お役立ち資料
Introduction
サイバーキルチェーンとは、悪意をもつ者によるサイバー攻撃の内容を体系化して、そのプロセスを把握するためのものです。サイバー攻撃による被害を最小限に抑えることを目的として、具体的にどのような段階を経て攻撃を行うのか、7段階に分類して攻撃方法を予測します。サイバー攻撃を行う側の視点に立って攻撃内容を検証することで、高度化するサイバー攻撃に対して有効な防御を行うことが可能です。
この記事では、サイバーキルチェーンの基本概要と7段階の区分、サイバーキルチェーンをふまえたセキュリティ対策について解説します。
目次
サイバーキルチェーンとは?
サイバーキルチェーンとは、サイバー攻撃に対抗するための考え方です。サイバー攻撃のなかで、もっともメジャーな「標的型攻撃」をモデルにし、攻撃者の目線から攻撃の内容を7段階に分類しています。
ここでは、サイバーキルチェーンの基本概要について、解説します。
サイバー侵入活動を特定・防止するための防御モデル
サイバーキルチェーンは、悪意をもつ者によるサイバー攻撃の内容を体系化して、そのプロセスを把握するためのものです。具体的にどのような段階を経て攻撃を行うのかを7段階に分類して、攻撃方法を予測します。これにより、サイバー攻撃による被害を最小限に抑えることを目的としています。
「キルチェーン」とは、もともとは軍事用語で「負の連鎖を断ち切る」という意味をもっています。
近年、ますます高度化しているサイバー攻撃に対抗するため、攻撃者側の視点で攻撃内容を検証した、サイバーキルチェーンを活用することが求められています。
サイバーキルチェーンは標的型攻撃での行動をモデル化している
サイバーキルチェーンが対象としているサイバー攻撃は、標的型攻撃と呼ばれるものです。標的型攻撃とは、攻撃者がターゲットをしぼって、用意周到に行うサイバー攻撃のことです。
たとえば、特定の企業の個人情報や取引相手などを調査して、担当者や取引先の名前や部署名などの情報を入手しておきます。そして、それらの個人情報が入ったメールに、マルウェアを仕込んだ添付ファイルや、不正なサイトに誘導するためのURLなどを添付して送信します。メールを受けとった側は、自分の名前や実在する取引先の担当者名などが入っているため、信じてしまうことも多いでしょう。
このように、個人情報の調査や不正サイトの準備などを用意周到に行い、特定のターゲットに攻撃をしかけるのが標的型攻撃です。
情報処理推進機構(IPA)の『情報セキュリティ10大脅威2024(組織)』によると、「標的型攻撃による機密情報の窃取」が4位にランクインしています(9年連続ランクイン)。長年にわたって、組織に対する脅威として根強く行われている手口であることがわかります。
そのため、標的型攻撃の脅威に対抗する手段を講じておくことは、非常に重要です。
サイバーキルチェーンは7段階に区分される
サイバーキルチェーンは、標的型攻撃を行う攻撃者の視点から、実際に攻撃を行うプロセスにあわせて7つの段階に区分されています。
ここでは、サイバーキルチェーンの7つの段階について解説します。
偵察
最初に、ターゲットの情報を集めるための偵察を行います。
具体的には、ターゲットやその周辺に気づかれないように調査を行う隠密偵察と、小規模な攻撃を行うことで調査する威力偵察があります。
・隠密偵察
ターゲットとなる企業や組織の従業員や役員などが利用している、SNSを調査する方法がよく使われます。企業名や個人名を出してSNSを利用するケースが多く、ある程度の情報を得ることが可能です。
さらに、企業や組織のホームページなどで公開されている組織図、取引先の情報、メールアドレス、電話番号などを調査します。ネット上に公開されているサーバーのIPアドレスや使用しているアプリケーション、OSなどの情報があれば、脆弱性の特定につながります。
・威力偵察
