サイバーキルチェーン とは?
「サイバーキルチェーン」とは、アメリカの大手軍需企業Lockheed Martin社によって提唱された、攻撃の手順をプロセスごとに階層化した考え方のことです。
サイバーキルチェーンの語源ですが、元々は軍事用語として用いられていた「キルチェーン(Kill Chain)」と呼ばれるものを、サイバー空間に転用しました。アメリカの大手軍需企業Lockheed Martin社が提唱したこの手法は、サイバー空間で行われる犯罪、攻撃などを理解・分析するために用いられます。近年、高度化の一途をたどるサイバー攻撃は、複数の段階を経るのが一般的となっています。サイバーキルチェーンではそれらのステップと関連性を構造化し、攻撃者の行動を7段階に分類しています。
サイバーキルチェーン 7つのステップ
- 偵察:攻撃者が狙いを定める対象として、企業や組織の調査を行う段階になります。社内事情調査や名刺交換などローテクな方法や、ダークウェブ上で売買されている情報なども組み合わせ、ターゲットとなる企業・組織を選定します。
- 武器化:攻撃用にターゲットに応じたマルウェアや攻撃手法を選定し、ターゲットに適した攻撃ツールの開発を行います。また、ダークウェブ上で売買されるRaaS(Ransomware as a Service)を用いる攻撃者もいます。
- 配送:標的型攻撃などを用いて、ターゲットに向けてマルウェアを送り込みます。ターゲットの心理的に弛緩が生じやすい場所(メールの配信、添付ファイル、攻撃サイト等)に設置、あるいは開発プロセスなどに侵入するといった方法も取られます。
- 攻撃:デリバリーの段階で送り込んだマルウェアなどの攻撃ツールをターゲットに実行(メールの開封、添付ファイル閲覧、攻撃サイトへのアクセス等)させます。ターゲットのデバイスがマルウェアに感染することで、デバイス内に攻撃者が侵入するためのバックドアが作成され、C&Cサーバー(コマンド & コントロールサーバ)との通信を確立します。
- インストール:ターゲットのデバイスを乗っ取り、攻撃コードを実行させます。攻撃はすぐに行われることもあれば、一定期間の潜伏後に行われることもあります。
- 遠隔操作:乗っ取ったデバイスの通信環境を利用し、C&Cサーバーから送られる指示・命令が実行されます。また、デバイスから機密情報などを盗み出す、あるいは盗み出した情報をもとに別のデバイスへの侵入を試みる場合もあります。担当者のパソコンから社内サーバーやクラウド上のサーバーまで侵入範囲が及ぶこともあります。
- 実行:当初の目的が実行(情報搾取や身代金要求等)したタイミングで完了させます。目的達成後は自らの行動の痕跡を消去することで、攻撃が発覚した際の捜査を困難とさせます。
標的型攻撃に限らず、従来のサイバー攻撃への対策は、内部ネットワークの入り口で実施される「入口対策」のみでした。しかし、標的型攻撃のような高度なサイバー攻撃に対しては、入口対策のみでは不十分です。
サイバーキルチェーンを意識した対策を行うためには、「入口対策」「内部監視」「出口対策」の多層防御が重要になります。この多層防御の要点は、「侵入されても対策できる仕組みづくり」です。
サイバーキルチェーンには7つの段階を意識した、多層防御を考える必要があります。対策方法は以下の通りです。
- 偵察:入口対策を強化します。SNSや掲示板などの監視します。
- 武器化:入口対策を強化します。ホスト型ウイルス対策ソフトの導入します。
- 配送:入口対策を強化します。危険な実行ファイルの添付禁止、ネットワークの分離します。
- 攻撃:入口対策を強化します。セキュリティ対策ソフトのアップデートや、従業員の教育します。
- インストール:入口対策を強化します。セキュリティ対策ソフトの導入します。
- 遠隔操作:出口対策を強化します。URLフィルターなどによる不正なWebサイトとの通信のブロックします。
- 実行:出口対策と内部対策を強化します。機密情報の暗号化や、ファイアウォールの導入します。
サイバーキルチェーンに関する問題(令和4年問69)
サイバーキルチェーンの説明として,適切なものはどれか。
ア. 情報システムへの攻撃段階を,偵察,攻撃,目的の実行などの複数のフェーズに分けてモデル化したもの
イ. ハブやスイッチなどの複数のネットワーク機器を数珠つなぎに接続していく接続方式
ウ. ブロックと呼ばれる幾つかの取引記録をまとめた単位を,一つ前のブロックの内容を示すハッシュ値を設定して,鎖のようにつなぐ分散管理台帳技術
エ. 本文中に他者への転送を促す文言が記述された迷惑な電子メールが,不特定多数を対象に,ネットワーク上で次々と転送されること
出典:令和4年度 ITパスポート試験公開問題 問69
正しいと思う選択肢をクリックしてみてください!!!
ア. 情報システムへの攻撃段階を,偵察,攻撃,目的の実行などの複数のフェーズに分けてモデル化したもの
正解です。
イ. ハブやスイッチなどの複数のネットワーク機器を数珠つなぎに接続していく接続方式
不正解です。
ウ. ブロックと呼ばれる幾つかの取引記録をまとめた単位を,一つ前のブロックの内容を示すハッシュ値を設定して,鎖のようにつなぐ分散管理台帳技術
不正解です。
エ. 本文中に他者への転送を促す文言が記述された迷惑な電子メールが,不特定多数を対象に,ネットワーク上で次々と転送されること
不正解です。
コメント