無料会員登録
サイバー攻撃は年々巧妙化しています。現在のサイバー攻撃は段階を踏んで行われるようになり、その攻撃を構造化したものが「サイバーキルチェーン」と呼ばれます。現在のサイバー攻撃は、組織立って行われており、あなたが気づかないところで攻撃を受けている可能性も。
今回は、サイバーキルチェーンの危険性から、手口の紹介、対策方法について徹底解説していきます。
サイバーキルチェーンとは
近年、サイバー攻撃は段階を踏んで行われるようになりました。この攻撃を構造化したものが「サイバーキルチェーン」です。アメリカのLookheed Corporationによって、2009年に提唱されました。サイバーキルチェーンは、標的型攻撃の一連の行動を軍事行動に似せてモデル化され、7つの段階に分けられています。
サイバー攻撃は、2000年代を基準に大きく様変わりしています。2000年代までは個人による攻撃が主体で、攻撃者は自身の能力を誇示するための愉快犯的な意味合いが強いものでした。2000年代後半からは国家を狙う組織としてのサイバー攻撃が盛んに行われるようになっています。現在では、企業の機密情報なども組織的に狙われています。
現在のサイバー攻撃は、攻撃によって得た情報を秘密裏に売買することで、利益を上げることが目的です。サイバーキルチェーンの攻撃構造を理解し、各段階の攻撃に対して有効なソリューションを適切に導入することが重要となります。
サイバーキルチェーンの段階
サイバーキルチェーンの段階については、セキュリティベンダーによっても分け方は変わるものですが、主に次の7つの段階から成り立っています。それぞれの段階で行われることについて、詳しく見ていきましょう。
1. 偵察(例:事前調査)
攻撃対象となる企業へ侵入するために事前調査を行う段階です。攻撃者はSNSを使って情報を集めます。役員や従業員はFacebookやTwitter、LinkedInなど、さまざまなSNSを利用している場合が多いものです。場合によっては、企業のページもSNS上で展開していることもあるでしょう。それらの情報を集め、複数の情報を組み合わせることで、標的となる人間を決めていきます。
SNSの情報から人間関係や趣味、普段の行動なども把握できます。標的型攻撃メールを送るために、標的となる人間の情報を集める段階、と考えて良いでしょう。
2. 武器化(例:標的型攻撃メールの送付)
標的となる人間が決まったら、標的の友人や知人、同僚、上司になりすまして標的型攻撃メールを送付します。添付ファイルを開かせたり、特定のURLをクリックさせたりすることで、マルウェアをダウンロードさせようとする段階です。場合によっては、ラテラルムーブメントによって、正規のアドレスから攻撃メールが送信される可能性も考えられます。
偵察段階で得た情報を元に作成されたメールは、標的にとって思わず開いてしまうメールとなっています。マルウェアは常に実行ファイルであるとは限りません。普通のPDFやWord、Excelといったファイルに扮していることもあり、巧妙に細工されている場合が多いものです。
3. デリバリー(例:C&C通信の確立)
標的型攻撃メールによってマルウェアに感染すると、攻撃者が侵入するためのバックドアを作成されます。その後、不正なコマンドをリモートで行うためのコマンド&コントロールサーバ(C&Cサーバ)と呼ばれる、攻撃者のサーバーへの通信を確立します。企業の内部ネットワークと、攻撃者のサーバーを繋ぐための段階です。
C&Cサーバーへの接続が確立されると、攻撃者は自由に企業内のネットワークで行動できるようになります。新たなマルウェアをダウンロードするなど、企業の内部ネットワークで情報収集をするための準備を行うのです。
4. エクスプロイト(例:内部行動)
最初に侵入したパソコンを足がかりとし、企業の内部ネットワーク構造を把握したり、機密情報を保存している場所を探したりする段階です。攻撃者は見つからないように慎重に行動します。この段階では、長いときには数年にも渡る場合があります。
企業内のセキュリティソリューションの情報を収集したり、パソコンを含む機器のぜい弱性情報を収集したりすることで、さらに侵入範囲を広げていくのです。
5. 侵入(例:高い権限を持つPCへの侵入)