ターゲットとなる企業や組織のサイトなどに対して、ポートスキャンを行います。特定のデータを送信した結果、どのような応答が返ってくるかを調べればわかることがあります。たとえば、開いているポートやファイアウォールで守られているポートのポート番号、稼働しているサービスがHTTPなのかFTPなのかなどです。
また、ターゲットの情報を引き出すために、取引先や友人、同僚などを装って電話をかけたり、建物に侵入したりすることもあります。このような方法は、ソーシャルエンジニアリングと呼ばれます。最近は、AIを活用して知人になりすますなど、巧妙な手口も登場しているため、要注意です。
このようにして得た情報をもとに、どのような攻撃を行うかを検討します。
武器化
偵察フェーズで得た情報を用いて、サイバー攻撃を行うために必要な武器を用意します。具体的には、マルウェア、任意コードなど、以下のようなものがあります。
【武器の種類】
| 内容 | ||
| 任意コード | OSやソフトウェア、アプリケーションなどの脆弱性を悪用して、サイバー攻撃を行うためのコード。 任意コードをターゲットに送り込み、サービスの停止やデータの窃取などを行うプログラムを実行させる。 偵察フェーズで得た脆弱性の情報をもとに任意コードを作成する。 |
|
| マルウェア | ウイルスやワーム、スパイウェアなど、不正な動作を行うソフトウェアや悪質なコード。 | ・ワーム プログラムに寄生せず独立して単独で動作し、自己増殖する。 |
| ・スパイウェア 個人情報やパスワードなどの情報を不正に閲覧・窃取する。 感染したことに気づかれないように自己増殖しないため、発見が遅れがち。 |
||
| ・トロイの木馬 一見無害なファイルやアプリケーションでも、実際はマルウェアなどが仕込まれている。 |
||
| メール | マルウェアを送りつけるためのメール。 偵察フェーズで収集した情報を活用して、ターゲットの同僚や取引先の担当者などを装い、メールの文面や件名を作成する。 |
|
| 偽サイト | ターゲットがアクセスするとマルウェアをインストールしてしまう、個人情報を盗みとるなどの偽サイト。 | |
デリバリ(配送)
武器化フェーズで用意した任意コードやマルウェアなどを、実際にターゲットに届けます。
実際に存在する企業や取引先担当者などのメールアドレスを、一文字だけ変えるなどして作成したメールアドレスから、用意した武器を送りつける方法などがあります。
エクスプロイト(攻撃)
ターゲットに届いた武器が、ターゲットのコンピュータやサーバー上で実行されます。メールの添付ファイルを開いてマルウェア感染する、URLをクリックして不正サイトにアクセスするなどの攻撃が行われます。
インストール
ターゲットがマルウェアに感染し、ネットワークを介してほかのコンピュータやサーバーに感染を広げていきます。
通常は、企業の重要な機密情報や個人情報などが保存されているデータサーバーへは、管理者権限がないとアクセスできません。そのため、管理者権限をもつコンピュータに侵入するために、感染を広げていくのです。
また、バックドアをしかけておき、いつでも侵入できる状態にしておくこともあります。
C&C(コマンド&コントロール、遠隔操作)
マルウェア感染した端末と、攻撃者側のコマンド&コントロールサーバーが通信できるようになると、遠隔操作が可能です。
マルウェアを感染させたコンピュータやサーバーを遠隔操作し、ネットワーク構成やデータの格納場所などを調査します。さらにマルウェア感染を拡大させる、脆弱性を悪用するなどの手段を駆使して、管理者権限を取得します。
目的の実行
これまでの行動で得た管理者権限を悪用して、企業の機密情報や個人情報の窃取、Webサイトの改ざんなどを行い、目的を実行します。その後にログ情報を消すなどして、侵入や行動の痕跡を削除します。
サイバーキルチェーンをふまえたセキュリティ対策
上記でご説明したような用意周到な攻撃を防ぐためには、どうしたらよいのでしょうか。ここでは、サイバーキルチェーンをふまえたセキュリティ対策についてご説明します。
入口対策
