サイバーキルチェーンとは？ サイバー攻撃対策に活用するポイントや活用例を紹介

サイバーキルチェーンとは

サイバーキルチェーンとは、サイバー攻撃の一連のプロセスを7つのステップに分けて体系化したフレームワークです。サイバー攻撃による被害を最小限に抑えることを目的とし、どのような流れで攻撃活動が進んでいくのかを攻撃者の視点で理解することで、適切な対策を講じることができます。また、このフレームワークを組織の経営者や現場の担当者に展開することで、どの段階でどのような対策を講じるべきか認識を共有でき、全社的にセキュリティを強化できます。

キルチェーンという言葉はもともと軍事用語で、敵の攻撃パターンを理解し、無力化することで自軍を守るための概念として使われています。この用語をサイバー空間に特化したモデルとして置き換えたものが、サイバーキルチェーンです。

サイバーキルチェーンの起源

サイバーキルチェーンは、2011年にロッキード・マーティン社によって提唱されました。サイバー攻撃を体系的に理解でき、適切な対策が講じやすくなることから瞬く間に普及し、サイバーセキュリティにおける重要なフレームワークとして、今もなお発展を遂げています。例えば、サイバーセキュリティの専門家は新たな脅威に対抗する手段を見いだすために、このフレームワークを活用し、既存の対策を改良したり、新たな対策を立案したりすることも珍しくありません。

サイバーキルチェーンの7つのステップ

サイバーキルチェーンは、攻撃者がサイバー攻撃を実行する際にたどる典型的な流れを7つのステップに分けています。サイバー攻撃について知るためにも、攻撃者の立場になってそれぞれ見ていきましょう。

①偵察（Reconnaissance）

攻撃者はまず標的とする組織の情報収集を行います。例えば、組織の従業員が利用するメールアドレスやWebサービスのアカウント情報を入手したり、従業員のSNSから関連するさまざまな情報を収集したりすることが挙げられます。また、VPN装置など、組織が利用するハードウェア・ソフトウェアを特定し、悪用できる脆弱性がないかを探し出します。そのほか、攻撃者が実際に組織内に潜入してPCの画面をのぞき見したり、ゴミ箱をあさって情報を収集することもあります。

②武器化（Weaponization）

武器化のステップでは、偵察によって発見した脆弱性に基づいて、それを悪用するためのプログラムを作成します。例えば、標的型攻撃で使用するメール添付用のマルウェアや、VPN装置の脆弱性を悪用する攻撃コードなどが挙げられます。

③配送（Delivery）

続いて、作成したマルウェアなどを標的とする組織へ送り込みます。手順は攻撃の種類によってさまざまですが、例えばマルウェアを添付したメールを送信したり、悪意のあるWebサイトに誘導し、Webサイトを介して送り込むといった方法があります。

④エクスプロイト（Exploitation）

送り込んだマルウェアを実行させ、PCに感染させることを通じて標的組織へ侵入します。攻撃メールを受け取った従業員に添付されたマルウェアをクリックさせたり、メールに記載したリンクをクリックさせたりすることで実行されます。

⑤インストール（Installation）

PCをマルウェアに感染させた後は、感染PCとの持続的な通信を確保するためのプログラムを仕掛けます。これを仕掛けることで、感染PCの電原が切られても再度電源が入った際に、外部にいる攻撃者は感染PCへアクセスすることができます。

⑥コマンド&コントロール（Command & Control）

通信が確保されると、攻撃者は感染PCを遠隔操作します。ネットワーク内にある別PCへ感染拡大を試みたり、ネットワーク内のさまざまなリソースへアクセスを可能にするために、より高いアクセス権限の取得を行ったりします。これらの活動は、標的組織からの検知を回避しながら隠密に進めます。

⑦目的の達成（Actions on Objectives）

機密情報の窃取やサービスの妨害、ランサムウェアを使った恐喝など、最終的な目的を達成するための攻撃活動を行います。また、標的組織からの追跡を困難にするため、攻撃の痕跡などのログを消去する場合もあります。

