あらゆるセキュリティソリューションが悪意のあるプロセスを排除するためのフレームワークを持つように、攻撃者もインフラへの侵入や境界防御の回避のために独自のフレームワークを持っています。サイバーキルチェーンは、高度な攻撃がエスカレートしたり組織に影響を与える前に特定し阻止するために設計された概念です。これは攻撃の複数の段階を網羅し、脅威の関連性を示します。サイバーキルチェーンはインシデント管理と対応モデルの改善に活用できます。
正しく理解・実装されればセキュリティ上の利点をもたらします。セキュリティチームは自チームの弱点を把握し、ビジネスに有益な将来的な課題を提起できます。また組織のサイバーセキュリティ戦略を策定し防御体制を強化する指針となります。本ガイドではサイバーキルチェーンの定義、主要なステップ、フレームワークの詳細について解説します。サイバーキルチェーンに興味があるなら、この記事は最適な出発点となるでしょう。
サイバーキルチェーンとは?
サイバーキルチェーンは、ロッキード・マーティン社が最初に開発した、インテリジェンス主導の防御モデルです。その目的は、セキュリティチームがサイバー攻撃を分析、理解し、段階的に分類することを支援することです。これは、攻撃者が防御を突破する前に経る段階をマッピングしたサイバーキルチェーンモデルです。
サイバーキルチェーンの段階は、高度な持続的脅威(APT)がどのくらいの期間続くかを概説し、一連のイベントを示しています。これらは、初期偵察から攻撃者の目標達成までのすべての段階を網羅しています。
サイバーキルチェーンとMITRE ATT&CKの比較
サイバーキルチェーンは敵対者の行動と戦術を詳細に可視化します。レッドチーム活動、フォレンジック分析、インシデント対応で頻繁に活用されます。MITRE ATT&CKフレームワークは、より深い洞察を提供し、多様な脅威に対する適応性を高めるために設計されています。サイバーキルチェーンは、強固な基盤を構築し、積極的な防御戦略を開発するために使用されます。侵入検知システム、ファイアウォール、最新のセキュリティソリューションを組み合わせて使用する組織に最適です。
企業がクラウド環境やエンドポイント環境全体における攻撃者の動作をより詳細に把握したい場合、MITRE ATT&CKフレームワークが有益です。サイバーキルチェーンプロトコルは攻撃を即時阻止し、セキュリティ運用強化の貴重なツールとなります。MITRE ATT&CK はより詳細で柔軟性が高く、現実世界の攻撃手法、技術、手順 (TTP) を網羅しています。MITRE ATT&CK は、攻撃サイクルのどの段階で発生したかに関係なく、あらゆる攻撃段階の脅威への対応にも使用できます。
サイバーキルチェーンに関する懸念点
サイバーキルチェーンモデルは直線的なアプローチを採用しているため、マルチベクトル攻撃の検出には不向きです。予測可能な経路をたどる脅威のみを可視化できます。攻撃がシーケンスを超えた場合、サイバーキルチェーンのプロセスは容易に無効化されます。また、内部脅威やウェブベースの攻撃を考慮していません。これは、外部脅威のみに焦点を当てた静的な脅威検出モデルです。境界セキュリティとマルウェア検出に依存しているため、クラウドベースのセキュリティ環境ではうまく機能しません。
サイバーキルチェーンは 2011 年に策定されましたが、サイバー脅威の変化する性質に適応するために、このフレームワークは更新されていません。ランサムウェア・アズ・ア・サービス(RaaS)レベルの脅威に対しては特に効果的ではなく、検知プロファイルも限定的です。サイバーキルチェーンは柔軟性に欠け、複雑な攻撃シナリオに対応できません。また、複数の情報源から分析するために必要な脅威インテリジェンスも不足しています。「スプレーアンドプレイ」戦術や通常のパターンに従わない脅威など、高度でない攻撃さえ見逃す可能性があります。
サイバーキルチェーンの仕組みとは?
