サイバー脅威インテリジェンスの実践において欠かせない概念である、サイバーキルチェーン。耳にしたことはあっても正確には理解できていない、という方も多いかと思います。そこで本記事では、サイバーキルチェーンの概要や誕生背景について紹介した上で、「偵察」から「目的の実行」に至るすべてのステップについてわかりやすく解説します。また、各ステップで実施可能な対策などもご紹介するので、これからインテリジェンスに取り組み始める方や、サイバーキルチェーンへの理解を深めたいという方の参考になれば幸いです。
- そもそも「キルチェーン」とは
- サイバーキルチェーンとは何か
- サイバーキルチェーン誕生の背景
①Reconnaissance:偵察
②Weaponization:武器化
③Delivery:配送
④Exploitation:悪用
⑤Installation:インストール
⑥Command & Control (C2):遠隔制御
⑦Actions On Objectives:目的の実行
- どのように活用され、使えるのか
- ステップごとの対策
①Reconnaissance:偵察
②Weaponization:武器化
③Delivery:配送
④Exploitation:悪用
⑤Installation:インストール
⑥Command & Control:遠隔制御
⑦Actions On Objectives:目的の実行
- MITRE ATT&CKとの関係性は
サイバーキルチェーンとは
サイバーキルチェーンとは、軍事用語の「キルチェーン」に由来するサイバーセキュリティの考え方ですが、そもそも「キルチェーン」とはどんな概念なのでしょうか?
そもそも「キルチェーン」とは
軍事の世界におけるキルチェーン(Kill Chain)とは、敵による攻撃をいくつかの段階に分解し、それぞれへの対応を考えるというアプローチのことです。文字通りに捉えると、敵が攻撃目標(≒自軍)を「Kill(=殺害/打破)」するための「Chain(=チェーン/連鎖)」ということになります。「目標の発見」「追尾」「攻撃手段の決定」といった攻撃の各段階が、チェーンを構成する1つ1つの輪であると考えるとイメージしやすいかもしれません。
サイバーキルチェーンとは何か
この「キルチェーン」をサイバー空間に適用した概念、それがサイバーキルチェーンです。サイバー空間で行われる犯罪や攻撃を特定・阻止するために使われており、攻撃の手順を7ステップに分けて考え、それぞれのフェーズに応じてどんな対策を講じるべきかを理解するために役立ちます。標的組織のネットワークに侵入し、潜伏し続けて情報を盗み出す高度持続的脅威(APT)をはじめとするサイバー攻撃の手法についての知識を深め、これらに対処するための指針になります。
サイバーキルチェーン誕生の背景
米ロッキード・マーティン社が2011年に提唱した概念です。その狙いは、高度化するサイバー攻撃の体系やプロセスを理解し、攻撃方法を予測して対処することで防御力を高め、被害を最小限にとどめることにあります。これを学ぶとサイバー攻撃の全体像が把握しやすくなるため、各段階にそれぞれ対策が必要なことも理解できるようになります。
サイバーキルチェーンの各ステップ
サイバーキルチェーンは、以下の7ステップで構成されています。
①Reconnaissance:偵察
②Weaponization:武器化
③Delivery:配送
④Exploitation:悪用
⑤Installation:インストール
⑥Command & Control (C2):遠隔制御
⑦Actions On Objectives:目的の実行
それぞれのステップを詳しくご説明しましょう。
①Reconnaissance:偵察
