APT攻撃

APT攻撃（APTこうげき、英：Advanced Persistent Threat、持続的標的型攻撃）はサイバー攻撃の一分類であり、標的型攻撃のうち「発展した／高度な（Advanced）」「持続的な／執拗な（Persistent）」「脅威（Threat）」の略語で長期間にわたりターゲットを分析して攻撃する緻密なハッキング手法、または集団^[1][2][3]。「ターゲット型攻撃(APT)」とも訳される^[4]。

独立行政法人 情報通信研究機構（NICT）のサイバー攻撃対策総合研究センター（CYREC）では「特定の相手に狙いを定め、その相手に適合した方法・手段を適宜用いて侵入・潜伏し、数か月から数年にわたって継続するサイバー攻撃」^[5]としている。世界のセキュリティー業界では、組織名不明のクラッカー組織を見つけると、イランに拠点を置くハッカー組織APT33、ロシアのAPT29、北朝鮮のAPT38のように「APT＋数字」で名前を付ける^[3]。

経緯

特定の組織内の情報を窃取するためのコンピュータウイルスやマルウェアが標的型脅威（Targeted threat）と分類され、これらを用いるサイバー攻撃が標的型攻撃と呼ばれるようになり、無差別に行われる他のサイバー攻撃と区別していた。

2005年7月には、標的型攻撃の中でも、高度な技術を駆使するものについての警告がイギリスのUK-NISCCとアメリカのUS-CERTから発行された ^{[6] [7]} 。ただし、当時はまだAPT（Advanced Persistent Threat）という用語は用いていなかった。

最初にAPT（Advanced Persistent Threat）という用語を用いたのは、2006年、アメリカ空軍においてであったという。 正体不明の敵による攻撃について論じる際に、この用語は適していたという ^[8] 。

今日、APT攻撃は、標的型攻撃の中で区別されるようになっている ^{[9] [10]} 。

2010年1月、Googleの中国拠点等において発生した「オーロラ作戦（Operation Aurora）」という一連の攻撃事件が話題になった ^[11]。

2010年6月、中東の原子力施設を狙った「スタックスネット（Stuxnet）」というコンピュータワームが発見された。

2010年12月に独立行政法人 情報処理推進機構（IPA）から内容的にAPT攻撃についてのレポートが公開された ^[12]。

2013年4月に独立行政法人 情報通信研究機構（NICT）が設立した「サイバー攻撃対策総合研究センター（CYREC）」の設立理由の筆頭に、このAPT攻撃が記述されている ^[5]。

攻撃プロセス

攻撃プロセスは、次のように整理できる ^[13] 。

• 初期侵害（Initial Compromise）：バックドア不正プログラム投入（通常の標的型攻撃）
• 拠点確立（Establish Foothold）：バックドアとの通信を確立、追加機能投入
• 権限昇格（Escalate Privileges）：パスワードクラック、パス・ザ・ハッシュ（Pass the hash）等
• 内部偵察（Internal Reconnaissance）：イントラネット構成調査
• （水平展開（Move Laterally）：イントラネット内を移動）←反復
• （存在維持（Maintain Presence）：バックドアの追加設置等）←反復
• 任務遂行（Complete Mission）：情報の窃取（ファイル圧縮・ファイル転送等）

緩和戦略

イントラネットの設計・構築・運用管理において、多層防御を行う必要がある ^[14][15]。

• 潜入しているマルウェア（遠隔操作ツール RAT）を発見するためには、そのRATが行うネットワーク内外への通信を捉えることが重要である^[16][8]。

• クライアントPCについて、Windows標準のセキュリティ機能（ZoneID、AppLocker等）を設定することによって、メール添付ファイルの実行を抑止できる^[17]。

