サイバーキルチェーン (サイバーキルチェーン) とは | 意味や読み方など丁寧でわかりやすい用語解説
サイバーキルチェーン (サイバーキルチェーン) の読み方
日本語表記
サイバーキルチェーン (サイバーキルチェーン)
英語表記
Cyber Kill Chain (サイバーキルチェーン)
サイバーキルチェーン (サイバーキルチェーン) の意味や用語解説
サイバーキルチェーンとは、サイバー攻撃がどのような手順で進行するかを段階的にモデル化したフレームワークである。元々は軍事用語である「キルチェーン」の概念をサイバーセキュリティ分野に応用したものであり、米国のロッキード・マーティン社によって提唱された。このモデルの目的は、攻撃者の一連の行動を鎖(チェーン)のようにつながった複数のフェーズに分解し、各フェーズにおける攻撃者の活動と、それに対する防御策を体系的に理解することにある。サイバー攻撃は単一の行為で完結するのではなく、目的を達成するために連続した複数のステップを踏む。サイバーキルチェーンを理解することで、防御側は攻撃のどの段階でどのような対策を講じれば攻撃の連鎖を断ち切れるかを分析し、より効果的なセキュリティ戦略を立案することが可能となる。攻撃の初期段階で検知・対処できれば、被害の発生や拡大を未然に防ぐことができるため、この考え方はインシデント対応や多層防御の実現において極めて重要である。 サイバーキルチェーンは、一般的に7つのフェーズで構成される。最初のフェーズは「偵察(Reconnaissance)」である。この段階で攻撃者は、標的となる組織や個人に関する情報を収集する。具体的には、企業のウェブサイト、SNS、公開されているドキュメントなどから、組織構造、従業員情報、使用されているシステムやネットワーク構成、IPアドレス範囲といった情報を集める。これらの情報は、後の攻撃計画を策定するための基礎となる。防御側としては、公開する情報を適切に管理し、不要な技術情報を外部に漏らさないように注意することが対策となる。 次のフェーズは「武器化(Weaponization)」である。偵察で得た情報を基に、攻撃者は標的の脆弱性を突くための攻撃ツールを作成する。例えば、特定のソフトウェアの脆弱性を悪用するエクスプロイトコードと、侵入後に実行させたい不正なプログラムであるマルウェア(ペイロード)とを組み合わせて、Word文書やPDFファイルといった一般的なファイルに偽装する。このフェーズは主に攻撃者の環境内で行われるため、防御側が直接検知することは困難である。 第3のフェーズは「配送(Delivery)」である。武器化された攻撃ツールを標的に送り届ける段階を指す。最も一般的な手法は、業務連絡などを装った標的型攻撃メールに不正なファイルを添付したり、不正なURLへのリンクを記載したりする方法である。その他にも、改ざんしたウェブサイトにアクセスさせることでマルウェアをダウンロードさせるドライブバイダウンロード攻撃や、USBメモリのような物理的な媒体を介して送り込む手口も存在する。防御側は、メールフィルタリングやWebフィルタリングを強化し、不審な通信やファイルをブロックすることが有効な対策となる。 第4のフェーズは「攻撃(Exploitation)」である。配送された攻撃ツールが標的のシステム上で実行され、ソフトウェアやOSの脆弱性を悪用して不正なコードを実行させる段階である。例えば、メールに添付されたファイルを開いたり、URLをクリックしたりすることで、脆弱性を突くプログラムが起動し、システムへの侵入の足がかりを築く。この段階を防ぐためには、OSやアプリケーションのセキュリティパッチを常に最新の状態に保ち、脆弱性を放置しないことが極めて重要である。 第5のフェーズは「インストール(Installation)」である。攻撃に成功した攻撃者は、標的のシステムに対して持続的にアクセスできるように、マルウェアをインストールし、潜伏の恒久化を図る。バックドアと呼ばれる侵入口を設置したり、システム起動時に自動的にマルウェアが実行されるように設定したりする。これにより、一度システムを再起動しても攻撃者は再びアクセスすることが可能になる。エンドポイントセキュリティ製品(EDRやEPP)による不審なファイルの作成やプロセスの実行を監視し、検知・ブロックすることが対策となる。 第6のフェーズは「遠隔操作(Command and Control / C2)」である。インストールされたマルウェアは、外部にある攻撃者の指令サーバー(C2サーバー)と通信を開始し、遠隔操作が可能な状態を確立する。攻撃者はこのC2通信を通じて、マルウェアに追加の指令を送ったり、新たな攻撃ツールをダウンロードさせたりする。防御側としては、ファイアウォールやプロキシのログを監視し、外部への不審な通信を検知・遮断することが重要となる。脅威インテリジェンスを活用し、既知の悪性なC2サーバーとの通信をブロックすることも有効である。 最後のフェーズが「目的の実行(Actions on Objectives)」である。攻撃者は、確立した遠隔操作の経路を通じて、最終的な目的を遂行する。目的は攻撃者によって様々であり、機密情報や個人情報の窃取、データの改ざんや破壊、システムを人質にして金銭を要求するランサムウェアの展開、他のシステムへの攻撃の踏み台としての利用などが挙げられる。この段階では、内部ネットワークの監視を強化し、特権アカウントの不正利用や機密データへの不審なアクセスを検知し、迅速に対応することが被害を最小限に抑える鍵となる。 以上のように、サイバーキルチェーンは攻撃の一連の流れを可視化するモデルである。防御側は、この鎖のいずれか一つの環を断ち切ることで、攻撃全体の成功を阻止できる。各フェーズに対応した多層的な防御策を講じることが、組織のセキュリティレベルを向上させる上で不可欠なアプローチなのである。