APT(Advanced Persistent Threat)について語るなら、これくらいは読んでおけ!
先日の AVTokyoでいろいろと刺激を受けたので、久しぶりにブログを書いてみる。(あれ? 2ヶ月ぶり? ちょっと間あきすぎたな。)
APT(Advanced Persistent Threat)は今やバズワード*1となってしまったため、定義が明確な場合以外には使うべきでないと思うが*2、それでも APTについて語るのであれば、ぜひともここにあげた資料に目を通してほしい。APTについて語らなくても、標的型攻撃によるサイバースパイ活動(Cyber Espionage)について語るのであれば、もちろん参考になる資料ばかりを集めた。もっとも先に白状するが、私もこれらの全てを隅から隅まで読んだわけではない。しかし少なくともレポートや記事に何が書かれているか、その内容を把握できるくらいには読んでいるつもりだ。(ホントか?)
分析レポート (必読)
以下のレポートはいずれも、APT対策に関わる人であれば読むべき、いや必ず読まなければならない!
M-trendsレポート
Mandiantが2010年と2011年に公開した APTに関するレポート。過去の事例も多く載っている。Mandiantはおそらく米国においてAPTにもっとも詳しい会社の一つ。
- レポート(PDF)の入手には Webからの登録が必要
SBICレポート
RSAの SBIC(Security for Business Innovation Council)が2011年8月に公開したレポート。
IPAレポート
IPAが2010年12月と2011年8月に公開したレポート。IPA主催の「脅威と対策研究会」が取りまとめたもの。現時点において国内でこれ以上の対策ガイドは存在しない。
- 『新しいタイプの攻撃』の対策に向けた設計・運用ガイド (2011/11/30 改訂第2版 公開)
- レポート全文(PDF)
APT事例を紹介した記事、レポート
以下は代表的な APTの事例とその紹介記事である。
Titan Rain (2005)
Joint Strike Fighter (2009)
GhostNet (2009)
Operation Aurora (2010)
Night Dragon (2011)
Operation Shady RAT (2011)
RSA attacks (2011)
APT関連記事
- Security Intelligence: Defining APT Campaigns
- Reutersのスペシャルレポート。WikiLeaksが米政府の外交公電を公開したことにより、中国から米政府へのサイバースパイ活動(コードネーム "Byzantine Hades")の存在が明らかになった。Reutersは "Byzantine Hades"も APTと呼んでいる。
- 同じく NYTimesによる外交公電に関する記事と関連する外交公電のコピー。
米国政府関連の報告書
ONCIX (Office of the National Counterintelligence Executive)
USCC (United States-China Economic and Security Review Comission)
- 2010 Annual Report to Congress (2010年)
- 2011 Annual Report to Congress (PDF) (2011年11月16日に公開されたばかり)
- Capability of the People’s Republic of China to Conduct Cyber Warfare and Computer Network Exploitation (2009年)
- 上記報告書の翻訳版
とりあえずざっとこんな感じ。不足があれば追加するかも。