パーソルクロステクノロジー

サイバーキルチェーンとは？

サイバーキルチェーンとは2009年にアメリカの宇宙船・航空機製造会社「ロッキード・マーチン社」が作成した、サイバー攻撃の行動段階を構造化して整理したものです。もともと軍事用語として用いられていた、敵の攻撃構造を破壊するという考え方の「キルチェーン」をサイバー攻撃に適用したとされています。サイバー攻撃の構造を理解し、対策をするためにはサイバーキルチェーンは必要不可欠です。

標的型攻撃とは？

サイバーキルチェーンは主に、サイバー攻撃の一種である「標的型攻撃」の攻撃プロセスに当てはめられます。標的型攻撃とは特定の企業や個人を狙い、私的利益を得るために機密情報の搾取や妨害活動を行う攻撃です。標的型攻撃の特徴は、標的が明確なために、アタッカー（攻撃を仕掛ける人）の意図が明確で攻撃が執拗な点です。そのため、不特定多数の人にマルウェア（ユーザーに不利益をもたらす不正なソフトウェア）をばらまく無差別型攻撃とはアタッカーの行動原理が異なります。標的型攻撃には、主に以下の3つの手法があります。

標的型攻撃メール

「標的型攻撃メール」は標的型攻撃の中で最も代表的な手法です。悪意のあるプログラムを仕込んだ添付ファイルやURLをメールと共に送り、ユーザーがプログラムを開くことでマルウェアを強制的にインストールさせる攻撃です。日常的に使われている手法で、近年では取引のあるメールアドレスを偽装したアドレスからプログラムが送られてくることもあるので注意が必要です。

水飲み場攻撃

「水飲み場攻撃」は比較的新しい手法です。ライオンが狩りを行うときに、水飲み場で獲物を待ち伏せしている行動が由来といわれています。これはターゲットが日常的に利用するWebサイトに不正プログラムを仕込み、マルウェアに感染させる攻撃です。ユーザーが普段利用するサイトにマルウェアを仕込むため、高度な技術が必要であり、見分けることが非常に困難です。

潜伏型と速攻型

上記の攻撃以外に、標的型攻撃には「潜伏型」と「速攻型」があります。潜伏型とはユーザーのPCにマルウェアや不正プログラムを長期間、潜伏させることで端末内のデータを盗み続ける攻撃です。感染スポットから徐々に活動基盤を拡大していきますが、動作が遅く、情報漏洩に時間がかかることが特徴です。

一方、速攻型は数時間や数日といった短期間で情報を搾取する攻撃です。潜伏型と違い、攻撃範囲は拡大されないものの、情報を的確に抜き取ることができます。当たり外れがあるため、数回に分けて繰り返し攻撃されることが特徴です。

サイバーキルチェーンの7つのフェーズ

標的型攻撃の行動を段階ごとに整理すると、サイバーキルチェーンは以下の7つのフェーズに分けることができます。

◆Reconnaissance（偵察）

アタッカーが標的である企業や個人に関する調査活動を行うフェーズです。インターネット上に公開されている情報へのアクセスや、ポートスキャン（外部から特定のデータを送信して、それに対する応答を調べること）、ソーシャルエンジニアリング（標的の情報を、同僚や上司といった内部の人間に成りすまして盗むこと）などを行ってシステムの脆弱性を探っていきます。

◆Weaponization（武器化）

偵察のフェーズで得られた情報を基に、標的に送る攻撃コードやマルウェアを作成するフェーズです。標的が開きやすいような添付ファイルを偽装したり、偽サイトを作成したりします。

◆Delivery（配送）

アタッカーが作成した武器が標的に送信されるフェーズです。マルウェアを添付したメールを送信したり、不正サイトへ誘導したりします。標的が日常的に使用するサイトに不正プログラムを仕掛ける場合もあります。（水飲み場攻撃）

◆Exploitation（攻撃）

標的に不正プログラムやマルウェアを実行させるフェーズです。配送で仕掛けたメールの添付ファイルをユーザーが開いたり、不正サイトにアクセスすることで次段階のマルウェアに感染したり、不正プログラムが実行されます。

◆Installation（インストール）

前段階の攻撃により、強制的にマルウェアに感染させたり、不正プログラムを実行させるフェーズです。マルウェアが標的の端末にインストールされることで、端末を乗っ取ることができます。

◆Command and Control（遠隔制御）

インストールされたマルウェアが、アタッカーの用意したC&Cサーバ（外部からコンピュータに対し、不正な指示や制御が可能となるサーバ）によって遠隔操作が可能となるフェーズです。これにより、遠隔で標的のデバイスを自由に操れるようになります。

