サイバーキルチェーンの概念と活用方法

サイバーキルチェーンの概念と活用方法
2024.6.13

サイバーキルチェーンとは、サイバー攻撃の一連の過程を指す概念です。攻撃者がターゲットを選定し、脆弱性を探索、悪用する一連の流れを表しています。
キルチェーンの概念を共有することで、経営者から現場の担当者まで、サイバーセキュリティへの意識を統一しやすくなります。組織全体でサイバー攻撃の脅威を理解し、連携して対策に当たることができます。 本記事では、体系的な対策の立案と組織内での意識共有に大きく貢献できるサイバーキルチェーンについて説明します。

セキュリティ無料相談

目次

サイバーキルチェーンとは

サイバーキルチェーンの起源

サイバーキルチェーンは、攻撃者が標的システムに侵入するまでの一連の行動をモデル化したものです。その起源は、軍事用語として使われていた「キルチェーン」であり、その後ロッキード・マーティン社がサイバー空間に特化したモデルとして「サイバーキルチェーン」を提唱し、7段階の攻撃行動を定義しました。
現在では、このモデルに基づいた侵入検知や防御対策が広く実践されるようになり、サイバーキルチェーンの枠組みを使うことで、攻撃の各ステップを体系的に把握でき、適切な対策を講じやすくなることから、サイバーセキュリティにおける重要な概念として発展を遂げています。

サイバーキルチェーンの構成

サイバーキルチェーンは以下の7つのステップで構成されています。

1. 偵察(Reconnaissance)

攻撃対象の選定や、ターゲットシステムの情報収集を行います。

2. 武器化(Weaponization)

マルウェアの作成や、攻撃に使用するツールの準備をします。

3. 配送 (Delivery)

作成した不正なペイロード(マルウェアなど)をターゲットシステムに送り込む手段を講じます。

4. エクスプロイト(Exploitation)

ターゲットシステムの脆弱性を利用して、不正なペイロードを実行させます。

5. インストール(Installation)

ターゲットシステム内に不正なプログラムをインストールし、持続的なアクセスを確保します。

6. コマンド&コントロール(Command & Control)

インストールしたプログラムを遠隔操作し、さらなる攻撃活動を実行します。

7. 目的の達成(Actions on Objectives)

最終的な攻撃目的(データ窃取、サービス妨害など)を果たします。

サイバーキルチェーンの活用方法

サイバーキルチェーンを活用するためには以下の点を意識する必要があります。

攻撃者の視点

攻撃者の視点を理解することは、サイバーキルチェーンを活用する上で欠かせません。攻撃者の目的や行動パターン、用いる手法を分析することで、適切な対策を立案することができるのです。

防御者(自社)の視点

自組織のシステムや業務の特性を把握し、守るべき対象を明確にした上で、各段階で実施すべき対策を洗い出し、優先順位をつけて、限られたリソースを適切に配分することが求められます。

全体的な視点

サイバーキルチェーンの各段階は連続した一連の流れであることを理解し、全体的な視点を持つことが大切です。攻撃者の視点と防御者の視点を統合し、バランスの取れた対策を講じることが肝要となります。
また、サイバーセキュリティは技術的な問題だけでなく、人的・組織的な問題でもあるという組織的な視点を持つことが求められます。経営層を含めた全社的な取り組みとしてセキュリティ対策を推進し、従業員の意識向上を図りながら、セキュリティポリシーの遵守を徹底することが大切です。

標的型攻撃に適用した場合

では、サイバーキルチェーンの7つのステップとその対処方法を、標的型攻撃の事例を用いて説明します。

1. 偵察(Reconnaissance)

攻撃者は、ソーシャルエンジニアリングや公開情報の収集などを通じて、標的となる組織や個人の情報を収集します。

対処方法:
・社員教育を徹底し、不審なメールやリンクをクリックしないよう注意喚起する
・公開する情報を最小限に抑え、機密情報の漏洩を防ぐ
・定期的に脆弱性スキャンを実施し、システムの脆弱性を把握・修正する

2. 武器化(Weaponization)

攻撃者は、マルウェアを作成したり、脆弱性を悪用するためのツールを準備したりします。

対処方法:
・最新のアンチウイルスソフトやファイアウォールを導入し、定期的に更新する
・ゼロデイ攻撃に備え、パッチ管理を適切に行う
・不要なサービスやポートを無効化し、攻撃対象を減らす