• マルウェアを検出したクライアントPCをネットワークから自動遮断するソリューションを活用することができる^[18]。

• スーパーユーザーのアクセス権限の設定において、アイデンティティ管理ソリューションの、いわゆる特権ID管理ソリューションを活用することができる。

• 攻撃者が心理的に「内部偵察」しにくいようにイントラネットのシステムを設計し、攻撃者の「内部偵察」活動を発見するための「トラップ（罠）」を設置し、システム管理者が「水平展開」活動に早期に気付くことができるようにする必要がある。

• 攻撃の痕跡をデータログに捕捉できるようにサービスや機器を設定する^[19]。

• 各システムのデータログを関連付けて把握し易くするためにはSIEM（Security Information and Event Management）ツールを導入する。その前提として、各システムの時計を同期させておく必要がある。

組織内にCSIRT（Computer Security Incident Response Team）を編成し、運営する^[20]。

APTグループ

国名	APT	グループ名	別名	出典
中国	APT1	中国人民解放軍61398部隊	Comment Crew、Comment Panda、GIF89a、Byzantine Candor	[21]
	APT2	PLA Unit 61486
	APT3	Buckeye	UPS Team[21]	[22]
	APT4		Maverick Panda、Sykipot Group、Wisp	[21]
	APT6			[21]
	APT7			[21]
	APT8			[21]
	APT9			[21]
	APT10	Red Apollo	APT10 (by Mandiant)、MenuPass (by ファイア・アイ)、Stone Panda (by Crowdstrike)、POTASSIUM (by マイクロソフト)	[23][24]
	APT12	Numbered Panda（英語版）	Calc Team	[21]
	APT14			[21]
	APT15	ニッケル (ハッカー集団)（英語版）	KE3CHANG、Vixen Panda、Royal APT、Playful Dragon	[25]
	APT16			[21]
	APT17	Tailgator Team、DeputyDog		[21][26]
	APT18	Wekby		[21]
	APT19	Codoso Team
	APT20	Wocao	Twivy[21]	[27][28]
	APT21	Zhenbao		[21]
	APT22	Barista		[21]
	APT23			[21]
	APT24	PittyTiger		[21]
	APT25		Uncool、Vixen Panda、Ke3chang、Sushi Roll、Tor	[21]
	APT26			[21]
	APT27			[29]
	APT30	PLA Unit 78020	Naikon
	APT31	ジルコニウム (ハッカー集団)		[30][31]
	APT40	APT40	BRONZE MOHAWK、FEVERDREAM、G0065、Gadolinium、GreenCrash、Hellsing、Kryptonite Panda、Leviathan、MUDCARP、Periscope、Temp.Periscope、Temp.Jumper
	APT41	ダブルドラゴン (ハッカー集団)（英語版）	Winnti Group、Barium、Axiom	[32][33][34][35]
		Tropic Trooper		[36][37]
		ハフニウム		[38][39]
イラン	APT33	Elfin Team（英語版）	Refined Kitten(by Crowdstrike)、マグナリウム (by Dragos)、ホルミウム (by マイクロソフト)	[40][41][42]
	APT34	Helix Kitten（英語版）
	APT35	Charming Kitten（英語版）	APT35 (by Mandiant)、Phosphorus (by Microsoft)[43]、Ajax Security (by ファイア・アイ)[44]、NewsBeef (by カスペルスキー)[45][46]
	APT39
		Pioneer Kitten		[47]
イスラエル		8200部隊
北朝鮮		キムスキー	ベルベット・チョンリマ、ブラック・バンシー
	APT37	Ricochet Chollima（英語版）	Reaper、ScarCruft
	APT38	ラザルスグループ
ロシア	APT28	ファンシーベア	Fancy Bear、APT28 (by Mandiant)、Pawn Storm、Sofacy Group (by Kaspersky)、Sednit、Tsar Team (by ファイア・アイ)、ストロンチウム (by マイクロソフト)	[48][49]
	APT29	コージーベア（英語版）	CozyCar[50]、CozyDuke[51][52] (by F-Secure)、Dark Halo、The Dukes (by Volexity)、NOBELIUM、Office Monkeys、StellarParticle、UNC2452、YTTRIUM
		サンドワーム	Unit 74455、Telebots、ブードゥー・ベア、アイアン・バイキング	[53]
		ベルセルクベア（英語版）	Crouching Yeti、Dragonfly、Dragonfly 2.0、DYMALLOY、Energetic Bear、Havex、IRON LIBERTY、Koala、TeamSpy	[54][55][56]
		FIN7
		Venomous Bear
アメリカ		イクエーション・グループ		[57]
ウズベキスタン		サンドキャット	ウズベキスタン国家保安庁	[58]
ベトナム	APT32	OceanLotus（英語版）		[59][60]
不明	APT5			[21]