◆Actions on Objectives（目的の達成）

情報の搾取や破壊といった標的に対する目的を実行するフェーズです。目的達成後は、ログの削除など、攻撃の痕跡の削除を行います。

標的型攻撃の対策

ここまでご説明したように標的型攻撃は行動プロセスが複数の段階に分かれており、計画的且つ執拗な攻撃です。不正プログラムやマルウェアの侵入を1度許してしまうと、大きな損失に繋がりかねません。ここでは、標的型攻撃のサイバーキルチェーンを理解したうえで、どのような対策が可能なのかをご紹介します。

標的型攻撃の対策としては攻撃を未然に防ぐ「入口対策」と攻撃された場合の対策である「出口対策」があります。

不審なメール・リンクは開かない（入口対策）

先述したとおり、標的型攻撃の最も代表的な手法に標的型攻撃メールがあります。また、最近ではサイトにマルウェアを仕掛ける水飲み場攻撃も多くなっています。知らないメールアドレスからのメールや、添付ファイル、サイトの不審なリンクは絶対にクリックしないようにしましょう。ファイルやリンクを開かないことで、標的型攻撃の事前対策が可能です。

OSやソフトウェアを最新の状態にしておく（入口対策）

OSやソフトウェアが古いと、それだけシステムの脆弱性が高いといえます。脆弱性が高いと、マルウェアや不正プログラムが侵入しやすくなり、標的にされる可能性も高まります。脆弱性をなくすために、OSやソフトウェアを常に最新の状態にしておくことが必要です。

セキュリティソフト・サービスを導入する（入口対策）

最も一般的な対策としてセキュリティソフト・サービスの導入が挙げられます。セキュリティソフトやサービスを導入することでログの監視や不審なメールの発見が簡易化されます。

セキュリティに関する従業員教育を徹底する（入口対策）

どのようなサイバー攻撃があるのか、どのような経路で攻撃されるのかといった、サイバー攻撃に関する知識を組織全体で把握しておくことで、セキュリティ意識が上がります。従業員が常に高い意識を持って、仕事をすることで不審なメールやリンクに気づきやすくなります。

日常的にログを監視する（出口対策）

万が一、マルウェア等が侵入した場合は、迅速な対応が求められます。ログの監視を習慣化することで、不正なアクセスやマルウェアの侵入にいち早く気づくことが可能となり、被害の拡大を防ぐことができます。ログの管理体制を整えることが重要です。

インシデント情報を迅速に共有する（出口対策）

サイバー攻撃の被害が確認できたら、迅速にインシデント情報（企業が受けたサイバー攻撃の案件に関する情報）を会社全体に共有することが重要です。多層的な対策を行っていても攻撃を全て防ぐことは、困難です。また、アタッカーは同じ組織内に複数の標的をつくることもあります。被害に遭った場合の対応の流れや共有方法を事前に決めておいて、インシデントが確認されたら迅速に対応することが被害拡大の防止に繋がります。

脆弱性診断とサイバーキルチェーン

ここまでサイバーキルチェーンと、標的型攻撃の対策についてご紹介してきました。ここでは、筆者の主な業務である脆弱性診断とサイバーキルチェーンの関係についてご説明します。

脆弱性診断とは、Webアプリケーションやネットワーク基盤に対するセキュリティホール（コンピュータシステムに生じた保安上の弱点や欠陥）の調査を行うことです。この調査の性質上、サイバーキルチェーンの「偵察」及び「武器化」と親和性の高い業務です。言い換えると、サイバーキルチェーンの全フェーズに対して、脅威や可能性を追求することは難しいということです。しかし、「偵察」でアタッカーが得られる情報に、意図せぬ内容や示唆的な情報が含まれていないか判断したり、「武器化」で悪用される小さなリスクがないかを探したりすることは重要な業務です。「大丈夫だろう」と判断したことが、後に重大なリスクに繋がることも十分に考えられます。診断士にとって、リスクを常に想定し、些細な弱点を判断することが大切です。

まとめ

孫氏の言葉に「敵を知り己を知れば百戦危うからず」というものがあるように、セキュリティ対策をするためには、まずどのようなサイバー攻撃があるのか、またどのようなプロセスで攻撃されうるのかを知ることはとても重要です。

行動を段階的に把握することで、段階的な対策をすることが可能になります。攻撃を受ける前の予防策と、受けた場合の対応策を決めておくことで、各段階で迅速に対応し被害の拡大を押さえることに繋がります。さらに、些細なシステムの不具合や異変でも、常に最大のリスクを想定し「脆弱性につながるのではないか」と疑問を持ち続けることも、重要な対策になります。