPT攻撃への対策が必要な理由は、社内や組織内における重要なポスト、役職が狙われた場合、その権限を利用されてしまう恐れがあるからです。また、重要なポストや役職でなくても、社内や組織内でセキュリティの甘い人物を足がかりとし侵入し、機会を伺いながらさらに上位の権限を持つ人物の情報を収集されてしまうようなことも考えられます。

情報システム部やセキュリティ担当がどれほどシステム的な防御、またはセキュリティ意識の向上を促したとしても、非常に防ぎにくいサイバー攻撃であり、一度でも乗っ取られ、侵入を許してしまうことで、長期に渡り被害に怯えることになりかねません。企業や組織における情報資産やIT資産を守るため、または継続的な利益を損ねないためにも、APT攻撃への対策が必須と言えるでしょう。

APT攻撃で起こり得る被害及びリスク

次にAPT攻撃で起こり得る被害及びリスクについてご紹介します。

パソコンやサーバーの乗っ取り

APT攻撃はマルウェアやスクリプトなどを介してパソコンやサーバーに侵入し、情報を自由に操作できるような権限を取得します。いわゆる乗っ取りであり、その時点で社内や組織内のネットワークに侵入している状態です。

同じネットワーク内のパソコンやサーバーなどを乗っ取りながら、さらに権限の高いIDやアカウント情報の取得や乗っ取りを試み、場合よってはターゲットを変更しながら情報収集し、確実に乗っ取るための情報を集めます。

乗っ取られたパソコンはキーボードから入力している内容、マウスの操作なども盗み見られてしまう可能性があり、企業や組織内だけでなく、外部オンラインサービスの利用、オンラインバンキングの情報においてもリスクが発生する可能性が高まります。

データの改ざんやなりすまし

パソコンが乗っ取られた時点でデータの改ざんやなりすましも可能となります。この時点で、社内や組織内の人物から重要なポストや役職へのメールによるマルウェア感染の可能性が高まります。社内だから、組織の人員だからと油断してメールを開いてしまうことでマルウェアに感染し、感染したことに気がつかないままパソコンを乗っ取られてしまうという結果になります。

役職や権限を持つ人物ほど機密情報に接する権限を持つため、侵入した時点ではターゲットでなくても、情報収集されてしまうことでターゲットとして狙い撃ちされます。もちろん、単なるメールによるマルウェア感染だけを狙っているのではなく、その他のサイバー攻撃や詐欺、騙しの手法をも使われてしまうため、どのタイミングで、どの接点で乗っ取られたのか、攻撃されのかも気づけないということです。

情報漏洩や情報資産への被害

悪意のある第三者がいくつかのパソコンやサーバー、またはIDやアカウント情報へアクセスできる状態になれば、情報漏洩や情報資産への被害が出てしまうのは時間の問題と言えます。その上、不自然な形でデータの転送や閲覧、改ざんを行うわけではないので、乗っ取られた側も何があったのかわからず、組織側もそれを把握できないまま、あたかも本人が操作したかのようにしか思えない状況となり、発覚が遅れてしまうこともあります。

長い期間潜伏しながら必要となる情報を収集、お金になる情報を取得、または他の企業や顧客、ユーザーに対して更なる足がかりを作りながら、被害者を増やしていくことも考えられるでしょう。もちろん、個人情報が漏洩してしまえば、顧客やユーザー及び従業員の利用するオンラインサービス、SNSアカウントで悪用されてしまうこともあります。これらの想定される被害やリスクから、APT攻撃が悪質であり対策しなければならないことが理解できるでしょう。

APT攻撃への対策方法や周知徹底すべきこと

次にAPT攻撃への対策方法や周知徹底すべきことをご説明します。

従業員全員が攻撃対象であるという認識を持つ

APT攻撃による侵入の足がかりのターゲットとならないためにも、役職や権限によらず従業員全員が攻撃対象であるという認識を持つべきです。正社員、派遣社員、アルバイト、パート問わず、何らかの形で社内や組織内の人物と連絡を取れたり、何らかのシステムを利用するためのIDやアカウントがあるなら警戒すべきということです。

また、企業や組織に被害が出るだけでなく、従業員自身が直接的な被害を受ける恐れがあることも周知徹底すべきです。自分には関係がないという意識自体がセキュリティホールであり脆弱性であると理解してもらうことが大切です。

セキュリティを意識した業務体制の構築及びセキュリティリスクや脆弱性の排除

従業員に対する周知徹底や注意喚起に加えて、業務体制的にセキュリティリスクや脆弱性を極力排除することも忘れてはなりません。情報システム部やセキュリティ担当への報告・連絡・相談を気軽に行える体制、もしくは情報システム部やセキュリティ担当の権限や直属の上司や管理職との密な連絡体制など、何かが起きた時点ですぐに対処できる体制を整えましょう。

また、OSやソフトウェアのアップデート、デバイスやネットワークの管理などセキュリティリスクや脆弱性の排除を行うことを忘れてはなりません。脆弱性やセキュリティホールである部分を修正するためのアップデートを行わなかったり、私的なパソコンやスマートフォンを社内や組織内のネットワークに安易につなげられないようにしたりするなど、管理、監視が行き届く体制を意識してみてください。

人力だけではなくシステム的に情報資産を守るべき

実際問題として注意喚起や周知徹底、セキュリティインシデントに対応できる業務体制を整えるだけでは、システム的な攻撃には耐えられず、情報資産やIT資産を守り切ることはできません。また、デバイスやネットワークの管理についても、適切なソフトウェアやツールを用いなければ監視や管理が不可能なことも考えられます。これらを解決するためにはセキュリティ性が高く、情報資産やIT資産を管理できるツールの導入が必須です。

当社が提供する「AssetView」であれば、システム面におけるセキュリティ対策、サイバー攻撃への対策やウイルス対策、内部不正対策及び監視体制も含めて、安心・安全に仕事ができる環境を整えることが可能となります。もし、セキュリティに不安がある、または情報資産やIT資産の管理を強化したいとお考えであれば、この機会にぜひともご相談、お問い合わせください。

まとめ：APT攻撃対策はシステムとセキュリティ意識の両方が必須

今回はAPT攻撃に関する基礎知識や起こり得る被害及びリスク、そして対策方法についてご説明しました。

APT攻撃はウイルスのような形でネットワーク内の他のデバイスを乗っ取りながら増殖していきます。乗っ取られたパソコンに顧客やユーザー、取引先の連絡先があればそれらを悪用して被害を広げてしまう可能性もあるでしょう。昨今ではエモテットと呼ばれるサイバー攻撃の再燃も報じられています。システム的にさまざまなサイバー攻撃への対策を行うとともに、従業員全員がセキュリティ意識や知識を持たなければ対処することは難しいでしょう。

情報システム部やセキュリティ担当に任せきりにすることなく、企業や組織におけるIT資産や情報資産を守ることを意識し、同時に間接的に加害者に加担しないためにも、当社の提供するAssetViewのような情報資産及びIT資産管理ソフトの導入をおすすめします。