サイバー攻撃の計画を練り、攻撃に向けた準備を行う段階です。標的となる組織や企業、個人を調査・特定・選択し、攻撃に使える脆弱性を探します。偵察活動はオンラインとオフラインの両方で行われ、社内調査や名刺交換、あるいは不正に売買されている情報なども駆使して標的を精査し、主に以下のような情報を集めます。この段階で収集する情報が多ければ多いほど、攻撃がより巧妙になるだけでなく、成功する確率が高くなります。
<偵察の段階で集められる主な情報>
- メールアドレス
- ユーザーID
- ログイン情報
- 使用しているオペレーションシステム(OS)とソフトウェア
- 社会的関係
- 関連するサードパーティ(委託先、取引先、子会社、関連会社など)
- サードパーティがアクセス可能なデータの種類 など
②Weaponization:武器化
収集した情報に基づいて攻撃手法を決定し、既知の脆弱性を突くための攻撃ツールを作成します。標的に合わせてマルウェア、ランサムウェア、ウイルス、ワームなどの不正なペイロードを用意する、あるいは既存のツールに修正を加えたものが使われ、次の段階で使用するメールシステムやWebサイトも用意します。攻撃者はこの段階でペイロードをテストし、確実に機能するかどうか確認する場合があります。
③Delivery:配送
②のフェーズで作成した攻撃ツールを標的に送りつけます。Eメールの添付ファイル、攻撃サイトへの誘導、有害なリンクなどを介してマルウェアや不正なコードをダウンロードさせます。配送の方法には他にも、標的組織のネットワークをハッキングし、ハードウェアやソフトウェアの脆弱性を悪用して侵入する方法のほか、関係者や保守技術者を装うソーシャルエンジニアリングの手法を使い、標的のシステムに直接アクセスする方法もあります。
④Exploitation:悪用
ここまでに発見したアプリケーションやOSの脆弱性や、ユーザーの弱み、OSの自動実行機能などを悪用し、予め用意したシェルコードを実行します。
⑤Installation:インストール
④のコード実行により、標的のネットワークにマルウェアやリモートアクセス型トロイの木馬(RAT)などをインストールさせ、システムを制御してデータを盗める状態にします。アクセス権限を持つシステムにRATやバックドアがインストールされると、攻撃者は標的の環境内で永続性(persistence)を確立。情報を自由に盗めるようになり、システム内への侵入経路だけでなく、C2サーバーとの通信経路を確保します。
⑥Command & Control (C2):遠隔制御
攻撃者は⑤で標的にインストールさせたマルウェアと通信し、サイバー攻撃ツールにリモートで指示を与えます。例えば、Miraiボットネットマルウェアを仕込んだコンピューターにトラフィックでWebサイトに負担をかけるよう指示したり、C2サーバーからの命令でサイバー犯罪を実行させたりします。検知を回避しつつ、追加のエントリポイントを確立するために、この段階でネットワーク全体にラテラルムーブメント(水平展開)を行うこともあります。
⑦Actions On Objectives:目的の実行
この段階で初めて、攻撃者は当初の目的を達成するための行動に移ることができます。サイバー犯罪者の目的は攻撃の種類によって異なりますが、例えば情報の改ざん、暗号化、抽出などに加え、兵器化したボットネットによるDDoS(分散型サービス拒否)攻撃、マルウェア配布による機微情報の窃取、そしてランサムウェアを使った恐喝などが行われます。また、発見された後の追跡を困難にするため、最終的に攻撃の痕跡が消去されることもあります。
サイバーキルチェーンの活用法
ここまでの説明で、サイバーキルチェーンの各ステップの概要を把握していただけたかと思います。では、防御する側である私たちは、このキルチェーンをどう活用すればいいのでしょうか?
