前回のエントリーで、RSAへの攻撃手口の詳細について紹介した。RSAは顧客向けレターでもブログでも繰り返し、「攻撃は APTによるものだ」と述べている。*1
だが、そもそもこの APTとは何だろうか?

APTは Advanced Persistent Threatの略で、昨年から急にメディアに露出するようになった用語だ。Google Trendsで見てみると、2009年以前にはほとんど見られない。http://www.google.com/trends?q=advanced+persistent+threat&ctab=0&geo=all&date=all&sort=0

では新しい用語なのかと思うかもしれないが、実はそうではない。TaoSecurityで著名な Richard Bejtlichさんによると、2006年頃に US Air Force (合衆国空軍)によって使われ始めたものらしい。*2
Michael Cloppertさんも SANSのブログで同様のことを述べており、どうやらこれは確からしい。

ただ APTという用語が近年ここまで拡がるきっかけになったのは、2010年1月に Googleが公式ブログで明らかにした中国からの攻撃*3、また同じ月に セキュリティ企業の Mandiantが公開した APTに関する詳細なレポート (M-trends)、この 2つがその主な要因だと思われる。

このように APTは、アメリカ合衆国の軍隊および防衛産業を中心に、中国を攻撃元と見定めたうえで用いられていた用語である。以下、APTという用語の一般的な定義についてみてみる。

言いだしっぺと一般には思われている Mandiantによる APTの説明はこうだ。(Mandiantの Webより引用)

The Advanced Persistent Threat (APT) is a sophisticated and organized cyber attack to access and steal information from compromised computers. The intruders responsible for the APT attacks target the Defense Industrial Base (DIB), financial industry, manufacturing industry, and research industry. The attacks used by the APT intruders are not very different from any other intruder. The main differentiator is the APT intruder’s perseverance and resources. They have malicious code (malware) that circumvents common safeguards such as anti-virus and they tend to generate more activity than wanton “drive by hacks” on the Internet. The intruders also escalate their tools and techniques as a victim firm’s capability to respond improves. Therefore, the APT attacks present different challenges than addressing common computer security breaches.

また最近リリースされた M-trends 2011レポートでは次のように述べている。(レポート p.1脚注より引用)

The Advanced Persistent Threat (APT) is a term used to describe a specific group of threat actors (multiple cells) that have been targeting theU.S. Government, Defense Industrial Base (DIB) and the financial, manufacturing and research industries for nearly a decade. Mandiant doesnot use this term in its diluted sense ― as a generic category of threats. As increased awareness of the APT blossomed from Google’s publicdisclosure of the attacks in early 2010, and explosive marketing around “Operation Aurora”, organizations less familiar with the APT created amore diluted definition of the term APT, and changed its meaning to “advanced and persistent threats”. Mandiant considers the APT a type of“targeted attack”. The threat detection and response capabilities we describe will combat targeted attacks.

GovInfoSecurityによると NIST(米国国立標準技術研究所)による定義もある。2011年3月に公開された NIST SP800-39 Managing Information Security Risk: Organization, Mission, and Information System View の Appendix Bでは、APTという用語を次のように定義している。(NIST SP800-39 Appendix B GLOSSARYより引用)

An adversary that possesses sophisticated levels of expertise and significant resources which allow it to create opportunities to achieve its objectives by using multiple attack vectors (e.g., cyber, physical, and deception). These objectives typically include establishing and extending footholds within the information technology infrastructure of the targeted organizations for purposes of exfiltrating information, undermining or impeding critical aspects of a mission, program, or organization; or positioning itself to carry out these objectives in the future. The advanced persistent threat: (i) pursues its objectives repeatedly over an extended period of time; (ii) adapts to defenders’ efforts to resist it; and (iii) is determined to maintain the level of interaction needed to execute its objectives.

日本語によるきちんとした説明は少ないが、いくつか紹介する。

セキュリティ企業の McAfeeは 2011年の脅威予測の中で APTを取り上げており、その定義について次のように述べている。(「2011年の脅威予測」レポートから引用)

一般に理解されている APT の定義は「純粋な意味での金銭目的、犯罪目的、政治的な抗議ではなく、国家の指示または資金援助によって特定の標的に対して実行されるサイバー上のスパイ行為または妨害工作」というものです。すべての APT 攻撃が高度な技術を駆使するわけではなく、複雑かつ巧妙なターゲット攻撃が APT 攻撃であるとは限りません。APT 攻撃がサイバー犯罪やハクティビストと大きく異なる点は、巧妙さや被害の範囲ではなく、攻撃側の意図にあります。

また先のエントリでも紹介したが、セキュリティ企業の LACはCSLレポート「サイバー産業スパイの実態」を公開しており、APTの実態について説明している。コンピュータセキュリティ研究所の岩井所長へのインタビュー記事では、APTについて次のように述べている。(インタビュー記事より引用)

従来のサイバー攻撃は、不特定多数に攻撃を仕掛けて隙のあるサイトを見つけ出して攻撃を行う、「数打ちゃ当たる」といったものでした。それに対してAPTでは、「攻撃対象の限定」「ソーシャルエンジニアリング」「スパイ活動」という以下3つの攻撃を複合的に組み合わせて行います。より狙い撃ちする傾向を強化し、成功率を高めている攻撃と言えるでしょう。
(1)攻撃対象の限定：業種、企業、部署、個人レベルで攻撃対象を特定している
(2)ソーシャルエンジニアリング：相手の「心理的な隙」や「行動ミス」などの盲点を突く様々な方法で、対象の個人情報を事前調査している
(3)スパイ活動：被害先企業の内部でしか知りえない、実際の議事録等、人事異動表などの情報を「餌」に攻撃を仕掛けてくる

Mandiantは APTを標的型攻撃のひとつと考えており、攻撃手法が特殊なのではなく、攻撃者の動機や豊富なリソース、そして長期にわたる活動などをその特徴としている (他の定義もこれに近い)。M-trendsの注釈を読むと、APTが最近さまざまな意味で広く使われていることを苦々しく思っているのかもしれない。実際、今やマーケティングなどでも使われるバズワードになりつつある感じもする。

もっとも Mandiantによる APTの定義を皆が受け入れているかというと、そうでもない。もっとより広い概念として捉えるべきだと考えている人もいるようだ。(たとえばコレ)

ということで長くなったので、続きは Part 2で。