3. 配送 (Delivery)

攻撃者は、メールの添付ファイルやリンク、USBメモリなどを通じて、マルウェアを配布します。

対処方法:
・メールのフィルタリングを強化し、不審な添付ファイルやリンクを検知・ブロックする
・USBメモリなどの外部記憶装置の使用を制限または禁止する
・社員教育を徹底し、不審なメールやリンクをクリックしないよう注意喚起する

4. エクスプロイト(Exploitation)

マルウェアが実行され、システムの脆弱性が悪用されます。

対処方法:
・最新のセキュリティパッチを適用し、既知の脆弱性を修正する
・重要なシステムやデータへのアクセス制御を強化する
・侵入検知システム (IDS) や侵入防止システム (IPS) を導入し、不正な活動を検知・防止する

5. インストール(Installation)

マルウェアがシステムに常駐し、攻撃者が持続的なアクセスを確保します。

対処方法:
・エンドポイントセキュリティソリューションを導入し、マルウェアの検知・駆除を行う
・重要なシステムを分離し、侵害の影響範囲を限定する
・定期的にバックアップを取得し、迅速な復旧を可能にする
・適切な権限管理を行い、不要なアプリケーションをインストールできないようにする

6. コマンド&コントロール(Command & Control)

攻撃者がマルウェアを遠隔操作し、情報の窃取や破壊活動を行います

対処方法:
・ネットワークトラフィックを監視し、不審な通信を検知・ブロックする
・重要なシステムへの外部からのアクセスを制限または禁止する
・侵害されたシステムを迅速に特定し、ネットワークから切り離す

7. 目的の達成(Actions on Objectives)

攻撃者が最終的な目的を達成します。情報の窃取、データの暗号化、システムの破壊などが行われます。

対処方法:
・侵害の影響範囲を把握し、速やかに対応策を講じる
・関係機関や専門家に連絡し、適切な支援を受ける
・事後分析を行い、攻撃の手口や原因を特定し、再発防止策を講じる

標的型攻撃は高度で執拗なサイバー攻撃であり、各ステップで適切な対策を講じることが不可欠です。監視、検知、予防、インシデント対応力の強化が肝心です。

サイバーキルチェーンの欠点

サイバーキルチェーンのモデルには欠点もあります。

一方通行

サイバーキルチェーンは、攻撃のプロセスを線形的に表していますが、実際の攻撃は非線形で複雑なパターンを持つことがあります。攻撃者は、ステップを飛ばしたり、前のステップに戻ったりすることがあります。

攻撃手法の進化

サイバーキルチェーンは従来の攻撃手法を前提としていますが、新しい攻撃手法(ゼロデイ攻撃、サプライチェーン攻撃など)が現れる度に、モデルの見直しが必要になります。

対象の攻撃が限定的

サイバーキルチェーンでは、標的型攻撃やマルウェア感染など境界防御では有効ですが、DDoS攻撃やWebアプリケーションに対する攻撃など、単発の攻撃で有効性が失われます。

定性的

サイバーキルチェーンは攻撃の全体像を理解するための有用なモデルですが、実際の対策を講じる上では、より動的で具体的な分析が必要不可欠です。MITRE ATT&CKなど、他のモデルと組み合わせて活用することが重要です。

サイバーキルチェーンに関するQ&A

Q1. サイバーキルチェーンの目的は何ですか?

A1. サイバーキルチェーンの主な目的は、攻撃者の手口を体系的に理解し、各ステップでの適切な対策を検討することです。攻撃プロセス全体を把握し、効果的な防御戦略を立てるのに役立ちます。

Q2. サイバーキルチェーンはどのような種類の攻撃に適用できますか?

A2. 標的型攻撃、マルウェア感染、データ窃取、破壊活動、内部不正行為など、計画的で多段階の攻撃プロセスを含む攻撃に適しています。一方、単発の攻撃には直接適用できない面があります。

まとめ

サイバー攻撃では、サイバーキルチェーンのどれか一つのステップでのみ対策を講じても、攻撃者がそのステップを回避すれば無効化されてしまいます。
重要なことは単一の対策に依存するのではなく、サイバー攻撃のライフサイクルであるサイバーキルチェーンの概念を念頭に多層防御を講じることです。 ALSOKではサイバーキルチェーンの概念をもとにお客様の環境に合わせた多層防御のソリューションをご提案できます。ぜひご相談ください。

セキュリティ無料相談