サイバーキルチェーンとは？7つのステップや対策を分かりやすく解説

サイバーキルチェーンとは

サイバーキルチェーンとは、サイバー攻撃の一連のプロセスを構造化し、整理したフレームワークです。キルチェーンは軍事用語の一つで、敵の攻撃構造を理解して破壊し、自軍を防御するという意味があります。この考え方をサイバー攻撃に応用したものがサイバーキルチェーンであり、サイバー攻撃をステップごとに分析し、適切な対策を見出すために開発されました。

サイバーキルチェーンの歴史

2011年、サイバーキルチェーンはロッキード・マーティン社によって開発されました。このフレームワークは瞬く間に普及し、サイバー攻撃が巧妙化している現代でも活用されています。また、サイバーセキュリティの専門家は新たな脅威に対抗する方法を見つけるために、サイバーキルチェーンの概念を更新・拡張することもめずらしくありません。

サイバーキルチェーンの7つのステップ

サイバーキルチェーンは、攻撃者が標的を決定して目的を達成するまでの7段階のステップに分かれています。巧妙化するサイバー攻撃を理解するために、それぞれのステップを確認していきましょう。

1.偵察

偵察のステップでは、攻撃対象の企業や組織に対して事前調査が行われます。例えば、メールアドレスや攻撃対象が利用する各種サービスのIDを入手したり、従業員のSNSから情報収集したりすることもめずらしくありません。また、攻撃対象がインターネット上に設置するVPN装置を突き止めて、バージョン情報などから攻撃可能な脆弱性を特定することもあります。

ほかには、攻撃者が企業に潜入してパソコンを覗き見したり、ゴミ箱をあさって情報を入手したりと、攻撃の糸口を見つけ出すことが偵察ステップの主な内容です。

2.武器化

武器化のステップでは、偵察によって暴いた脆弱性を突くマルウェアや攻撃コードを作成します。具体的には、VPN装置の脆弱性を突く攻撃コードや、標的型攻撃で使用するメール添付用のマルウェアを作成する段階です。

3.デリバリー

デリバリーのステップでは、脆弱性のあるVPN装置へのアクセスを実行したり、マルウェアを添付したメールを送信したりします。具体的な手順は攻撃の種類によって異なりますが、武器化で作成した悪意あるウイルスなどの攻撃手段を届ける段階です。

4.エクスプロイト

エクスプロイトのステップは、デリバリーで届けたマルウェアが実行される段階です。例えば、攻撃対象の企業や組織が不正なサイトにアクセスしたり、メールに添付されたファイルを開封したりすることで、実際に攻撃コードが実行されます。

5.インストール

インストールのステップは、エクスプロイトでできた穴にマルウェアなどのプログラムがインストールされる段階です。この段階を経ると攻撃対象が持つシステムなどの制御権を奪えるため、インストールのステップはサイバーキルチェーンのターニングポイントともいえます。

6.遠隔操作

遠隔操作のステップでは、インストールされたマルウェアなどを通して、攻撃対象の企業や組織で用いられている端末を攻撃者が遠隔操作します。この段階で攻撃者は被害を広げるために、ネットワークを通してほかの端末にも感染を広げようと行動を起こすことも少なくありません。

7.目的の実行

最後のステップでは、サイバー攻撃の目的が実行されます。攻撃者は攻撃対象の企業や組織から機密情報を入手し、改ざんや削除などを行った後、攻撃対象に気づかれないようアクセスログを削除するまでが目的の実行のステップです。

攻撃者がサイバーキルチェーンを用いる理由とは？

サイバーキルチェーンを用いてサイバー攻撃を実行する攻撃者の大半は、ビジネスとしてサイバー攻撃を引き受けている場合がほとんどです。そのため一般的なビジネスと同様に、効率よく業務を進めるためにマニュアルとしてサイバーキルチェーンを活用しています。

サイバーキルチェーンはいわゆるバラマキ型のサイバー攻撃に用いられることは少なく、特定の企業や組織を狙うことが一般的です。基本的には高度なサイバー攻撃に用いられるため、難易度の高いサイバー攻撃を効率的に進めるために攻撃の型として普及していったと考えられます。

サイバーキルチェーンへの対策

ここからは、サイバーキルチェーンへの対策として効果的な方法やサービスをご紹介します。有効な対策を講じ、高度なサイバー攻撃を阻止しましょう。

入口対策

サイバー攻撃による被害を受けたり、拡大させたりしないためには、攻撃の早期検出が重要です。例えば、マルウェアの侵入をブロックする「アンチウイルス」や、危険性の高いメールを検知・ブロックする「メールフィルタリング」などを導入し、サイバーキルチェーンの入口対策を講じましょう。

また、マルウェアや不正アクセスからデバイスを保護するファイアウォールや、サーバの脆弱性を突いた攻撃に有効なIDS・IPSの導入もおすすめです。さらに、セキュリティソフトやOSのバージョンを常に最新の状態にし、脆弱性の改善に努めることも忘れてはいけません。そのほか、サイバー攻撃に関する社内研修を実施し、従業員のリテラシーを向上させることも大切です。

内部対策

マルウェアに感染してしまった場合を考慮して、デバイスの使用記録を監視するログ監視ツールや、サイバー攻撃の被害を最小限に抑えることを目的としたEDRを導入しておきましょう。なかでもEDRは遠隔操作による被害の拡大防止や、検知した脅威の原因や影響範囲の特定に役立ちます。

また、セキュリティ機器のログを収集・分析するSIEMの導入も検討しましょう。SIEMを導入すればセキュリティデータを可視化できるようになるので、早急なインシデント対応・調査につなげることが可能です。

出口対策

出口対策に有効なシステムは、内部対策にも効果が期待できるSIEMです。また、マルウェアの侵入に成功した攻撃者はC&C通信で遠隔操作しようとするため、C&C通信を検知・通知するファイアウォールやIDS・IPS、EDRなどの導入が望ましいでしょう。

まとめ

サイバーキルチェーンとはサイバー攻撃のフレームワークであり、偵察から目的の実行まで7つのステップで成り立っています。ステップごとに作業が定められており、いかに効率よくサイバー攻撃を仕掛けられるかが綿密に考えられているため、被害に遭わないためには万全の対策が必要です。

オプテージはサイバーキルチェーンの内部・出口対策に有効な「EDR（Endpoint Detection and Response）」を提供しています。EDRは従来のウイルス対策ツールでは脅威を完全に防ぐことは難しいとの考えから生まれたシステムで、端末内の脅威を可視化し、被害の防止および最小化をサポートするものです。

また、オプテージは企業のセキュリティ対策の現状把握に役立つ「簡易アセスメントサービス クイックアセス」も取り扱っています。簡易アセスメントサービス クイックアセスはセキュリティ専門家によるヒアリング後、約2週間で最適なセキュリティ対策を提案するサービスです。

サイバーキルチェーンへの対策におすすめのサービスの詳細は、こちらからご確認ください。

>>EDR｜OPTAGE for Business

>>簡易アセスメントサービス クイックアセス｜OPTAGE for Business

◎製品名、会社名等は、各社の商標または登録商標です。