サイバーキルチェーンは攻撃を複数の段階に分解します。攻撃者の動きを構造的に認識し、各段階で妨害する方法を論じます。攻撃を単発の事象とは見なしません。
攻撃サイクルの可能な限り早い段階で攻撃者の動きを探知し、対抗し続けます。組織が対策を講じなければ、長期的に深刻な結果を招く可能性があります。本質的に、サイバーキルチェーンは組織が最新のサイバー脅威から身を守り防御するためのロードマップ、あるいは青写真なのです。
threat-intelligence-ops-report1-purple
サイバーキルチェーンの7段階
サイバーキルチェーンは7つの段階で構成され、以下の通りです:
1. 偵察
偵察は、サイバーキルチェーンモデルの最初の段階です。潜在的な標的に関する洞察を提供し、それらを調査します。また、それらの脆弱性について学び、これらの標的がどのサードパーティと関連している可能性があるかを突き止めます。その他の潜在的な侵入経路の探索や新たな侵入経路の発見も行われ、偵察活動はオンラインとオフラインの両方で実施されます。
2. 武器化
標的のネットワークを攻撃・侵入するために、サイバー兵器やキルチェーンツールが使用されます。これらのツールには、マルウェア、ランサムウェア、ペイロード、その他の悪意のある亜種などがあります。
3. 配信
敵対者は、ユーザーに接触し、悪意のあるリンクを含むさまざまなフィッシング手段を送信しようとします。 これらの電子メールの件名は、被害者に何らかの行動を促すように仕向けるものです。 配信が成功すると、敵対者は組織のネットワークに侵入し、ハードウェアやソフトウェアの脆弱性をさらに悪用することができます。
4. 悪用
攻撃者は、ネットワークのより深い部分への侵入を試み、前のステップで発見し悪用した脆弱性を活用します。 攻撃者は目標達成に向けて前進し、より大きな標的へ到達するためネットワーク横断的な移動を試みます。ネットワーク管理責任者で必要なセキュリティ対策を実施していない標的が存在する場合、攻撃者はそれらを標的にします。
5. インストール
インストール段階では、標的ネットワークへのマルウェアやその他のランサムウェア亜種のインストールを試みます。攻撃者は、システムを制御下に置き、機密データを盗み出そうとします。また、他のサイバー兵器、トロイの木馬、バックドア、コマンドラインインターフェースなどをインストールする場合もあります。
6.コマンド&コントロール(C2)
サイバーキルチェーンのコマンド&コントロール段階では、攻撃者はネットワークに潜伏させたマルウェアとの通信を試みます。攻撃者はツールに対し、特定のタスクを遠隔で実行するよう指示します。攻撃者は通信チャネルを利用して、マルウェアやボットネットに感染したコンピュータを制御します。トラフィックでウェブサイトを過負荷状態にしたり、C2サーバーに指令を実行させたりすることが可能です。
7. 目標達成のための行動
これは攻撃者が最終的に目的を達成しようとする段階です。攻撃目標は、実行するサイバー攻撃の種類によって異なります。サービスの中断や停止、組織の完全なオンライン化を図る攻撃者もいます。機密データを窃取するためのマルウェア配布、サービス拒否攻撃(DoS攻撃)の実行、組織から金銭を脅し取る手段としてのランサムウェア使用などが考えられます。
サイバーキルチェーンの限界
サイバーキルチェーンの欠点と限界は以下の通りです:
- サイバーキルチェーンのフェーズにおける最大の弱点の一つは、内部脅威を検知できないことです。 不正な第三者による侵害された認証情報を利用した攻撃も検知できません。Webベースの攻撃は、サイバーキルチェーンフレームワークでは見過ごされてしまいます。その例としては、SQLインジェクション、DOS攻撃、DDOS攻撃、クロスサイトスクリプティング、および ゼロデイ攻撃。
- サイバーキルチェーンモデルは、それほど複雑ではない攻撃も見逃す可能性があります。 これには、多くの調査を必要とせず洗練されていない攻撃などが含まれます。