サイバー攻撃への対策として欠かせないのが、社内ネットワークなどの入口で、外部からの脅威の侵入を防ぐ入口対策です。具体的な対策内容は、以下のとおりです。
①不審なメールやURLを安易に開かない
メールに添付されたマルウェアや不正サイトのURLを開いてしまうことが、侵入を許す第一段階であることが多いです。そのため、不審なメールやURLを安易に開かないという対策は、非常に有効です。
②OSやソフトウェアを最新の状態に保つ
脆弱性をついたサイバー攻撃により、侵入を許すこともあります。そのため、OSやソフトウェアなどのパッチを適用して、つねに最新の状態に保つことが重要です。更新をおろそかにすると、脆弱性を残したままの危険な状態がつづくため、攻撃を受けやすくなってしまいます。
③セキュリティソリューションを導入する
以下のような、セキュリティソリューションを導入する方法もあります。
・マルウェアの侵入をブロックするアンチウイルス
・不審なメールを検知・ブロックするメールフィルタリング
・ネットワークを守るファイアウォール
・不正な通信を検知・分析するIDS/IPS
④セキュリティ教育を行う
上記でご説明したような対策を徹底させるためには、従業員に対するセキュリティ教育も必要です。日ごろから具体的なセキュリティに関する知識を知ってもらうことで、従業員のセキュリティに対する意識が高まるでしょう。
内部対策
内部対策とは、脅威の侵入を許してしまった場合に備えて、脅威をいちはやく検知して、被害を最小限に抑えるための対策です。
①ログを取得・管理する
ログ監視ツールを導入して、不審な挙動やアクセスを検知し、管理者が通知を受けとれるようにします。外部からのアクセスだけでなく、内部での不審なデータ転送なども監視する必要があります。
リアルタイムでログ監視を行うことにより、脅威を早期に発見でき、はやめの対処を行うことが可能です。
②ファイルを暗号化する
社内の重要なデータやファイルを暗号化することも有効です。攻撃者が企業の機密情報や個人情報を外部にもち出したとしても、暗号化されているためデータを解読できず、内容が外部に漏れることはありません。
③ネットワークを分離する
企業の機密情報や個人情報などの重要なデータが保管されている「基幹系ネットワーク」と、インターネットを通して外部と通信を行う「情報系ネットワーク」に分離します。そうすることで、外部との通信を行いながら重要な情報を保護できます。
このように、ネットワークを分離して、重要な情報を保管する場所を保護する対策も重要です。
④EDRを導入する
EDR(Endpoint Detection and Response)とは、コンピュータやサーバーなどのエンドポイントを監視して、脅威を検知・対処するソフトウェアのことです。EDRを導入することで、エンドポイントがサイバー攻撃を受けることを想定した対策を行えます。
EDRについてはこちらもご覧ください。
>>EDRとは?その必要性や機能、製品の選び方について解説しますのページへ
出口対策
出口対策とは、重要な機密情報や個人情報などの情報を、外部に漏洩させないための対策のことです。
①プロキシサーバーを設置する
プロキシサーバーとは、社内ネットワークから外部のインターネットへアクセスする際に、代理で通信を中継する装置です。社内ネットワーク内のコンピュータから、直接外部にアクセスするのではなく、プロキシサーバーを介して通信することで、不正な通信を遮断することが可能です。
上記でご説明したとおり、攻撃者はコマンド&コントロールサーバーと、社内ネットワーク内部のマルウェア感染した端末を接続して遠隔操作を行います。マルウェア感染した端末に指令を送って、情報を盗んだり感染を広げたりします。このように、攻撃者が社内ネットワーク内部の端末と通信ができないようにするために有効なのが、プロキシサーバーです。
②データを暗号化する
データを暗号化することで、万が一データが外部に流出しても解読されないため、出口対策にもなります。データの侵入を防ぐための入口対策だけではなく、万が一侵入を許してしまった場合の暗号化のような出口対策も行うことで、何重にもデータをガードする必要があります。
