APT攻撃

APT攻撃（APTこうげき、英：Advanced Persistent Threat、持続的標的型攻撃）はサイバー攻撃の一分類であり、標的型攻撃のうち「発展した／高度な（Advanced）」「持続的な／執拗な（Persistent）」「脅威（Threat）」の略語で長期間にわたりターゲットを分析して攻撃する緻密なハッキング手法、または集団^[1][2][3]。「ターゲット型攻撃(APT)」とも訳される^[4]。

独立行政法人 情報通信研究機構（NICT）のサイバー攻撃対策総合研究センター（CYREC）では「特定の相手に狙いを定め、その相手に適合した方法・手段を適宜用いて侵入・潜伏し、数か月から数年にわたって継続するサイバー攻撃」^[5]としている。世界のセキュリティー業界では、組織名不明のクラッカー組織を見つけると、イランに拠点を置くハッカー組織APT33、ロシアのAPT29、北朝鮮のAPT38のように「APT＋数字」で名前を付ける^[3]。

経緯

特定の組織内の情報を窃取するためのコンピュータウイルスやマルウェアが標的型脅威（Targeted threat）と分類され、これらを用いるサイバー攻撃が標的型攻撃と呼ばれるようになり、無差別に行われる他のサイバー攻撃と区別していた。

2005年7月には、標的型攻撃の中でも、高度な技術を駆使するものについての警告がイギリスのUK-NISCCとアメリカのUS-CERTから発行された ^{[6] [7]} 。ただし、当時はまだAPT（Advanced Persistent Threat）という用語は用いていなかった。

最初にAPT（Advanced Persistent Threat）という用語を用いたのは、2006年、アメリカ空軍においてであったという。 正体不明の敵による攻撃について論じる際に、この用語は適していたという ^[8] 。

今日、APT攻撃は、標的型攻撃の中で区別されるようになっている ^{[9] [10]} 。

2010年1月、Googleの中国拠点等において発生した「オーロラ作戦（Operation Aurora）」という一連の攻撃事件が話題になった ^[11]。

2010年6月、中東の原子力施設を狙った「スタックスネット（Stuxnet）」というコンピュータワームが発見された。

2010年12月に独立行政法人 情報処理推進機構（IPA）から内容的にAPT攻撃についてのレポートが公開された ^[12]。

2013年4月に独立行政法人 情報通信研究機構（NICT）が設立した「サイバー攻撃対策総合研究センター（CYREC）」の設立理由の筆頭に、このAPT攻撃が記述されている ^[5]。

攻撃プロセス

攻撃プロセスは、次のように整理できる ^[13] 。

• 初期侵害（Initial Compromise）：バックドア不正プログラム投入（通常の標的型攻撃）
• 拠点確立（Establish Foothold）：バックドアとの通信を確立、追加機能投入
• 権限昇格（Escalate Privileges）：パスワードクラック、パス・ザ・ハッシュ（Pass the hash）等
• 内部偵察（Internal Reconnaissance）：イントラネット構成調査
• （水平展開（Move Laterally）：イントラネット内を移動）←反復
• （存在維持（Maintain Presence）：バックドアの追加設置等）←反復
• 任務遂行（Complete Mission）：情報の窃取（ファイル圧縮・ファイル転送等）

緩和戦略

イントラネットの設計・構築・運用管理において、多層防御を行う必要がある ^[14][15]。

• 潜入しているマルウェア（遠隔操作ツール RAT）を発見するためには、そのRATが行うネットワーク内外への通信を捉えることが重要である^[16][8]。

• クライアントPCについて、Windows標準のセキュリティ機能（ZoneID、AppLocker等）を設定することによって、メール添付ファイルの実行を抑止できる^[17]。

• マルウェアを検出したクライアントPCをネットワークから自動遮断するソリューションを活用することができる^[18]。

• スーパーユーザーのアクセス権限の設定において、アイデンティティ管理ソリューションの、いわゆる特権ID管理ソリューションを活用することができる。

• 攻撃者が心理的に「内部偵察」しにくいようにイントラネットのシステムを設計し、攻撃者の「内部偵察」活動を発見するための「トラップ（罠）」を設置し、システム管理者が「水平展開」活動に早期に気付くことができるようにする必要がある。

• 攻撃の痕跡をデータログに捕捉できるようにサービスや機器を設定する^[19]。

• 各システムのデータログを関連付けて把握し易くするためにはSIEM（Security Information and Event Management）ツールを導入する。その前提として、各システムの時計を同期させておく必要がある。