標的型攻撃におけるサイバーキルチェーンの活用例

ここでは、サイバーキルチェーンに標的型攻撃を当てはめた場合での活用例をご紹介します。標的型攻撃における各ステップの攻撃手法と、それぞれの対策を簡単に解説します。

①偵察（Reconnaissance）

攻撃手法

ソーシャルエンジニアリングや、Webサイト・SNSなどのリサーチを通じて、標的組織やその従業員の情報を収集。併せて、サイバー攻撃に利用できそうな脆弱性がないかを調査。

対策

このステップでの対策としては、不審なメールを開かないよう従業員に注意喚起したり、企業の公式SNSなどで公開する情報を精査したりするなどが挙げられます。また、使用しているソフトウェアやネットワーク機器に脆弱性がないかを定期的にチェックし、脆弱性を発見した場合は速やかにアップデートを行います。

②武器化（Weaponization）

攻撃手法

偵察のステップで得た情報を基に、マルウェアや脆弱性を悪用するためのツールを作成。

対策

マルウェアの侵入を抑止するためにウイルス対策ソフトウェアを全社で導入し、パターンファイルの更新を徹底します。また、パターンファイルでは難しい未知の脅威を検知するためにEDR製品を導入も考えられます。PCやサーバー、ネットワーク機器で不要なサービスやポートを無効化し、攻撃対象となる穴をふさぐことも大切です。

③配送（Delivery）

攻撃手法

マルウェアを添付したメールを標的組織へ送信。USBメモリを用いて物理的にマルウェア配布を試みることも。

対策

メールのフィルタリングを強化し、不審なメールや添付ファイルを自動的にブロックできるようにします。IT資産管理ツールなどを使用し、USBメモリの使用を制限することも効果的です。

④エクスプロイト（Exploitation）

攻撃手法

配布したマルウェアを実行させ、脆弱性を悪用してマルウェアに感染させる。

対策

OSやアプリケーションなどのアップデートを徹底し、脆弱性がない状態を常時キープすることでマルウェア感染のリスクを抑えます。

⑤インストール（Installation）

攻撃手法

感染PCとの持続的な通信を確保するために、バックドアなどのプログラムをPCに仕掛けたり、システムの設定を変更する。

対策

EDR製品や、侵入検知システム（IDS） / 侵入防止システム（IPS）を導入することで、感染PCの不審な挙動や通信を検知。早期の対応で被害を最小化します。

⑥コマンド&コントロール（Command & Control）

攻撃手法

感染PCを遠隔操作し、感染拡大やアクセス権限の取得を試みる。

対策

ファイアウォールなどでネットワークトラフィックを監視し、外部との不審な通信を検知します。また、機密情報を扱う重要システムへのアクセスを制限・禁止を行うほか、システム自体をネットワークから分離しておくのも有効です。

⑦目的の達成（Actions on Objectives）

攻撃手法

機密情報の窃取やデータの暗号化、システムの破壊など最終的な目的を達成するための攻撃活動を実施。

対策

攻撃を受けたことを確認した際は、PCやネットワーク機器のログを調査して被害状況の把握に努めます。また、把握した情報を関係機関や専門家に連絡し、適切な支援を受けます。その後、事後分析を行い、攻撃の手口や原因を特定し、再発防止策を講じます。日頃から定期的にバックアップを取得しておくことで、迅速な復旧も可能になります。

以上が標的型攻撃を例に挙げたサイバーキルチェーンの活用例でした。標的型攻撃は高度なサイバー攻撃ですが、各ステップで適切な対策を講じることで階層的な防御が実現し、被害最小化につなげられます。

サイバーキルチェーンの活用ポイント

続いて、サイバーキルチェーンを活用する上で意識しておくべきポイントをご紹介します。効果的なセキュリティ対策を講じるためにもこれらのポイントを理解し、実践することが大切です。

