国家支援型攻撃(APT)の狙いと企業リスク
オランダ当局は、ロシア系ハッカー集団が当局者を標的にしたサイバー攻撃を開始したと公表した。国家支援型攻撃は、金銭目的よりも長期潜伏と情報収集を重視し、メール、文書、認証情報、連絡網などを継続的に窃取する。被害は政府組織内にとどまらず、委託先や研究機関、業界団体を踏み台にして拡大しやすい。政府関係の案件を持つ日本企業も「周辺」になり得る点が重要である。
想定される侵入経路:フィッシングと境界装置
当局者を狙う局面でも、入口は派手なゼロデイより成功率の高い手口が中心となる。業務連絡を装うスピアフィッシングで偽ログインに誘導し、ID・パスワードやセッションクッキーを奪う手法が典型だ。加えて、VPNやゲートウェイ、ファイアウォールなど境界装置の既知脆弱性や設定不備は「確実な入口」になりやすい。侵入後は正規ツールを悪用して横展開し、ログ上は業務に見えるため検知が遅れやすい。
情シスが優先すべき防御:認証・可視化・運用
対策は単一製品では完結せず、侵入前提で検知と封じ込めを速める設計が要る。まずクラウドメールの防御として、MFAを必須化し、可能ならフィッシング耐性の高い方式へ段階移行する。条件付きアクセス、管理者アカウント分離、転送ルール監視、危険なOAuthアプリ棚卸しも有効だ。次に外部公開資産を定期棚卸しし、パッチ適用SLAを定め、管理画面の閉域化やIP制限、ログ集中管理で攻撃面を縮小する。
EDRは導入で終わらせず、アラートのトリアージ基準、緊急隔離の権限、夜間連絡、端末保全手順を事前に整備する。横展開を阻むため、特権IDの使い回し禁止、ローカル管理者削減、管理専用端末や踏み台強制などを重要資産から適用する。委託先にもMFA、端末暗号化、監視、脆弱性対応期限、インシデント報告とログ保全を要件化し、再委託まで統制することが官民境界の防波堤となる。
初動対応の型:セッション無効化とログ確保
APTは潜伏が長いため、初動の遅れが情報流出を拡大させる。侵入経路と横展開の仮説を置き、クラウド監査ログと端末テレメトリを即時確保する。認証情報のリセットに加え、セッション無効化、転送ルールや不審なアプリ連携の解除を迅速に実施する。重要システムは一時的に分離し監視を強化しつつ、対外説明に備えて事実と推定を切り分けたタイムライン管理を徹底することが肝要である。