関連項目

• オーロラ作戦
• スタックスネット
• ダークホテル
• アメリカ NSA（国家安全保障局）／TAO（Tailored Access Operations）
• イスラエル 8200部隊
• 中国サイバー軍
• 年金管理システムサイバー攻撃問題

脚注

[脚注の使い方]

1. “ターゲット型攻撃（APT）への対策”. トレンドマイクロ. 2015年6月11日閲覧。
2. 中山 貴禎 (2013年9月2日). “脅威の本質を知る：断固たる決意で襲ってくる「APT攻撃」とは”. ZDNET Japan. 2015年6月11日閲覧。
3. 「「北朝鮮のハッカー組織、海外で1260億円奪おうとした」朝鮮日報」『』。2018年10月4日閲覧。
4. “「持続的標的型攻撃」とは？”. シスコシステムズ. 2015年6月11日閲覧。
5. サイバー攻撃対策総合研究センター(CYREC)
6. “JPCERT/CC REPORT 2005-07-13”. JPCERT/CC (2005年7月13日). 2015年6月14日閲覧。
7. “TRTA05-189A「トロイの木馬」添付メールの流布”. JVN (2005年7月11日). 2015年6月14日閲覧。
8. Beth E. Binde; Russ McRee, Terrence J. O'Connor. “Assessing Outbound Traffic to Uncover Advanced Persistent Threat” (PDF). SANS Technology Institute. 2015年6月14日閲覧。
9. “サイバー攻撃 : 標的型攻撃とは、APTとは”. Symantec. 2015年6月13日閲覧。
10. Sean Bodmer; Dr. Max Kilger; Gregory Carpenter; Jade Jones (2012). Reverse Deception: Organized Cyber Threat Counter-Exploitation. McGraw-Hill Osborne Media. ISBN 978-0071772495
11. Mikko Hypponen (2010年1月14日). “Googleに対する標的型攻撃”. ITmedia. https://www.itmedia.co.jp/enterprise/articles/1001/14/news085.html 2015年6月18日閲覧。
12. “IPAテクニカルウォッチ『新しいタイプの攻撃』に関するレポート”. IPA. 2015年6月11日閲覧。
13. “APT1: Exposing One of China's Cyber Espionage Units” (PDF). Mandiant. pp. 63-65 (2013年). 2015年6月11日閲覧。
14. 河野 省二 (2014年9月1日). “多層防御と情報セキュリティコストの最適化”. dit. 2015年6月15日閲覧。
15. “標的型サイバー攻撃から重要資産を守るために、いま企業がやるべきこと：第2回 本当の多層防御を考える”. McAfee Blog (2012年1月18日). 2015年6月15日閲覧。
16. “「標的型メールは防げない」――年金機構の情報流出から学ぶべきこと、トレンドマイクロが公開”. ITmedia. (2015年6月11日). https://www.itmedia.co.jp/news/articles/1506/11/news137.html 2015年6月13日閲覧。
17. 北河 拓士 (2015年9月16日). “続・設定を見直すだけ、いますぐ簡単にできる「標的型メール攻撃対策」”. @IT. 2015年12月19日閲覧。
18. 大塚 昭彦 (2015年7月1日). “キヤノンITS、ウイルス感染端末の自動遮断ソリューション”. ASCII. https://ascii.jp/elem/000/001/024/1024165/ 2015年12月11日閲覧。
19. “高度サイバー攻撃への対処におけるログの活用と分析方法” (PDF). JPCERT/CC (2015年11月17日). 2015年12月13日閲覧。
20. “組織内CSIRT の必要性” (PDF). JPCERT/CC (2015年11月26日). 2015年6月13日閲覧。
21. “APT攻撃グループ”. ファイア・アイ. 2022年1月17日閲覧。
22. “Buckeye: Espionage Outfit Used Equation Group Tools Prior to Shadow Brokers Leak”. Symantec (2019年5月7日). 2019年5月7日時点のオリジナルよりアーカイブ。2019年7月23日閲覧。
23. “APT10 (MenuPass Group): New Tools, Global Campaign Latest Manifestation of Longstanding Threat” (英語). FireEye. 2021年3月7日閲覧。
24. Kozy, Adam (2018年8月30日). “Two Birds, One STONE PANDA” (英語). 2021年3月7日閲覧。
25. “MS、中国APTグループ「Nickel」が攻撃に使用していたドメインを押収”. ZDNet Japan (2021年12月7日). 2022年1月4日閲覧。
26. “APT17: Hiding in Plain Sight - FireEye and Microsoft Expose Obfuscation Tactic”. FireEye. (May 2015). https://www2.fireeye.com/rs/fireye/images/APT17_Report.pdf