- サイバーキルチェーンフレームワークは、基本的な亜種、特に「撒き散らし攻撃」戦術を見逃す可能性があります。これは、純粋な偶然によって、最も周到に設計された検知スキームを巧妙に回避できるものです。
サイバーキルチェーンの実例
以下に、サイバーキルプロセスが実際に機能した実例をいくつか示す:
ターゲット社データ侵害事件(2013年)
攻撃者は、ターゲットの第三者HVACベンダーであるファジオ・メカニカルの脆弱性を発見し、偵察を開始しました。フィッシングメールをマルウェア化して攻撃手段とした後、ファジオの従業員にペイロードを配信し、正当なベンダー認証情報を利用してターゲットのネットワークに侵入しました。メモリスクレイピングマルウェアがPOS端末にインストールされ、コマンド&コントロール通信を通じて7,000万件の顧客記録と4,000万件のクレジットカード番号が窃取された。
ソニー・ピクチャーズエンタテインメントハッキング事件(2014年)
攻撃者は、ワイパーマルウェアとバックドアを武器化する前に、ソニーのインフラストラクチャを徹底的に偵察しました。スピアフィッシングメッセージはマルウェアツールを運び、盗まれた管理者認証情報を使用してネットワーク全体に悪意のあるペイロードを拡散させた。コマンドアンドコントロールチャネルは数か月間持続し、データ破壊、映画の盗難、そして映画『The Interview』の公開阻止を目的とした身代金要求につながった。
SolarWindsサプライチェーン侵害事件(2020年)
攻撃者はSolarWindsの更新プロセスを悪用し、SUNBURSTバックドアを通じて正規の更新プログラムを武器化した。マルウェアはハイジャックされたビルドを介して18,000ユーザーに拡散し、サイレント更新ベクトルでペイロードを配信。コマンド&コントロール通信では、機密情報を含む商用・政府ネットワークへのアクセスを可能にするため、回避目的でドメイン生成アルゴリズムが利用された。
コロニアル・パイプラインランサムウェア攻撃(2021年)
DarkSideランサムウェア攻撃者は偵察段階でコロニアル・パイプラインのVPN脆弱性を悪用し、運用技術環境向けに調整されたペイロードを投入。盗まれた認証情報が初期アクセス手段となり、パスワードの再利用と多要素認証の欠如が利用された。ランサムウェアのインストールによりパイプラインの運用が中断され、440万ドルの身代金が支払われるまで、コマンドアンドコントロールチャネルが暗号化状況を監視した。
サイバーキルチェーンとSentinelOneでセキュリティを強化
SentinelOneのAI脅威検知プラットフォームは、サイバーキルチェーンモデルを適用し実践に移すことができます。SentinelOneのネットワーク監視機能で偵察活動を検知可能です。SentinelOneの攻撃的セキュリティエンジンは攻撃者より数歩先を行き、脅威が発生する前に検知し、予測さえします。配信・兵器化段階では、SentinelOneの行動ベースAIエンジンがエンドポイントで実行される前に悪意のあるURLやファイルを特定します。シグネチャ不要のリアルタイム検知により、新たな脅威を特定できます。
攻撃者が悪用段階に到達すると、SentinelOneのActiveEDRテクノロジーがシステム活動を監視し、悪意のある活動を特定・遮断します。不審な活動が発生した際には、SentinelOneの自動応答機能を活用し、影響を受けたエンドポイントを即時隔離すべきです。インストール段階では、SentinelOneは悪意のある変更を元に戻すロールバック機能を提供します。SentinelOneの統合管理コンソールを通じて、すべてのシステム活動に対する包括的な可視性を得られます。SentinelOneは、クラウド環境全体にわたる資産、リソース、アカウント、その他のイベントをマッピングできます。攻撃者がコマンド&コントロール通信を行う際、SentinelOneは悪意のあるサーバーへのアウトバウンド接続を検知・遮断します。ネットワーク横断的な横移動を阻止し、権限昇格を防止します。脅威を隔離し、ランサムウェア、マルウェア、シャドーIT、ゼロデイ攻撃、ソーシャルエンジニアリングなどに対抗します。SentinelOneは機密データの安全なバックアップと強固なデータセキュリティの確保にも活用できます。SentinelOneのフォレンジックツールは詳細な事後調査を可能にし、攻撃パターンの理解と将来の脅威に対する防御強化を支援します。
