社内SEとして知っておくべきAPT
7月19日にAPT40と呼ばれる中国政府を背景に持つサイバー攻撃グループについて外務省談話が公開されました。
https://www.mofa.go.jp/mofaj/press/danwa/page6_000583.html
この手の話題がN〇Kとか日本経〇新聞とかに掲載されると、普段はセキュリティのことを気に留めない一部の経営層の方から社内SEへこんな質問が飛んでくることがあります。
『APT40とかいうやばい組織がいるそうじゃないか。うちの会社はAPT40に狙われないのか』
『APT40に狙われてもちゃんと防御できるのか』
大企業の場合はお抱えのSOCとかCSIRTとかセキュリティの専門家がいらっしゃるかもしれませんが、中小企業になるとセキュリティ専任社員というのはかなり珍しいです。
規模によっては総務兼任情シスという情シス0人企業もあります。
その場合に経営層の方は当然ながら、社内で一番ITに詳しい人にあたりをつけて話を持ち掛けます。
社内SEサイドで考えると『そんなことまで知らんわ!』と叫びたい方がいらっしゃるかもしれませんし、逆に経営層を納得させるような説明ができる方もいらっしゃるでしょう。
今回は『そんなことまで知らんわ!』な社内SEの方へ向けて、APTに関する概要と”こう聞かれたときはこう答えよう!”な内容をお届けします。
APTとは?
APTとはAdvanced Persistent Threatの略称で、日本語にすると標的型攻撃と呼ばれます(日本語の方は聞いたことある人が多いかも)。
APTの特徴としては、攻撃標的を限定して事前調査や偵察行為を行い、その標的に向けてあの手この手で攻撃してくる、いわばオーダーメイド型のサイバー攻撃です。
この辺りはアメリカロッキードマーティン社のCyber Kill Chainが参考になります。
https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html
APTという言葉自体はサイバー攻撃の手法の1つなのですが、このような執拗で高度な攻撃をしてくるグループのことをAPT+番号をつけて呼称しています。
APT40は数ある攻撃グループのうちの1つであり、中国政府と関与しているとみられています。
他にも北朝鮮やロシアと関与しているAPTグループや、フリーランスの集まりではないかとされているAPTグループもあり、必ずしも中国と関連しているわけではありません。
そして今回は中国政府が支援するAPT40について外務省談話が発表されていますが、社内SEのみなさんは他にもAPTグループがあることを認識しておきましょう。
これは私の個人的意見ですが、今回の談話が公開されたのはAPT40が何か日本に対して大規模なサイバー攻撃を予告したり実行したのではなく、中国政府へのけん制という意味合いが強いのではと感じています。
サイバー攻撃の現状
社内SEさんであれば現状のサイバー攻撃の現状を認識しておきましょう。
今回あげられたAPTグループは国家の支援を受けていることが多く、すでに”国家間を巻き込んでのサイバー攻撃は発生している”ということです。
サイバー攻撃の動機として現在の流行は金銭目的ですが、国家の意思によるサイバー攻撃も実行されています。
アメリカ軍にはサイバー軍という部隊が既に存在していますし、それは中国でも他の国家でも同じことです。
そしてサイバー攻撃による被害は直接人命に影響していない(ように見える)ので、国家vs国家ではなく国家vs一般企業ということが平気で起きたりします。
自社が狙われることがあるのか
そもそもAPTグループが標的を選ぶのであって、社内SEにそんなことを聞かれても『しらねえよ!』と言いたくなりますが我慢しましょう。
まずAPTグループが行う攻撃は、それなりに時間もお金もかけて攻撃の準備をして、攻撃を実行してからも高度な技術で隠ぺいします。
つまり手間がかかっているので、当然それに見合った成果が得られるような企業を狙います。
絶対的に断言はできませんが、APTグループに狙われる特徴としては下記があります。
- 大企業やグループ企業など企業規模が大きく世間的に認知度が高い
- 防衛・先端技術・原子力・航空宇宙といった国家として重要情報を持っている
- 国家として重要情報を持っている企業の子会社または取引先である
以上の特徴に当てはまるとAPTグループの標的になりやすいです。
逆に1つもあてはまらない企業さんの場合はAPTグループの標的になる可能性は低いです。
そんな会社の社内SEの方は攻撃を受ける可能性がはるかに高いフィッシングメール対策でも提案しましょう。
ただし、説明として『うちはAPTの標的には絶対なりませんよ、ハッハッハ』とか言ってはいけません。思い込みで可能性を否定すると、いざというときに適切な対応ができなくなります。
どうやって防ぐのか
APTグループによる攻撃は、国家レベルがガチで攻撃してきます。
あらゆるところやあらゆる手段を使って事前調査を行い、少しでも脆弱な個所を見つけると専用のマルウェアを作り、侵入に成功したらばれないよう隠ぺい工作をしながら情報収集されます。
やってることは完全に軍隊の攻撃行為(実際、Cyber Kill Chainを提唱したロッキードマーティンも国防事業を担当しています)なのでいち企業が防衛するのはかなり大変です。
戦略としては”Cyber Kill Chainのどこか1か所でも防衛に成功すればよい”という考えになります。
例えば事前調査のレベルで防衛するなら、サーバー関連の情報は完全部外秘にするとか、敵の目につかないように情報統制しましょう。
また、脆弱性のあるソフトウェアやOSはさっさとパッチを当てて修正しましょう。
さらに、マルウェアを防ぐ対策ばかりでなく、侵入されたことに気付ける方法も準備しましょう。今流行のIDSとかEDRが相当します。
『そんなに一気にできるわけねえじゃん!』という悲鳴が聞こえそうですが、防ぐための第一歩は今の環境を知ることです。
APT攻撃の対象になりそうな会社に所属する社内SEの方は、”いい機会なので社内のセキュリティ状況を見直すこと”を提案しましょう。
そんなことをする時間なんか無いという超絶多忙社内SEの方は、『そもそもセキュリティに手が付けられない現状がめっちゃ危険』ということをアピールしましょう。
実際、忙しすぎてセキュリティが後回しになるパターンはどこにでもある話ですから。
まとめ
セキュリティ専任社内SEの方はより深い知識が求められますが、そうではない社内SEさんは概要程度を知っていれば十分だと思います。
実務的な話をすると、APTグループレベルの高度な攻撃を受けた時にはセキュリティ対応の専門業者を引き連れてこないと対処できません。
『自分の会社で起きたらどうしよう』とか『どんな風に対応すればいいんだろう』と悩まずに、お付き合いのある会社さんにセキュリティ支援サービスがあるかどうかを確認するぐらいでも十分でしょう。
有事の際に頼れるパートナーがいることは非常に重要です。