27. “Wocao APT20”. fox-it.com. NCC Group (2019年12月19日). 2022年1月4日閲覧。
28. “China-Based Cyber Espionage Group Targeting Orgs in 10 Countries”. www.darkreading.com. Dark Reading (December 19, 2019). 12 January 2020閲覧。
29. “Chinese hackers posed as Iranians to breach Israeli targets, FireEye says”. www.cyberscoop.com (10 August 2021). 15 August 2021閲覧。
30. “Right country, wrong group? Researchers say it wasn't APT10 that hacked Norwegian software firm”. www.cyberscoop.com. Cyberscoop (February 12, 2019). 16 October 2020閲覧。
31. “Google offers details on Chinese hacking group that targeted Biden campaign”. Cyberscoop (October 16, 2020). 16 October 2020閲覧。
32. “Double Dragon APT41, a dual espionage and cyber crime operation”. FireEye (2019年10月16日). 2020年4月14日閲覧。
33. “Bureau names ransomware culprits”. www.taipeitimes.com. Taipei Times (May 17, 2020). 22 May 2020閲覧。
34. “No "Game over" for the Winnti Group”. www.welivesecurity.com. We Live Security (21 May 2020). 22 May 2020閲覧。
35. Greenberg, Andy (August 6, 2020). “Chinese Hackers Have Pillaged Taiwan's Semiconductor Industry”. Wired. https://www.wired.com/story/chinese-hackers-taiwan-semiconductor-industry-skeleton-key/ 7 August 2020閲覧。.
36. “Tropic Trooper's Back: USBferry Attack Targets Air-gapped Environments”. blog.trendmicro.com. Trend Micro (12 May 2020). 16 May 2020閲覧。
37. “Hackers target the air-gapped networks of the Taiwanese and Philippine military”. ZDnet. 16 May 2020閲覧。
38. Naraine, Ryan (2021年3月2日). “Microsoft: Multiple Exchange Server Zero-Days Under Attack by Chinese Hacking Group” (English). securityweek.com. Wired Business Media. 2021年3月3日閲覧。
39. Burt, Tom (2021年3月2日). “New nation-state cyberattacks” (English). blogs.microsoft.com. Microsoft. 2021年3月3日閲覧。
40. “Elfin: Relentless Espionage Group Targets Multiple Organizations in Saudi Arabia and U.S.”. 2022年1月4日閲覧。
41. “MAGNALLIUM | Dragos” (30 May 2020). 2022年1月4日閲覧。
42. “Microsoft says Iran-linked hackers targeted businesses” (6 March 2019). 2022年1月4日閲覧。
43. “Microsoft uses court order to shut down APT35 websites”. CyberScoop (March 27, 2019). 2022年1月4日閲覧。
44. “Ajax Security Team lead Iran-based hacking groups”. Security Affairs (May 13, 2014). 2022年1月4日閲覧。
45. “Freezer Paper around Free Meat”. securelist.com. 2022年1月4日閲覧。
46. Bass, Dina. “Microsoft Takes on Another Hacking Group, This One With Links to Iran”. news.bloomberglaw.com. 2022年1月4日閲覧。
47. “Pioneer Kitten APT Sells Corporate Network Access”. threatpost.com. 2022年1月4日閲覧。
