サイバーキルチェーンとは?サイバー攻撃の内容を構造化して対策!

この記事は約6分で読めます。

複雑化しているサイバー攻撃は、いくつかの段階を踏んで行われている特徴をもちます。そのサイバー攻撃を段階別に構造化したものがサイバーキルチェーンです。この記事では、サイバーキルチェーンの概要と各段階の説明、さらに日本年金機構での事例を取り上げて詳しくご紹介します。

サイバーキルチェーンとは

サイバー攻撃が、いくつかの段階を踏んで実行されることを鑑みて、これらの段階を構造化して整理したものが、「サイバーキルチェーン」です。

これは2009年にアメリカのLockheed Corporationによって提起された内容です。特に標的型攻撃の一連の流れをモデルとして整理された内容となっています。

標的型攻撃のサイバーキルチェーン

サイバーキルチェーンは、以下で紹介する7つの段階に分類されています。これら7つの段階の具体的な内容を見ていきましょう。

偵察

まずは社内事情を把握するための事前調査を実施します。SNSなどのWeb上で展開されている情報をメインに調査を実施します。このとき、標的となる会社の役員や従業員などについて、人間関係や趣味、普段の行動などの情報を取得します。

武器化

偵察で入手した情報を元に、標的となる人物に対して送信する、マルウェアやメール文章などを準備します。添付ファイルとして送信されたマルウェアを標的となる人物にクリックさせたり、メール文章中に不正なURLを含ませておいて、標的となる人物にアクセスさせたりすることが目的です。

配送

予め、標的となる人物にアクセスさせるための不正Webサイトを構築します。その後、攻撃者は標的の友人や同僚、上司などの関係者になりすまして、標的型攻撃メールを送付します。目的は、このメールを受信した標的に対し、添付ファイルや不正Webサイトなどからマルウェアをダウンロードさせることです。ここでのマルウェアは、実行ファイル形式だけでなく、WordやExcelファイルなどの形態をとっていることもあります。

攻撃が成功して、標的がマルウェアに感染すると、マルウェアを通じて、攻撃者が立ち上げたコマンド&コントロールサーバー(C&Cサーバー)との通信を確立します。その結果、攻撃者はマルウェアが感染したパソコンを自由に操作できるようになり、企業内のネットワークへ不正アクセスして内部情報を収集するための準備を行います

エクスプロイト

C&Cサーバーと通信を確立した標的のパソコンなどを足がかりにして、内部ネットワークの把握や機密情報の保存場所を探索します。このとき、攻撃者は標的に気づかれないように、慎重に内部の機密情報を盗み出します

具体的には、企業内のセキュリティ製品情報を調べたり、社内機器の脆弱性をチェックしたりして、徐々に活動範囲を広げていきます。

インストール

機密情報などの重要情報を保存しているファイルサーバやデータベースサーバへのアクセスは、通常アクセス制限されています。攻撃者は、そのようなアクセス制限されているサーバーへのアクセス権限を持つパソコンへの侵入を試みます。

企業の内部を調査して、そのようなアクセス権限を持つコンピューターにマルウェアをインストールさせます。マルウェアがインストールされてしまうと、攻撃者はこれらのサーバーから自由に情報を盗み出せるようになります

遠隔操作

C&Cサーバーからの遠隔操作で、機密情報を持つファイルサーバやデータベースサーバへアクセスします。このとき、社内で使われているソフトウェアのプロトコルなどに偽装して発見されにくくします。偵察からインストールまでには時間をかけることがあっても、遠隔操作には時間をかけないこともあります。

目的達成

標的のサーバーから機密性の高いデータを窃取します。その後、攻撃者は攻撃の痕跡を消去します。例えばマルウェアの行動履歴や、サーバーへのアクセスログの消去などです。

ここまで済んだら、攻撃者は標的型攻撃から撤退します。

日本年金機構でのサイバーキルチェーン例

2015年6月に日本年金機構は、約125万件の基礎年金番号や氏名などの年金情報が流出したことを公表しました。この情報流出の原因は、マルウェアが添付されたファイルを実行したことにより発生した、標的型攻撃です。

最初の標的型攻撃に気づいた年金機構は、マルウェアの分析をセキュリティ会社に依頼して対応機能の開発を依頼し、一度は年金機構の全パソコンに対応機能を適用させました。

しかし2度目の標的型攻撃により、結果的に27台のパソコンがマルウェアに感染し、約125万件の年金情報の外部流出を許してしまいました。

日本年金機構で発生していた事例をサイバーキルチェーンで構造化すると次のようになります。

  1. 偵察
    まず攻撃者は、日本年金機構の社内事情を調査し、標的となる職員を決定します
  2. 武器化
    次に攻撃者は、標的となる職員に対して送信するマルウェアなどを準備します
  3. 配送
    攻撃者は標的に対して、マルウェアが含まれたメールを送信します
  4. エクスプロイト
    標的が受信したメールに添付されていたマルウェアをクリックして、パソコンに感染します
  5. インストール
    マルウェアに感染した標的のパソコンから、管理者用のパソコンにバックドアが仕掛けられます
  6. 遠隔操作
    C&Cサーバーとの遠隔操作により、攻撃者がファイルサーバにアクセスします
  7. 目的達成
    攻撃者はファイルサーバから年金情報を窃取します

サイバーキルチェーンには侵入前提の対策が有効

標的型攻撃に限らず、従来のサイバー攻撃への対策は、内部ネットワークの入り口で実施される「入口対策」のみでした。例えば、ファイアウォールによるパケットフィルタリングや、パソコンにセキュリティ対策ソフトを導入するなどの対策です。

しかし標的型攻撃のような高度なサイバー攻撃に対しては、入口対策のみでは不十分です。

特に、サイバーキルチェーンを意識した対策を行うためには、「入口対策」「内部監視」「出口対策」の多層防御が重要です。この多層防御の要点は、「侵入されても対策できる仕組みづくり」です。

さきほど紹介したように、サイバーキルチェーンには7つの段階があります。まずはこの7つの段階を意識した、多層防御を考えましょう。具体的には以下の通りです。

サイバーキルチェーンの段階対策方法
偵察入口対策を強化する。SNSや掲示板などの監視
武器化入口対策を強化する。ホスト型ウイルス対策ソフトの導入
配送入口対策を強化する。危険な実行ファイルの添付禁止、ネットワークの分離
エクスプロイト入口対策を強化する。セキュリティ対策ソフトのアップデートや、従業員の教育
インストール入口対策を強化する。セキュリティ対策ソフトの導入
遠隔操作出口対策を強化する。URLフィルターなどによる不正なWebサイトとの通信のブロック
目的達成出口対策と内部対策を強化する。機密情報の暗号化や、ファイアウォールの導入

まとめ

サイバーキルチェーンは、標的型攻撃などの複雑なサイバー攻撃を7つの段階に分けて構造化したものです。このような複雑なサイバー攻撃は、個人ではなく組織が実行していることも多く、対策する企業も従来の入口対策だけでは不十分になってきました。

標的型攻撃を始めとする巧妙なサイバー攻撃に対しては、サイバーキルチェーンを構成するステップごとの対策が有効であることを、覚えておきましょう。

セキュリティ対策をする セキュリティ技術の導入
LRM株式会社 画像
この記事を書いた人
ISMSやPマーク取得支援・情報セキュリティツールの導入支援を行っている情報セキュリティコンサルティング会社。また、情報セキュリティ向上クラウド「Seculio」の運営しています。
セキュマガ | LRM株式会社が発信する情報セキュリティの専門マガジン
タイトルとURLをコピーしました