どのように活用され、使えるのか
従来の対策といえば、ファイアウォールやセキュリティソフトなど攻撃者の侵入を防ぐ「入口対策」に重点が置かれていました。しかし、それではAPTなどの高度化した近年のサイバー攻撃を防御しきれないため、内部対策や出口対策など、最初の壁を破られても次の階層で素早く検知し、対処することができる「多層防御」の重要性が高まっているのです。
攻撃者の視点からサイバー攻撃を俯瞰するサイバーキルチェーンは、多層防御の構築に活用されており、ランサムウェア、セキュリティ侵害、APTといった高度なサイバー攻撃を理解するだけでなく、これらに対処する上でも大きな力になります。
ステップごとの対策
サイバーキルチェーンにおいては、侵入されても対処できるようにするメカニズムが重視されています。前述の7ステップにそれぞれ対策を施せば、攻撃側はすべての防御層を突破しなければ攻撃が成功しなくなる一方で、守備側は破られた部分に対処するだけで守備が成立するのです。この多層防御を築くために注意すべきポイントや、ステップごとに実施可能な対策を以下にご紹介します。
①Reconnaissance:偵察
この段階では、攻撃者による偵察行為を発見するための対策を行います。偵察行為を検出するのは非常に困難ではありますが、「偵察された」という事実だけでも分かれば、攻撃者の意図を暴くことができるかもしれません。
<具体的な対策例>
- アラーティングと履歴検索を行うためにWebサイト訪問者のログを収集する。
- Web管理者と協力し、既存のブラウザ分析を活用する。
- 偵察特有のブラウジング動作の検出体制を構築する。
- 偵察活動を根拠に、特定のテクノロジーや人物の防御を優先する。
②Weaponization:武器化
攻撃ツールの作成自体をリアルタイムで検出することは不可能ですが、マルウェアのアーティファクトを分析することで、何らかの予測を立てられるようになる場合があります。具体的には、以下のような対策を実施することが防御力の強化に繋がります。
<具体的な対策例>
- マルウェアを細かく分析し、どんなペイロードがドロップされるのか、どのように作成されたのかを調べる。
- 攻撃用の武器を作成するツール(以後、「武器化ツール」)の検出体制を構築する。武器化用のツールキットが使い回されたという事実さえわかれば新しいキャンペーンとペイロードを検出できる、という仕組みを作る。
- マルウェアの使用時期に対して作成された時期を分析する。古いマルウェアは「既製品のマルウェア」だが、新しいマルウェアは進行中かつ特別に練られた作戦を意味するかもしれない。
- 今後の分析のためにファイルとメタデータを収集する。
- 武器化ツールのアーティファクトがどのAPTキャンペーンと共通しているのかを判断する。広く共有されているのか、あるいは限定的なのかを見極める。
上記のような対策に加え、セキュリティの基本に従って防御レベルを高めることは、奇襲攻撃を回避するための優れた方法です。すべてのコンピューターでアンチウイルスやEDR(エンドポイントでの検知と対応)ソフトが実行され、ネットワークに不正アクセスを検知するIDS、検知と遮断を行うIPSが組み込まれていることを確認してください。NDR(ネットワーク全体を監視して脅威を検知・対処)やXDR(ネットワークやエンドポイント、クラウド、Eメールなど複数のセキュリティ領域の監視と対応)、SOAR(セキュリティ運用の効率化・自動化を実現する技術)も併用できます。
③Delivery:配送
配送のステップは、攻撃を阻止するための最初の、また最も重要な機会であると言えます。この段階で侵入の試みをブロックできるかどうかが、防御側にとっては非常に重要です。
<具体的な対策例>
- 配送手段を分析し、アップストリームのインフラを理解する。
- 標的とされたサーバー、人物、その役割と責任、入手可能な情報を理解する。
- 攻撃者のターゲティングに基づき、攻撃の意図を推測する。
- 武器化ツールのアーティファクトを活用し、新しい不正なペイロードを配送段階で検出する。
- 攻撃オペレーションの開始時期を分析する。
- フォレンジック用にEメールとWebログを収集する。侵入が遅れて検知された場合でも、防御側はいつ、どのように配送が開始されたのかを特定する必要がある。