48. Poulson, Kevin (21 July 2018). “Mueller Finally Solves Mysteries About Russia's 'Fancy Bear' Hackers”. https://www.thedailybeast.com/mueller-finally-solves-mysteries-about-russias-fancy-bear-hackers 21 July 2018閲覧。
49. DimitrisGritzalis，Marianthi Theocharidou，George Stergiopoulos (2019-01-10) (英語). Critical Infrastructure Security and Resilience: Theories, Methods, Tools .... Springer, 2019. ISBN 9783030000240. https://books.google.com/books?id=zAuCDwAAQBAJ&q=APT28%2C+RED+October
50. “Who Is COZY BEAR?”. CrowdStrike. (19 September 2016). https://www.crowdstrike.com/blog/who-is-cozy-bear/
51. “F-Secure Study Links CozyDuke to High-Profile Espionage” (Press Release) (30 April 2015). 6 January 2017閲覧。
52. “Cyberattacks Linked to Russian Intelligence Gathering” (Press Release). F-Secure (17 September 2015). 6 January 2017閲覧。
53. “Six Russian GRU Officers Charged in Connection with Worldwide Deployment of Destructive Malware and Other Disruptive Actions in Cyberspace”. DOJ Office of Public Affairs. United States Department of Justice. (October 19, 2020). https://www.justice.gov/opa/pr/six-russian-gru-officers-charged-connection-worldwide-deployment-destructive-malware-and July 23, 2021閲覧。
54. “Dragonfly 2.0, IRON LIBERTY, DYMALLOY, Berserk Bear, Group G0074 | MITRE ATT&CK®”. attack.mitre.org. 2022年1月4日閲覧。
55. “Russian state hackers stole data from US government networks”. BleepingComputer. 2022年1月4日閲覧。
56. Goodin, Dan (December 7, 2020). “NSA says Russian state hackers are using a VMware flaw to ransack networks”. Ars Technica. 2022年1月4日閲覧。
57. “Equation: The Death Star of Malware Galaxy”. Kaspersky Lab (2015年2月16日). 2019年7月11日時点のオリジナルよりアーカイブ。2019年7月23日閲覧。
58. “Kaspersky finds Uzbekistan hacking op… because group used Kaspersky AV”. arstechnica.com. Ars Technica (3 October 2019). 5 October 2019閲覧。
59. “Offensive Cyber Capabilities and Public Health Intelligence: Vietnam, APT32, and COVID-19”. thediplomat.com. The Diplomat. 29 April 2020閲覧。
60. Tanriverdi, Hakan; Zierer, Max; Wetter, Ann-Kathrin; Biermann, Kai; Nguyen, Thi Do (October 8, 2020). “Lined up in the sights of Vietnamese hackers”. Bayerischer Rundfunk. https://web.br.de/interaktiv/ocean-lotus/en/. "In Bui’s case the traces lead to a group presumably acting on behalf of the Vietnamese state. Experts have many names for this group: APT 32 and Ocean Lotus are best known. In conversations with a dozen of information security specialists, they all agreed that this is a Vietnamese group spying, in particular, on its own compatriots."