まとめ
サイバーキルチェーンを理解することで、セキュリティチームは攻撃のどの段階でも阻止し、進化する脅威に対する防御を最大化できます。各フェーズにセキュリティ対策マッピングすることで、このフレームワークを実行可能な防御戦略に変換できます。SentinelOneは自律型プラットフォームを通じてこの理論モデルを実践的な防御に変換し、攻撃の全段階にわたる可視性と対応能力を提供します。高度な脅威に対する包括的な防御が必要な場合、SentinelOneは現代の防御に必要なツールを提供します。
今すぐSentinelOneを導入し、攻撃を即時阻止しましょう。
FAQs
サイバーキルチェーンとは、ロッキード・マーティン社が開発した、情報主導型の防御フレームワークです。サイバー攻撃を 7 つの段階に分解し、それらが順番に発生すると考えています。このフレームワークを適用することで、攻撃のシーケンスを理解し、各ステップで的を絞った防御を構築することができます。攻撃者が、最初の偵察から目標達成に至るまでの動きを示すものです。
7 つの段階は、1) 偵察 - ターゲット情報の収集、2) 武器化 - 悪意のあるペイロードの開発、3) 配信 - ターゲットへの武器の配信、4)エクスプロイテーション ― 悪意のあるコードの実行、5) インストレーション ― 持続性の確保、6) コマンド・アンド・コントロール ― リモートアクセスチャネルの構築、7) アクション・オン・オブジェクティブ ― データ窃取や破壊といった攻撃者の目的の遂行。
組織は、防御策を攻撃の各段階に整合させることでキルチェーンモデルを導入します。具体的には、偵察段階には早期警戒監視ツール、配信阻止にはメールフィルター、悪用・インストール段階にはエンドポイント保護、C2検出にはネットワーク監視、最終段階にはデータ保護制御を導入できます。
サイバーキルチェーンは、各段階で攻撃の兆候を体系的に探る手段を提供することで脅威の発見を支援します。異常なスキャンによる偵察、不審なメールによる配信、新規ファイルやレジストリ変更によるインストールを探せます。これらの段階固有の指標を探せば、攻撃サイクルの早い段階で検知できます。
サイバーキルチェーンのどの段階でも攻撃を遮断できます。ネットワーク強化による偵察の阻止、悪意のあるメール添付ファイルの削除、脆弱性パッチ適用による悪用防止、C2通信の傍受などにより、攻撃が完了する前に阻止します。最適な防御を実現するには、各段階に対応した複数のセキュリティ層が必要です。
批判派は、サイバーキルチェーンが現代の攻撃に対して過度に構造化されていると指摘しています。内部者脅威、ウェブ攻撃、クラウド環境への対策では効果が低いと考えられています。このモデルは直線的な進行を前提としていますが、実際の攻撃は複数の段階を飛び越えて進行します。2011年以降、大幅な改訂が行われていないため、ランサムウェア・アズ・ア・サービスなどの新たな脅威に対しては関連性が低い点に留意すべきです。
ロッキード・マーティン社は、インテリジェンス主導の防衛イニシアチブの一環として、2011 年にサイバーキルチェーン手法を開発しました。これは、軍事理論である「キルチェーン」作戦に基づいていますが、サイバーセキュリティに適応させたものであることをご存じの方も多いでしょう。この手法は、攻撃を具体的な対処可能な段階に分解することで、組織が高度で持続的な脅威(APT)をよりよく理解し、対処できるように開発されました。