上記に加え、WAF(Webアプリケーションの脆弱性を悪用した攻撃への対策)を活用する、DNSフィルタリングを実施する、ユーザーを対象にフィッシングキャンペーン対策トレーニングを行う、ユーザーアカウントの乗っ取りを予防する、といった対策も有効です。また、Eメール経由での配送に対しては、DKIM(電子署名を用いて送信ドメインを認証)とSPF(送信ドメインの正当性を検証)を有効にする、などの防御策が考えられます。さらに、コンピューターのUSBキーはデフォルトで無効にするなどの物理的な対策も重要です。
④Exploitation:悪用
この第4ステップに対抗するには、ハードニングの実施に加え、ゼロデイの悪用を阻止できるような体制を整えておくことが重要です。
<具体的な対策例>
- 従業員を対象にユーザー意識向上トレーニングとメールテストを実施する。
- Web開発者を対象にセキュアコーディングトレーニングを実施する。
- 脆弱性スキャンとペンテストを定期的に実施する。
- エンドポイント強化対策(管理者権限を制限する、シェルコードの実行をブロックするカスタムルールを整備するなど)を施す。
- フォレンジック時にエクスプロイトの出どころを特定できるよう、エンドポイントプロセスを精査する。
「Exploitation:悪用」段階への備えとしては、上記のような対策のほか、サイバーセキュリティの基本に従ってセキュリティギャップを解消し、攻撃対象領域を制限しておくことが重要です。こうした備えは、攻撃ベクトルを減少させ、サイバー攻撃を阻止するために大いに役立ちます。また、EDR、アンチウイルス、XDRは一般的な攻撃ベクトルを特定し、権限昇格やラテラルムーブメント、データ窃取を阻止するために活用できます。
⑤Installation:インストール
マルウェアをインストールしようとするアクティビティをエンドポイントツールなどを用いて検知し、記録することが大切です。また、マルウェアを分析する際にその「Installation:インストール」段階についても分析しておくと、エンドポイントに導入すべき新たな対策が見えてきます。
<具体的な対策例>
- ホスト侵入防止システム(HIPS)により、RECYCLERなどのよく用いられるインストールパスに基づき警告またはブロックする。
- マルウェアが必要としているのは管理者権限なのか、ユーザー権限だけなのかを把握する。
- エンドポイントプロセスの精査により、異常なファイル作成を検出する。
- 署名された実行ファイルの証明書を抽出する。
- マルウェアのコンパイル時間を把握し、古いものか新しいものなのかを判断する。
インストールを阻止するための手段としては、例えばWindowsのPowerShellを無効にし、Unixオペレーティングシステムのchrootを使う、といったことが挙げられます。また、検知にEDRを使用するのが有効です。さらにサイバー攻撃が発生してしまった場合に備え、インシデントレスポンス計画を十分に検討しておくことも大切になります。
⑥Command & Control:遠隔制御
この第6ステップは、攻撃者の目論見を阻む最後のチャンスです。C2通信を妨害し、攻撃者がコマンドを出せないようにすれば、サイバー攻撃による実害が出るのを食い止めることができます。
<具体的な対策例>
- マルウェアを徹底的に分析し、C2インフラストラクチャを発見する。
- ネットワークを強化する。
- インターネット接続のPoP(ポイント・オブ・プレゼンス)を統合する。
- あらゆる種類のトラフィック(HTTP、DNS)にプロキシを要求する。
- WebプロキシでC2プロトコルをブロックできるよう、ポリシーをカスタマイズする。
- 「不明」または「未分類」のドメインを含む「禁止カテゴリー」を作成し、カテゴリーごとプロキシでブロックする。
- DNSシンクホールとネームサーバーのポイズニングを運用する。
- オープンソースリサーチを実施し、新たな敵のC2インフラを発見する。
C2との接続に成功すると、攻撃者はマルウェアをリモート制御し、コマンドを送ってそれを標的のシステム上で実行させられるようになります。これを軽減するためには、上記の対策と併せて、アプリケーションコントロール、DNSリダイレクト、標的ネットワークのネットワークセグメンテーションを確実に実施するのが理想的です。これらの対策を講じることでインサイダー(内部不正者)に関わる脅威も軽減できるほか、機微情報を盗み出すことが極めて困難になります。