企業の機密情報を保存しているファイルサーバーやデータベースには、アクセスできるパソコンは限られている場合が多いでしょう。そのような高い権限を持つパソコンへの侵入、アクセス権限の盗取を行う段階です。この段階まで完了すると、あとは盗み出すだけ、という状態になります。
6. 潜伏活動(例:情報の盗み出し)
潜伏しながら活動する段階です。実際に情報の盗み出しや改ざん、破壊などの行動を起こします。データを盗み出す場合は、デリバリーの段階で確立したC&Cサーバーへのバックドアを用いて送信します。企業内で一般的に利用されるソフトウェアのプロトコルに偽装するなどして、見つからないように送信するのです。
エクスプロイトから侵入の段階までは、長いときで数年かける場合がありますが、潜伏活動の段階でデータを盗み出す際には、数分で完了することもあります。
7. 目的の実行(例:痕跡の消去)
最後に、攻撃者は自身の行動した痕跡を消去します。目的の実行段階は、撤退の段階とも言えるでしょう。マルウェアの行動履歴や、侵入したパソコンのログファイルなどの消去を行います。
仮に企業側が攻撃されていることに気づいても、ログファイルなどの痕跡が残っていないと攻撃者を追跡することが難しくなります。攻撃者が痕跡を消去することは、自らの行為を知らないようにすることと、仮に知られても追跡できないようにすることを目的としているのです。
サイバーキルチェーンを意識した対策
従来のセキュリティ対策は「入り口対策」のみでした。しかし、サイバーキルチェーンを意識した対策では、入り口対策だけでは足りません。サイバーキルチェーンを意識した対策方法として、考慮すべきことについて解説します。
侵入前提の多層防御
サイバーキルチェーンを意識した対策を行うためには、「入り口対策」「内部監視」「出口対策」の多層防御を施すべきです。従来のセキュリティ対策は、ネットワークの入り口(ゲートウェイ)にセキュリティ対策を施す「入り口対策」のみでした。しかし、従来の入り口対策では標的型攻撃メールを防げません。さらに、一度侵入されてしまうと、対策ができなくなってしまうものでした。
そのため、仮に侵入されても検知する仕組みが必要となります。侵入されることを前提とし、多層防御を施す必要があるのです。
チェーンを断ち切る対策が有効
サイバーキルチェーンの7つの段階に合わせて、攻撃者の行動を検知・防御するソリューションを導入しましょう。
「偵察」「武器化」の段階に有効なセキュリティ対策
ゲートウェイでのメールセキュリティ対策が有効です。具体的には、「次世代ファイアウォール」や「次世代IPS」の導入が推奨されます。サンドボックスと呼ばれる仮想環境内で添付ファイルの挙動を確認し、マルウェアかどうかを判定する機能があります。
「デリバリー」の段階に有効なセキュリティ対策
パソコンへのセキュリティ対策が有効です。セキュリティ対策ソフトやパソコン上の情報を収集し、記録することで不審な挙動を検知する「EDR(Endpoint Detection and Response)」を導入しましょう。
「エクスプロイト」「侵入」「潜伏活動」「目的の実行」の段階に有効なセキュリティ対策
内部ネットワーク内での不審な挙動を検知する仕組みが必要となります。ネットワークを可視化するソリューションや、セキュリティ情報の分析・収集を行う「SIEM(Security Information and Event Manager)」の導入が効果的です。
このように、サイバーキルチェーンの7つの段階に合わせて「入り口対策」「内部監視」「出口対策」を行い、チェーンを断ち切る対策が有効となります。
まとめ
サイバーキルチェーンは、標的型攻撃の一連の行動を軍事行動に似せてモデル化したもので、7つの段階に分けられるものです。サイバー攻撃を行う攻撃者は組織化しており、攻撃は年々巧妙化しています。対策を行う企業側も従来の「入り口対策」だけでは不十分と言えます。
侵入を前提とした「入り口対策」「内部監視」「出口対策」といった多層防御を施すべきです。サイバー攻撃はあなたに気づかれないように行われるもの。被害に遭う前にしっかりとセキュリティ対策を施しましょう。
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
