サイバーキルチェーン

サイバー脅威インテリジェンスの実践に不可欠なサイバーキルチェーンは、軍事用語の「キルチェーン」（敵の攻撃をいくつかのフェーズに分解し、各段階への対応を考えるアプローチ）に由来するサイバーセキュリティの考え方です。2011年に米ロッキード・マーティン社が「インテリジェンスに基づく防御（Intelligence Driven Defense）モデルの一部」として提唱した概念で、攻撃者の手の内を分解・分析して「攻撃の鎖を断ち切る」ことを念頭に置いています。ランサムウェアやセキュリティ侵害、高度持続的脅威（APT）など高度化したサイバー攻撃の体系とプロセスを理解・特定するだけでなく、攻撃方法を予測した対処で防御力を高め、被害を最小限に抑えるために活用されています。

攻撃者の視点からサイバー攻撃を俯瞰するサイバーキルチェーンにおいては、最初の壁を破られても次の階層で素早く検知・対処できる「多層防御」のメカニズムが重視されています。また、攻撃の手順を以下の7段階に分けることで全体像が把握しやすくなり、フェーズごとに対策が必要なこともわかるようになるほか、多様な攻撃手法についての知識が深まり、それぞれに対処する上で大きな力になります。

①Reconnaissance：偵察

サイバー攻撃を計画・準備する段階。標的となる組織や企業、個人を調査・特定・選択し、攻撃に使える脆弱性を探す。

②Weaponization：武器化

集めた情報に基づいて攻撃手法を決定し、既知の脆弱性を突くためのツールを作成する。この段階でペイロードをテストし、確実に機能するかどうか確認する場合もある。

③Delivery：配送

攻撃ツールを標的に送る。Eメールの添付ファイル、不正サイトへの誘導、有害なリンクなどを介してマルウェアや不正なコードをダウンロードさせる方法に加え、標的組織のネットワークをハッキングし、ハードウェアやソフトウェアの脆弱性を悪用して侵入する、あるいはソーシャルエンジニアリングで直接アクセスする方法もある。

④Exploitation：悪用

ここまでに発見したアプリケーション／OSの脆弱性、ユーザーの弱み、OSの自動実行機能などを悪用し、予め用意したシェルコードを実行する。

⑤Installation：インストール

マルウェアやリモートアクセス型トロイの木馬（RAT）などをインストールさせ、標的のシステムを制御してデータを盗める状態にする。

⑥Command & Control／C2：遠隔制御

インストールさせたマルウェアと通信し、攻撃ツールにリモートで指示を与える。検知回避と追加のエントリポイントを確立するためにラテラルムーブメント（水平展開）を行うこともある。

⑦Actions On Objectives：目的の実行

当初の目的達成に向けた行動を開始する。発見された後の追跡を困難にするため、最終的に攻撃の痕跡が消去されることもある。

これらの各フェーズに対策を講じると、攻撃側はすべての防御層を突破しなければ攻撃が成功しなくなる一方で、守備側は破られた部分に対処するだけで守備が成立します。

とはいえ、サイバーキルチェーンにも課題がないわけではありません。その線形かつ逐次的なモデルでは、サイバー攻撃の複雑で反復的な、そして多くのケースで並列的な性質を正確に反映していない可能性があるほか、外部の脅威に重点が置かれがちなことから、インサイダー脅威や侵害後のアクティビティといった重要な脅威に対処できないことが多々あります。また、標的型攻撃が必ず「偵察」から始まるわけではなく、この順番で攻撃が進むとも限らない点にも注意が必要です。

サイバーキルチェーンを有効に活用するためには、攻撃者が自社システムに残した痕跡情報を収集・保存することはもとより、外部の幅広い情報源から情報を集める脅威インテリジェンスが欠かせません。加えて、サイバーキルチェーンの課題や制約も理解し、MITRE ATT&CKなど別のフレームワークも踏まえて自社に適したセキュリティのアプローチを探っていくことが重要です。

サイバーキルチェーンやMITRE ATT&CKについて、さらに詳しくはこちらの記事もご覧ください：