国際サイバーテロ「ATP」の実態と攻撃力

Jiransoft Japan

2019-04-23 1:29 AM

2019-04-23 1:29 AM

 

サイバーテロ組織を追跡

アメリカと中国、北朝鮮、中東など、いくつもの課題を抱える国家間の外交では、サイバー攻撃の議題が決まって採り上げられます。国際的なサイバーテロの報道では、国家の関与や目的まで明示されても、報道がそれ以上に具体化することは少ないのですが、大規模なサイバー攻撃を仕掛ける集団は明らかに存在します。

 

2018年12月には、外務省から「中国を拠点とするATP10といわれるサイバー攻撃について」という報道官談話が発表されました。これを契機に企業のセキュリティ関係者の間でも、「ATP」の話が出る機会は以前よりも増えたようですが、その存在が日本企業とも決して無縁ではないからでしょう。https://www.mofa.go.jp/mofaj/press/danwa/page4_004594.html

 

「ATP(Advanced Persistent Threat)」は、直訳すると「先鋭的で持続的な脅威」。特定の国や公的機関、産業、企業、団体などに対し、継続的に仕掛けられるサイバー攻撃です。キーワードは“persistent(頑固な、しつこい)”。攻撃は長期間、数カ月から数年続くことも珍しくありません。

 

今の視点で「ATP」と定義される攻撃は、2000年代の中頃から散発的に起きています。当初は攻撃者の実態をつかむことは容易ではなく、報じられる機会も少なかったのですが、各国の政府機関や調査会社、セキュリティ会社が攻撃の痕跡を追い続け、次第にその姿を垣間見ることができるようになってきました。

 

日本企業も狙うATPの目的は?

調査機関やセキュリティ会社では、番号や名前を付けてAPT攻撃グループを識別しています。近年は米国のFireEye社が命名した名前がよく用いられており、外務省が言及した「ATP10」もその一つです。

 

この攻撃は、アメリカ、ヨーロッパ、日本の官公庁、建設、通信業界の企業を主な標的として、フィッシングやマルウェアなどの攻撃手法を使って、軍事、技術、ビジネスに関する機密情報の搾取を狙ったものとされています。

 

この他には、日本と台湾の行政組織、金融産業を標的とした「ATP16」、法務や投資家をターゲットに、標的型攻撃を繰り返した「ATP19」、エネルギー関連企業を標的とした「ATP33」、そして各国の金融機関に的を絞った「ATP38」などが、国内でもニュースになりました。

 

これらのATP攻撃には以下のような共通項があります。

 

 ・国家や大きな組織の後ろ楯があると推測できる

 ・標的型攻撃、ゼロディ攻撃、マルウェアなど複数の手法を使う

 ・攻撃は長期間続き、数カ月から数年にも及ぶ

 

関与した国、メンバーを特定

「ATP10」に対する声明で外務省は、「中国を拠点とする~」と国名を明記しましたが、これまで公開されてきた報告では、攻撃の拠点は中国がもっとも多く、イランや北朝鮮、ロシアなども、関与が疑われるとして国名が挙がっています。

 

攻撃者は通信経路を秘匿するプロトコルを使い、侵入したシステムに足跡を残さないようにします。しかし、痕跡を完全に消すことは不可能で、狙われたサーバーの機能やマルウェアの挙動、乗っ取ったマシンに指令を出すC&Cサーバーのアドレスと通信記録などを総合すると、グループの拠点や標的、目的は見えてきます。

 

追跡する側は、複数の事象、証拠を積み上げて判断しますから、関与が疑われる国や地域、目的などで固有名詞が出ても、信憑性は高いと見ていいでしょう。現在も攻撃は続いていると見られる「ATP10」の一件では、アメリカ司法省が2人の中国人を起訴し、顔写真を含む手配書も公開されて話題になりました。

 

ATPは分派を生む

この先、産業界が留意しなければならないことは、ATPからの分派ではないでしょうか。犯罪史を見ても、大きな犯罪組織が分裂するか、技術を会得したメンバーが巣立ち、手近なところで標的を探した事件はよく起きています。サイバー犯罪も例外ではないでしょう。

 

国の後ろ楯がある組織は、採算を度外視して攻撃を仕掛けてきますから、攻撃力は強大です。ですから派生したグループの力も、これと同等か近いと見なすべきでしょう。現在は、通常の方法ではアクセスできないダークWebなどで、マルウェアなどのツールや攻撃に必要な知識が手に入ることも被害拡大に影響しています。

 

ATPとその流れをくむ組織から攻撃を受けたら、ガードを固めていたとしても、被害を完全に防ぐことは難しいかもしれません。しかし、手だてはあります。継続的な脅威の中身は、ソフトウェアの脆弱性を突いた侵入、標的型攻撃、トロイの木馬など、既存の手法を組み合わせたものが大半です。

 

「ATP10」は特定の要人に狙いを定め周到に調べた上で、ログインIDやパスワードを搾取するスピア・フィッシングが糸口とされています。この攻撃は、2015年に日本年金機構から大量の個人情報が流出した事件で使われた手口で、これを機に警戒を強めた企業も多いはずです。

 

 

ATPから学ぶ企業の心構えは?

「ATP10」に関する外務報道官談話を受けて、内閣サイバーセキュリティセンターから「ATP10といわれるグループによるサイバー攻撃について(注意喚起)」が発表されました。同文書では、さまざまな変種、手口を持つATPへの対策として以下を挙げています。

https://www.mofa.go.jp/mofaj/press/danwa/page4_004594.html

 

 ・不審なメール、添付ファイルは開かない

 ・OS、プログラムのパッチのアップデートを速やかに適用するなど、可能な範囲でセキュリティ対策の一層の強化を行う

 ・不審な動きを検知した場合は、速やかに所管省庁、セキュリティ関係機関に連絡する

 

これらの対策は広く知られる正攻法ですが、ATP対策もここから外れるものではありません。敵は先鋭的な犯罪組織だとしても、基本を地道に実践しているか否かが問われるのです。

 

もう一つ付け加えるとすれば、セキュリティに対する感度を高めておくことです。企業やセキュリティ協会が発信している注意情報を気にしておくことで、流行しているフィッシングメールなど攻撃の気配に気付くことができます。メール受信時やWebアクセス時などに、「いつもと何か違う」、「少し変だ」と一人ひとりが気付けるようになれば被害の拡大を防げるのです。