標的型攻撃およびAPT (標的型サイバー攻撃) とは、企業や政府機関に侵入して内部システム、データ、およびその他の資産にアクセスするためにカスタマイズして作成される、狙いを定めた攻撃です。攻撃はそれぞれ標的に合わせてカスタマイズされますが、組織の内部に潜入して作戦を実行するために、一定のライフサイクルをたどります。
標的型攻撃では、APTライフサイクルは主に6段階の連続プロセスをたどります。
|
段階 |
説明 |
|---|---|
|
情報収集 (Intelligence Gathering) |
ソーシャルメディアWebサイトなどのパブリックな情報源を使用してターゲットとなる個人を特定して調査し、カスタマイズされた攻撃の準備をします。 |
|
初期侵入 (Point of Entry) |
最初にセキュリティを破るのは、通常、メールやインスタントメッセージ、ドライブバイダウンロードなどのソーシャルエンジニアリングにより配信されるゼロデイ不正プログラムです。 バックドアが作成されて、ネットワークへの侵入が可能になります。または、Webサイトのセキュリティホールの攻撃やネットワークの直接ハッキングが行われる場合もあります。 |
|
C&C 通信 (Command & Control (C&C) Communication) |
使用している不正プログラムに対する指示および制御を行うために攻撃全体を通じて使用される通信です。 C&C通信により、攻撃者は感染したコンピュータを攻撃してネットワーク内を動き回り、データを抜き出すことができます。 |
|
内部活動 (Lateral Movement) |
さらにコンピュータを感染させる攻撃です。 ネットワーク内に侵入すると、攻撃者は資格情報を採取し、権限レベルを上げ、最初の標的を超えて持続的に制御を行います。 |
|
情報探索 (Asset/Data Discovery) |
ポート検索など、いくつかの手法を使用して、注目に値するサーバや興味深いデータを格納するサービスを特定します。 |
|
情報送出 (Data Exfiltration) |
外部の場所へ無認可のデータを送信します。 機密情報を収集したら、そのデータを内部ステージングサーバに送り、そこでデータを攻撃者の制御の下で外部の場所へ送信するためにチャンク化して圧縮し、さらに多くの場合、暗号化します。 |
Deep Discovery Director (統合モード) は、APTおよび標的型攻撃の検出を目的として構築されています。そして、高度な不正プログラムまたは攻撃者の活動を示す可能性がある不正なコンテンツ、通信、および動作を、攻撃シーケンスのすべての段階で識別します。