APT攻撃とは?攻撃の特徴や被害事例を解説
APT攻撃(Advanced Persistent Threat 持続的標的型攻撃)はサイバー攻撃の手法である
「標的型攻撃」に分類され、標的型攻撃より高度に長期間、持続的に対象の組織やグループに攻撃を行う事を指します。今回はこのAPT攻撃の手口や特徴、海外や日本の事例、有名なAPTグループについて解説していきます。
目次
APT攻撃とは
APT攻撃は標的型攻撃の1つで、高度な手法を用いて長期間・持続的に対象へ情報の窃取、攻撃を行います。攻撃対象は国やそれに近いグループである事が多く中国やロシア、北朝鮮は積極的にAPT攻撃を行っています。以下から共通攻撃手法と個別攻撃手法について解説します。
共通攻撃手法
攻撃対象のシステムへ侵入する事を目的とした共通攻撃手法は
中国が米国の政治家やジャーナリストの行動監視・情報窃取を行うために、悪意のあるURLが添付したメールを送信していた事例は、この共通攻撃手法に該当します。
個別攻撃手法
個別攻撃手法は情報窃取を目的として、サーバや特権IDを奪取する攻撃手法です。
APT攻撃の目的
APT攻撃の目的は
・情報や仮想通貨の窃取
・仮想敵国グループへの重要インフラへの攻撃やプロパガンダの流布
・仮想敵国やグループの重要人物の情報収集
などです。
APT攻撃の対象が国家に近い集団になるので、ランサムウェアグループのようにリークサイトへ自らハッキングした事を公表したりはしません。
あくまで、静かに長く侵入し情報を窃取します。
APT攻撃の特徴
APT攻撃は標的型の攻撃である他に、以下の特徴があります。
静かに侵入・痕跡を残さない
情報の窃取を目的とした場合、対象に気づかれない事が重要な為
ターゲットへの侵入する際は侵入する前の情報収集を念入りに行い
時にはソーシャルエンジニアリング的な手法で、対象を信用させネットワークに侵入していきます。
また侵入に気づかれないよう特権IDを奪取し、侵入ログを消去するよう試みます。
持続的に攻撃する
攻撃対象のネットワークや端末に侵入した後は、長期間持続的に攻撃・情報の窃取を行います。
ゼロデイ攻撃や専用ハッキングツールで攻撃する
既知の脆弱性を利用すると、攻撃を検知・防御される確率が上がりますので、APT攻撃の場合
ゼロデイ攻撃や時には対象を攻撃する為の専用のハッキングツールを開発し利用します。
APT攻撃の事例
APT攻撃の事例は以下になり、基本的には国に支援しているハッキンググループが関わっています。
北朝鮮のAPTグループ「ラザルス」による仮想通貨関連のハッキング
北朝鮮は外貨獲得施策の1つとして国家的に仮想通貨取引所へハッキングを行っていて、2024年に国連が発表したレポートでは北朝鮮は仮想通貨取引所やそれに関するサイトから4500億円を窃取し、さらに外貨収入の約50%をサイバー攻撃によって獲得していると公表しています。
このハッキングには北朝鮮のAPTグループ「ラザルス グループ(Lazarus Group)」が関わっています。
中国のAPTグループ「APT31」
中国のAPTグループ「APT31」は米政府関係者や対中政策に関する列国議会連盟(IPAC)の関係者へ
高度な標的型攻撃メールを送信しており、感染対象者から情報を窃取していました。
また複数のサプライチェーン攻撃にも関わっています・
ロシアのAPTグループ「APT28」
APT28はロシア連邦軍参謀本部情報総局が関わっており、スプアフィッシングや偽のニュースサイト経由でマルウェアに感染させ対象に侵入していきます。
攻撃対象は西欧諸国やNATO、米国国連機関など様々でウクライナ戦争でも重要施設へ情報窃取した事が確認されています。