攻撃者の立場になって考える

サイバーキルチェーンを活用する上で、攻撃者の視点を理解することは欠かせません。攻撃者の目的や行動パターン、用いる手法を理解し分析することで、適切な対策の立案につなげられます。

守るべき自組織のことを知る

どのレベルまでの対策が現実的か、対策にかけられるコストや組織のリソースを把握します。また、自組織のシステムや業務の特性を把握した上で守るべき対象を明確化。その内容に基づいて、サイバーキルチェーンの各ステップで実施すべき対策を洗い出し、それぞれに優先順位をつけましょう。

全社的にセキュリティ対策を講じる

サイバーキルチェーンの各ステップは連続するプロセスであり、全体像を把握することが求められます。その上で攻撃者と防御者の視点を統合し、効果的かつ効率的な対策を立案・実施することが重要です。

また、組織のサイバーセキュリティは技術的な要素だけでなく、人的要素にも大きく影響します。経営層を含めた全社的な取り組みとして対策を講じ、従業員の意識向上を図りながらセキュリティポリシーの遵守を徹底することが重要です。

サイバーキルチェーンの欠点

ここまでサイバーキルチェーンがもたらす効果や活用例などをご紹介してきましたが、残念ながら欠点も存在します。これらの欠点があることを留意しておくことで、サイバーキルチェーンのより効果的な活用につなげられます。

一方通行のモデルであること

サイバーキルチェーンは、サイバー攻撃のプロセスを直線的に示します。しかし、実際の攻撃は各ステップが飛ばされたり、逆戻りしたりするなど、複雑で非線形な場合があります。攻撃者の行動は予測不可能であり、サイバーキルチェーンだけですべての攻撃パターンを網羅できないため、柔軟な対応が求められます。

継続的なモデルの見直しが必要

サイバーキルチェーンは従来の攻撃手法を基にしています。そのため、ゼロデイ攻撃やサプライチェーン攻撃などの新しい攻撃手法が登場するたび、それらへ対応するためにモデルを見直す必要があります。攻撃手法の進化に伴い、サイバーキルチェーンのモデルも継続的に適応していかなければいけません。

対象のサイバー攻撃が限定的

サイバーキルチェーンは標的型攻撃やマルウェア感染に対しては有効ですが、DDoS攻撃やWebアプリケーションへの攻撃など単発の攻撃に対しては効果が薄れ、十分な防御策を実現できない場合があります。サイバーキルチェーンは適用範囲が限定されるため、ほかの防御手法との併用が求められます。

まとめ

この記事では、サイバーキルチェーンの説明と、標的型攻撃を想定した活用例、活用する上で知っておきたいポイントや欠点などをご紹介しました。サイバーキルチェーンを用いて攻撃者の視点を理解することで、適切な対策の立案・実施が可能になります。また、組織全体に浸透させることで、全社的に防御体制を強化することができます。これから組織のサイバー攻撃対策を検討される方、何から手をつければいいかわからないといった方に本記事が少しでもお役に立てば幸いです。

サイバーキルチェーンのより効果的な活用を支援する「SKYSEA Client View」

クライアント運用管理ソフトウェア「SKYSEA Client View」は、組織で利用するPCやソフトウェアなどのIT資産を一元管理できるツール、およびクラウドサービスです。マルウェアの感染リスクを抑えるための脆弱性対策や、ログによる感染原因の詳細な調査が行えるほか、EDR製品や、侵入検知システム（IDS） / 侵入防止システム（IPS）など他社のセキュリティ製品と連携して感染PCの不審な挙動を検知し、脅威を早期発見することで、万が一の時でも被害の最小化が行えます。

サイバーキルチェーンにおける各ステップの対策に厚みを持たせ、より強固なセキュリティを実現する「SKYSEA Client View」。ご興味のお持ちの方は、下記より詳細をご覧ください。