⑦Actions On Objectives:目的の実行
攻撃者がサイバーキルチェーンに留まる期間が長ければ長いほど、被害者に及ぼされる影響は大きくなります。このため、防御側としてはできる限り早くこの第7段階を検出できるようにしておくべきです。
<具体的な対策例>
- 上層部の関与と伝達計画を含むインシデントレスポンス計画を用意する。
- データ窃取、ラテラルムーブメント、認証情報の不正使用を検出する。
- アナリストが上記7ステップすべてのアラートに素早く対応する。
- 迅速なトリアージを行うため、エンドポイントにフォレンジックエージェントを事前に配置しておく。
- アクティビティを再現するためにネットワークパッケージをキャプチャする。
- 対象部門の専門家とともに被害を評価する。
攻撃者はデータ窃取やサービス拒否攻撃など、標的システムで目的を実行するようになります。その行動と目的は多くの場合、金銭的あるいは政治的な利益の獲得や、スパイ活動、内部関係者の不正な活動、インサイダー脅威、またはラテラルムーブメントに重点が置かれます。
サイバーキルチェーンの課題
サイバーキルチェーンが強力なツールだとしても、課題がないわけではありません。その線形かつ逐次的なモデルでは、サイバー攻撃の複雑で反復的な、そして多くのケースで並列的な性質を正確に反映していない可能性があるほか、外部の脅威に重点が置かれがちであることから、インサイダー脅威や侵害後のアクティビティなどの非常に重要な脅威に対処できないことが多々あります。また、標的型攻撃は必ず「偵察」から始まるわけではなく、この順番通りの手順で進むとも限りません。
MITRE ATT&CKとの関係性は
MITRE ATT&CKとは
サイバーキルチェーンと同じく、企業や組織を標的としたサイバー攻撃に対処するためのフレームワークとして、米国の非営利団体MITREによって2013年に開発されたものがMITRE ATT&CKです。インテリジェンスの構築を目的に生まれたMITRE ATT&CKは、Web上のサイバーセキュリティ関連情報をシンプルな階層型フレームワークに整理したナレッジベースで、モデルをサイバーキルチェーンより細かい14段階に分割するなど、より進化している点が大きな特徴です。MITRE ATT&CKは年に数回の頻度で更新されており、近年注目度が高まっています。
MITRE ATT&CKとサイバーキルチェーンの違い
「偵察」「武器化」まではどちらも同じですが、MITRE ATT&CKでは「配送」以降のフェーズが12段階に細分化されています。
最後に
サイバー攻撃は絶えず進化しており、データを脅威から守るにはこれまで以上に強固かつ柔軟なセキュリティ対策が必要となっています。その指針となるサイバーキルチェーンを理解し、これを活用した防御体制を整えることで、より強固で効果的なサイバーセキュリティ対策を実施することが可能になります。一方で、先ほど述べたような課題や制約があることも理解し、MITRE ATT&CKなど別のフレームワークも踏まえて自社に適したアプローチを探っていくことが重要です。
また、サイバーキルチェーンは、攻撃者側の手の内を分解・分析して攻撃の鎖を断ち切ろう、というアプローチです。このためには、攻撃者が自社システムに残した痕跡情報を収集・保存することはもとより、自社外の幅広い情報源から攻撃者の情報を収集する脅威インテリジェンスが欠かせません(なお、ロッキード・マーティン社は、サイバーキルチェーンを「インテリジェンスに基づく防御(Intelligence Driven Defense)モデルの一部」と呼んでいます)。
弊社マキナレコードでは、攻撃者の情報をオープンウェブ、ダークウェブ等の膨大なソースから収集・処理・分析・報告するのに役立つ様々なツールを、国内の企業様・官公庁様に提供しております。
脅威インテリジェンスに役立つツールやトレーニングのご紹介
Silobreaker
Silobreakerはサーフェスウェブからデータを集積し、ダッシュボード上に可視化するツールです。世界中のニュースや、セキュリティ機関のアドバイザリ、ベンダーのホワイトペーパー、セキュリティ研究者のブログ記事、ソーシャルメディアなど、18か国語のソースからデータを自動収集し、傾向把握がしやすい形(グラフ、マップなど)に処理した上で表示します。
