APT攻撃は「わがままを押し通すティーンエージャー」と同じ、3つの対抗策とは：Gartner Insights Pickup（282）

近年増加しているAPT（Advanced Persistent Threat）攻撃（高度で持続的な標的型攻撃）は、昔からおなじみの「Annoyingly Persistent Teenager」（わがままを押し通すティーンエージャー）と略語が同じで、攻撃の内容も似ている。効果的な対抗策とは。

[Nader Henein, Gartner]

ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、＠IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

　子育てをした人は誰でも、子どもにうるさくせがまれて根負けしたり、かんしゃくを起こして反省したりして、結局、話し合いによる解決に応じたことがある。特に10代前半の子どもたちは、何度も何度も繰り返し、しつこく要求するのが本当に上手だ。

　サイバーセキュリティの世界では、この「しつこく要求する」能力を武器にして、まだ10代のような攻撃者が大きな成功を収めている。最近のニュースを見ていて、その一例であるUberへのサイバー攻撃に目を留めた人もいるかもしれない。この攻撃では、同社の請負業者が多要素認証（MFA）の追加認証（ログイン承認）を何度も要求され、最終的にうんざりしてつい「承認」ボタンをクリックしてしまった（訳注：このようなサイバー攻撃はAdvanced Persistent Threat：APTと呼ばれる）。

　ここで読者の皆さんは、「では、攻撃者は請負業者のパスワードをどうやって入手したのか」という疑問を持つだろう。その経緯の詳細は公表されていないが、いずれにしても、2番目の認証要素と組み合わされたパスワードは、MFAが登場する前からあった弱点を依然として抱えている。ユーザーがそうしたパスワードを多くのサイトやサービスで再利用していて、それらの1つが侵害されれば、そのユーザーがアカウントを持っている他のサービスで、侵害によって漏えいしたパスワードが再利用されてしまう恐れがある。

　APT攻撃は、「うんざりするほど（Annoyingly）しつこくわがままを押し通す（Persistent）ティーンエージャー（Teenager）」に似ていて、MFAの追加認証要求を繰り返し送り付け、相手がうっかり承認することを狙う。こうした攻撃を軽減する3つの方法を紹介する。

1．MFAを利用しているからといって、誤った安心感を持たない