サイバーキルチェーンとは?
サイバーキルチェーンとは、攻撃者が標的を決定してから実際に攻撃から目的達成をするまでの一連のフェーズをまとめたものです。
この考え方を生み出したのは、あの有名なロッキード・マーチン社!もともと軍事用に使われていた戦術的な考え方を、サイバー攻撃にも応用したのが「サイバーキルチェーン(Cyber Kill Chain)」というわけです。
サイバーキルチェーンの各ステップを知っておくと、「攻撃のどの段階で防げるか?」を見つけやすくなるので、対策が立てやすくなります。攻撃を防ぐための“地図”みたいなものですね!
7つのフェーズ
サイバーキルチェーンでは、目的を達成するまでの7つのフェーズに分けています。それぞれのステップを知っておくと、サイバー攻撃の流れが見えてきます。
-
偵察(Reconnaissance)
まずは情報収集!攻撃者は、どこを攻撃すればいいか、どんな弱点があるかを探ります。まさにハッカーの「下調べ」です。
-
武器化(Weaponization)
次は攻撃の準備。ここでウイルスやマルウェアといった武器を作り出して、攻撃を実行するための準備を整えます。
-
デリバリー(Delivery)
準備ができたら、攻撃を相手に届ける段階です。例えば、フィッシングメールを送ったり、悪意あるリンクを仕掛けたり。
-
エクスプロイト(Exploitation)
この段階で、相手のシステムやソフトウェアの弱点を突いて、侵入します。ここがまさに“攻撃”がスタートです。
-
インストール(Installation)
侵入に成功したら、マルウェアなどの悪意あるソフトを相手のシステムにインストールします。これで攻撃者は自由に操作できるようになります。
-
C&C(Command and Control)
次に、攻撃者は相手のシステムを遠隔操作できるようにします。ここから自由にデータを盗んだり、システムを操作したりできるようになるのです。
各フェーズ対策アプローチ
偵察
攻撃者の下調べに対する対策
攻撃者が情報収集する段階です。ここでの対策は、攻撃者に情報を渡さないことがポイント。
- 対策方法
- 公開情報の管理:WebサイトやSNSに不必要な情報を載せない。ドメイン情報も隠す。
- ネットワーク監視:異常なスキャンやアクセスを早期に検出する。
- フィッシング対策:従業員にフィッシングやソーシャルエンジニアリングの危険性を周知する。
武器化
攻撃者が攻撃手段を準備する段階への対策
攻撃者がウイルスやマルウェアを作成・準備する段階。内部の直接対策は難しいですが、事前に準備を阻止できます。
- 対策方法
- マルウェア検知:既知のマルウェアパターンや異常な動作を早期に検出するために、エンドポイントセキュリティを導入する。
- 持続的な脆弱性管理:常に最新の脆弱性情報を確認し、アップデートを行う。
デリバリー
攻撃手段が標的に届く段階への対策
攻撃者がフィッシングメールや悪意あるリンクを使って攻撃を届けます。
- 対策方法
- メールフィルタリング:スパムフィルタやフィッシング検知ソフトを導入して、悪意あるメールをブロック。
- URL・ファイルスキャン:添付ファイルやリンクをリアルタイムでスキャンし、危険なものを自動で排除。
- ユーザー教育:従業員に不審なメールやリンクを開かないよう注意喚起。
エクスプロイト
脆弱性を突かれてシステムに侵入される段階への対策
攻撃者がソフトウェアやシステムの脆弱性を悪用して侵入してくる段階です。
- 対策方法
- パッチ管理:システムやソフトウェアの脆弱性を定期的に修正・更新。
- 多層防御:ファイアウォール、IDS/IPS(侵入検知・防止システム)を導入して、脆弱性の悪用を検出・阻止する。
- アクセス制限:重要なシステムやデータには最小限のユーザーしかアクセスできないようにする。
インストール
マルウェアやバックドアが設置される段階への対策
攻撃者が不正プログラムをインストールして、システムに影響を及ぼす段階です。
- 対策方法
- エンドポイントセキュリティ:ウイルスやマルウェアを検知して、システムへの侵入を阻止する。
- アプリケーションホワイトリスト:許可されたソフトウェアだけを動作させることで、不正なプログラムの実行を防ぐ。
- ディスク暗号化:万が一マルウェアが侵入しても、データを暗号化しておくことで被害を最小限に抑える。
C&C
遠隔操作の仕組みが作られる段階への対策
攻撃者がシステムを遠隔で操作できるようにする段階です。
- 対策方法
- 通信の監視と制御:不正な外部通信やC&Cサーバーとの通信を検出・遮断。
- ネットワーク分離:重要なシステムを外部ネットワークから隔離し、アクセス制限を強化。
- セグメンテーション:ネットワークをセグメント化して、攻撃が広がるのを防ぐ。
目的達成
攻撃者がデータを盗んだりシステムを乗っ取る段階への対策
最終的に攻撃者が目的を達成する段階です。ここでの対策は最後の防波堤となります。
- 対策方法
- データ漏洩防止(DLP):機密データが外部に持ち出されないように監視し、遮断する。
- インシデントレスポンス計画:攻撃が成功した場合に備え、迅速に対応できる体制を整える。
- ログ監視と分析:不正な動作や異常なアクティビティを早期に発見し、対処する。
サイバーキルチェーンの概要と対策まとめ
サイバーキルチェーンは、攻撃者が標的を決定し、攻撃を実行し、目的を達成するまでの一連の流れを7つのフェーズに分けて考えるフレームワークです。これにより、どの段階でどのような対策を取るべきかが明確になります。それぞれのフェーズに対して適切な対策を講じることで、攻撃の進行を遅らせたり、阻止したりすることが可能です。