2016年はAPTが減り、ファイルレスの見つけづらい攻撃へ - カスペルスキー

APT、日本語では標的型攻撃とされる攻撃だが、このAPTは2016年に「姿を消す」とカスペルスキーが同社のブログ「Kaspersky Daily」で解説している。

「消える」とする一方で、胸をなで下ろすのは「時期尚早」とするカスペルスキー。その理由について、APT自体がなくなるのではなく、「より深い水面下の攻撃に変わり、攻撃の検知や犯人の特定がこれまでよりも難しくなる」と説明している。

APTはそもそも「Advanced Persistent Threat」と、Advanced(高度)かつPersistent(執拗な)脅威であることから、日本語でAPTの訳として使われる「標的型攻撃」とは意味がやや異なる。この、高度で執拗な脅威が、攻撃の手法を変えてやってくるというのがカスペルスキーの予想だ。

攻撃手法は、メモリ常駐型でファイルレスなマルウェアに軸足が移る。これにより、感染先に痕跡が残りづらくなり、検知を回避する可能性が高くなる。これに加えて、高度なマルウェアに注力する傾向も弱まるとしており、ブートキットやルートキット、カスタムマルウェアの開発に費用がかけられることは減り、既製マルウェアの流用が増えていくとしている。

ただし、こうした流れはAPT攻撃分野に参入する犯罪者が増加することにつながるという。つまり、既製ツールが広まって入手しやすくなるほど、コストの低廉化と投資利益率(ROI)が進み、より裾野が広がる可能性があるからだ。

Kaspersky Lab GReAT シニアセキュリティエキスパートのファン・アンドレス・ゲレーロサーデ(Juan Andres Guerrero-Saade)氏は、「サイバー傭兵」という言葉を引用して、この新たな流れを説明し、注意を呼びかけている。

「2016年はサイバー犯罪の世界に足を踏み入れる者が増えると思われます。サイバー攻撃が莫大な利益を生むのは間違いなく、その利益を得ようとする犯罪者が増加するのです。

サイバー傭兵の登場に伴って複雑に入り組んだアウトソーシング業界が生まれ、新種マルウェアの開発どころか、攻撃活動をまるごと外部委託するという需要に応えています。

攻撃の外部委託というニーズからAccess-as-a-Service(サービスとしてのアクセス)という新たな活動が生まれ、ハッキング済みの標的に対するアクセスが最高入札者に提供されています」(ゲレーロサーデ氏)