高度標的型攻撃 (APT).

高度標的型攻撃(APT)は、攻撃者とキャンペーンの双方を指します。高度な技能を持つ攻撃者は数週間から数年にわたり標的環境に潜伏し、派手な短期攻撃よりも隠密性と持続性を優先します。APT は通常、スピアフィッシング、サプライチェーン侵害、カスタムマルウェア、Living-off-the-Land 手法、ゼロデイ脆弱性を組み合わせます。目的は通常、スパイ活動(知的財産、外交電報、防衛研究)、重要インフラへの妨害工作のための事前布石、または長期にわたる金融窃取です。

著名なキャンペーンはその幅広さを物語ります。APT29(Cozy Bear)は 2020 年に SolarWinds Orion のアップデートに SUNBURST バックドアを仕込み、信頼された単一ベンダーを通じて数千の組織に到達しました。中国に関連する Volt Typhoon は、カスタムマルウェアではなく wmic、netsh、PowerShell といった OS 標準ツールを用いる Living-off-the-Land 手法によって、米国の通信、エネルギー、水道、運輸の各ネットワークにわたり持続的なアクセスを維持しました。CISA、FBI、NSA は共同勧告 AA24-038A(2024 年 2 月)で、その意図がスパイ活動ではなく、将来の危機に際した破壊的攻撃のための事前布石であると警告しました。

防御には多層的な対策が必要です。脅威インテリジェンスを活用した検知、行動解析を備えた EDR/XDR、ネットワーク分離、厳格な ID 管理、認証およびコマンドライン操作の強化されたログ取得、そして MITRE ATT&CK にカタログ化された TTP を狙ったプロアクティブなスレットハンティングが求められます。

flowchart LR
  A[偵察] --> B[初期アクセス<br/>スピアフィッシング / サプライチェーン / 0-day]
  B --> C[足場確保と<br/>持続化]
  C --> D[権限昇格<br/>+ 認証情報窃取]
  D --> E[横移動<br/>Living off the Land]
  E --> F[長期潜伏<br/>情報収集]
  F --> G[データ持ち出し or<br/>事前布石]
  F -.回避.-> H[EDR / スレットハンティング<br/>MITRE ATT&CK]
  H -.検知と排除.-> C