組織内にCSIRT（Computer Security Incident Response Team）を編成し、運営する^[20]。

APTグループ

国名	APT	グループ名	別名	出典
中国	APT1	中国人民解放軍61398部隊	Comment Crew、Comment Panda、GIF89a、Byzantine Candor	[21]
	APT2	PLA Unit 61486
	APT3	Buckeye	UPS Team[21]	[22]
	APT4		Maverick Panda、Sykipot Group、Wisp	[21]
	APT6			[21]
	APT7			[21]
	APT8			[21]
	APT9			[21]
	APT10	Red Apollo	APT10 (by Mandiant)、MenuPass (by ファイア・アイ)、Stone Panda (by Crowdstrike)、POTASSIUM (by マイクロソフト)	[23][24]
	APT12	Numbered Panda（英語版）	Calc Team	[21]
	APT14			[21]
	APT15	ニッケル (ハッカー集団)（英語版）	KE3CHANG、Vixen Panda、Royal APT、Playful Dragon	[25]
	APT16			[21]
	APT17	Tailgator Team、DeputyDog		[21][26]
	APT18	Wekby		[21]
	APT19	Codoso Team
	APT20	Wocao	Twivy[21]	[27][28]
	APT21	Zhenbao		[21]
	APT22	Barista		[21]
	APT23			[21]
	APT24	PittyTiger		[21]
	APT25		Uncool、Vixen Panda、Ke3chang、Sushi Roll、Tor	[21]
	APT26			[21]
	APT27			[29]
	APT30	PLA Unit 78020	Naikon
	APT31	ジルコニウム (ハッカー集団)		[30][31]
	APT40	APT40	BRONZE MOHAWK、FEVERDREAM、G0065、Gadolinium、GreenCrash、Hellsing、Kryptonite Panda、Leviathan、MUDCARP、Periscope、Temp.Periscope、Temp.Jumper
	APT41	ダブルドラゴン (ハッカー集団)（英語版）	Winnti Group、Barium、Axiom	[32][33][34][35]
		Tropic Trooper		[36][37]
		ハフニウム		[38][39]
イラン	APT33	Elfin Team（英語版）	Refined Kitten(by Crowdstrike)、マグナリウム (by Dragos)、ホルミウム (by マイクロソフト)	[40][41][42]
	APT34	Helix Kitten（英語版）
	APT35	Charming Kitten（英語版）	APT35 (by Mandiant)、Phosphorus (by Microsoft)[43]、Ajax Security (by ファイア・アイ)[44]、NewsBeef (by カスペルスキー)[45][46]
	APT39
		Pioneer Kitten		[47]
イスラエル		8200部隊
北朝鮮		キムスキー	ベルベット・チョンリマ、ブラック・バンシー
	APT37	Ricochet Chollima（英語版）	Reaper、ScarCruft
	APT38	ラザルスグループ
ロシア	APT28	ファンシーベア	Fancy Bear、APT28 (by Mandiant)、Pawn Storm、Sofacy Group (by Kaspersky)、Sednit、Tsar Team (by ファイア・アイ)、ストロンチウム (by マイクロソフト)	[48][49]
	APT29	コージーベア（英語版）	CozyCar[50]、CozyDuke[51][52] (by F-Secure)、Dark Halo、The Dukes (by Volexity)、NOBELIUM、Office Monkeys、StellarParticle、UNC2452、YTTRIUM
		サンドワーム	Unit 74455、Telebots、ブードゥー・ベア、アイアン・バイキング	[53]
		ベルセルクベア（英語版）	Crouching Yeti、Dragonfly、Dragonfly 2.0、DYMALLOY、Energetic Bear、Havex、IRON LIBERTY、Koala、TeamSpy	[54][55][56]
		FIN7
		Venomous Bear
アメリカ		イクエーション・グループ		[57]
ウズベキスタン		サンドキャット	ウズベキスタン国家保安庁	[58]
ベトナム	APT32	OceanLotus（英語版）		[59][60]
不明	APT5			[21]

関連項目

• オーロラ作戦
• スタックスネット
• ダークホテル
• アメリカ NSA（国家安全保障局）／TAO（Tailored Access Operations）
• イスラエル 8200部隊
• 中国サイバー軍
• 年金管理システムサイバー攻撃問題