③DLPを導入する
DLP(Data Loss Prevention)とは、情報漏洩を防ぐためのセキュリティシステムです。DLPを導入することで、漏洩を防ぎたい重要な機密情報や個人情報を識別して保護できます。
具体的には、リアルタイムで社内の情報を監視して機密情報をメールで送るなど、不審な挙動を検知してブロックします。また、印刷やコピーなどのブロック機能もあり、あらゆる方法で内部の重要なデータが外部に漏れることを防ぐことが可能です。
DLPについてはこちらもご覧ください。
>>DLPとは?基本機能や仕組み、メリット、製品の選び方まで詳しく解説のページへ
④インシデント発生時はすばやく社内全体に共有する
どれだけ対策を講じていても、不正アクセスやマルウェア感染などを防ぐことがむずかしい場合もあります。そのため、万が一社内ネットワークやシステムが、外部または内部からの脅威にさらされた場合は、すばやく社内全体に共有して、対策を行える体制を整えておく必要があります。
リアルタイム監視ができる体制と環境を整えておくとともに、脅威を検知した際に、24時間対処できる体制も必要です。日ごろから、インシデント発生時のマニュアルや作業フロー、連絡体制を整えておき、定期的に訓練を行う必要もあるでしょう。
入口対策で、脅威の侵入を防ぐことや内部対策を充実させることも重要ですが、実際にインシデントが発生した際の対応を用意しておくことも大事です。
まとめ
この記事では、サイバーキルチェーンの基本概要と7段階の区分、サイバーキルチェーンをふまえたセキュリティ対策について解説しました。
近年はサイバー攻撃が高度化をつづけているため、攻撃者側に立った視点で対策を講じる、サイバーキルチェーンを活用することが有効です。
SHIFTでは、激化するサイバー攻撃に対処するためのセキュリティソリューションの導入支援を行っています。セキュリティ対策の設計や構築だけでなく、運用の最適化までを含めたソリューションを一気通貫でご提供します。セキュリティ対策にお悩みの場合は、ぜひご相談ください。
>>SHIFTのセキュリティソリューションのページへ
>>お問い合わせページへ
>>料金についてページへ
この記事を書いた人
ご支援業種
- 製造、金融(銀行・証券・保険・決済)、情報・通信・メディア、流通・EC・運輸、ゲーム・エンターテイメント
など多数
関連コラム
-
- セキュリティ
WAFとは?仕組みや機能、導入するメリットをわかりやすく解説
2024.08.14
詳しく見る
-
- セキュリティ
OWASP Top 10 for LLMとは?生成AI開発の安全性を高める方法について解説
2024.08.19
詳しく見る
-
- セキュリティ
サンドボックスとは?仕組みや機能、導入するメリット・注意点を解説
2024.08.14
詳しく見る
-
- セキュリティ
VPN接続とは?仕組みやメリット・デメリット、安全に使うためのセキュリティ対策を解説
2024.08.02
詳しく見る
-
- セキュリティ
DMZとは?ネットワークの構築方法やメリット・デメリットを解説
2024.08.02
詳しく見る
-
- セキュリティ
SOARとは?意味やメリット・デメリット、導入手順について解説
2024.08.02
詳しく見る
-
- セキュリティ
OSINT(Open-Source Intelligence)とは?サイバーセキュリティでの活用方法や注意点について解説
2024.08.02
詳しく見る
-
- セキュリティ
IDS/IPSとは?機能や役割の違い、対策できる攻撃について解説
2024.07.29
詳しく見る
-
- セキュリティ
PAM(特権アクセス管理)とは?仕組みやメリット、活用方法を解説
2024.07.29
詳しく見る
-
- セキュリティ
シャドーITとは?発生する原因やインシデント事例、対策について解説
2024.06.28
詳しく見る