画像:Silobreakerの画面例。フィッシングに関するオープンソース情報の収集と分析の自動化を目的としたこちらのダッシュボードでは、フィッシングに用いられているURLやIPアドレスのトレンド情報や最新の関連記事が更新表示されます。
Flashpoint / VulnDB
Deep & DarkWeb(DDW)に特化した検索・分析ツールです。ダークウェブ等の不法コミュニティで行われる攻撃ツールや初期アクセスの売買、攻撃手法や脆弱性に関する議論などをモニタリングできます。また、Flashpointの一機能として、CVE/NVDにない脆弱性情報や各脆弱性の背景情報を豊富に含んだ脆弱性データベース(VulnDB)を利用いただけます。
Anomali
上記のような脅威インテリジェンスツールなど、さまざまなソースからの情報を1か所に集約します。集約した情報を自社のセキュリティシステム(SIEMやファイアウォールなど)と連携させて、サイバー脅威への自動対応を行うことも可能です。詳しい機能と活用事例については、関連記事(Anomaliにできること 活用事例)でご紹介しています。
Recorded Future(Attack Surface Intelligence)
Recorded Futureのアタックサーフェス・インテリジェンス(ASI)機能は、アタックサーフェス(攻撃者から見える自社の攻撃対象領域)の絶え間ない変化を捉え、脆弱なアセットにリスクスコアを付与して対処の優先順位を示します。
マネージドサービス
お客様に代わり、マキナレコード社の実績のあるアナリストが個別の要件に基づいて監視/通知/運用を行うサービスです。
対象となるお客様例
・セキュリティ運用業務の人的リソースが不足している
・自社に対する脅威情報/漏洩認証情報の監視ができていない
・レポートの作成に時間がかかっている
・検知はできているが、分析や関連情報の収集まではできていない
提供サービスの例
・企業ドメインの漏洩認証情報監視
・脆弱性情報の収集
・特定業界に対するサイバー攻撃トレンドの把握
・ブランドプロテクション
(模倣サイトやフィッシングサイトの検知、テイクダウン支援等)
・地政学的リスクモニタリング
etc.
インテリジェンストレーニング
脅威インテリジェンス初学者を想定したマキナレコード独自の教育プログラムです。
業務として脅威インテリジェンスに携わる場合の具体的なイメージの理解や、人員要件から、自組織で収集するべき情報の特定や、分析するための手法、ツールのハンズオントレーニング(オプション)など、幅広く学習できる最大2日間のトレーニングコースです。
特色
・Laith Alkhouri氏による監修(Flashpoint創業者、対テロリストインテリジェンス専門家)
・米国CISAによるNICE Frameworkへのアダプト
・ハンズオントレーニングを含む2日間のトレーニング
学習する項目
・インテリジェンスサイクルの理解
・脅威の定義
・データソースの特徴
・要件定義の仕方
・情報収集とは
・分析ツール、各種フォーマット
関連記事:脅威インテリジェンス・アナリストは何をするのか?CTIプログラムに命を吹き込む、インテリジェンスのプロの仕事
コンサルティング(インテリジェンスの導入支援)
インテリジェンスを始めるための支援を、マキナレコードのコンサルタント及びアナリストが実施いたします。
対象となるお客様例
・インテリジェンスが重要なことはわかっているが、何から始めたらいいのかわからない
・情報が散在しており、活用しきれていない
・どういった情報があつめられ、どのように活用すればいいかがわからない
サービス内容例
・要件定義の策定支援
・インテリジェンスを始めるにあたっての基礎トレーニング
・必要なツールの選定
・インテリジェンスを活用するためのレポーティング手法
・他サービスとのインテグレーション
・運用支援
サイバー脅威インテリジェンスの要件定義ガイド、無料配布中!
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価
関連投稿
Writer
米国留学後、まず翻訳会社で進行管理・渉外を担当し、その後はパン職人など異業種を経てフリーランスの翻訳家に転身。ヨーロッパのサッカーを中心に、各種スポーツや現代美術、ゲームといった分野で長らく英日翻訳に携わる。2023年夏、サイバーセキュリティをめぐる昨今の状況に危機感を覚え、その実状を幅広い読者に伝えたいという思いでマキナレコードの翻訳チームへ。