サイバーキルチェーンとは：
そのプロセスとモデル

サイバーキルチェーンとは？

サイバーキルチェーンは、軍事におけるキルチェーンを応用したものであり、敵のアクティビティを特定して阻止する段階的なアプローチです。もともと2011年にロッキードマーティンによって開発されたサイバーキルチェーンは、いくつかの一般的なサイバー攻撃のさまざまな段階を概説したものでした。これを拡張して、情報セキュリティチームが攻撃者を防止、検知、傍受できるポイントの概要を示すものとしています。

サイバーキルチェーンは、持続的標的型攻撃（APT攻撃）とも呼ばれる巧妙なサイバー攻撃から防御することを目的としたものです。その攻撃者は攻撃の監視と計画にかなりの時間を費やしています。これらの攻撃には、通常、計画を実行するためのマルウェア、ランサムウェア、トロイの木馬、スプーフィング、ソーシャルエンジニアリング手法の組み合わせが含まれます。

サイバーキルチェーンプロセスの8つのフェーズ

Lockheed Martin社の最初のサイバーキルチェーンモデルには、次の7つの連続したステップが含まれていました。

フェーズ1：偵察
偵察フェーズでは、悪意のあるアクターが標的を特定し、ネットワーク内でエクスプロイト可能な脆弱性と弱点を調査します。このプロセスの一環として、攻撃者はログイン認証情報を取得したり、Eメールアドレス、ユーザーID、物理的な場所、ソフトウェアアプリケーション、オペレーティングシステムの詳細などの他の情報（すべてフィッシング攻撃やスプーフィング攻撃に利用できる情報）を収集したりする可能性があります。一般的に、攻撃者が偵察フェーズ中に収集できる情報が多いほど、攻撃はより巧妙で欠点の少ないものになり、攻撃の成功確率が上がります。

フェーズ2：武器化
武器化フェーズでは、攻撃者は、既知の脆弱性をエクスプロイトできるリモートアクセスマルウェア、ランサムウェア、ウイルス、ワームなどの攻撃ベクトルを作成します。このフェーズでは、攻撃者はバックドアを設定して、元のエントリポイントがネットワーク管理者によって特定されて閉じられた場合でも、システムへのアクセスを継続できるようにすることがあります。

フェーズ3：配送
配送ステップでは、侵入者が攻撃を開始します。利用する具体的な手順は、実行する攻撃の種類によって異なります。たとえば、攻撃者はEメールの添付ファイルや悪意のあるリンクを送信して、計画を進めるためのユーザーアクティビティを促す場合があります。このアクティビティは、作戦の効果を高めるためにソーシャルエンジニアリング技術と組み合わせる場合があります。

フェーズ4：エクスプロイト
エクスプロイトフェーズでは、悪意のあるコードが被害者のシステム内で実行されます。

フェーズ5：インストール
エクスプロイトフェーズの直後に、マルウェアまたはその他の攻撃ベクトルが被害者のシステムにインストールされます。脅威アクターがシステムに侵入し、コントロールを掌握することができるようになるため、ここは攻撃ライフサイクルのターニングポイントとなります。

フェーズ6：コマンド＆コントロール
コマンド＆コントロールでは、攻撃者はマルウェアを使用して、標的ネットワーク内のデバイスまたはアイデンティティのリモートコントロールを掌握することができます。このステージでは、攻撃者はネットワーク全体をラテラルムーブメントしてアクセス範囲を拡大し、将来のためにより多くのエントリポイントを確立することもあります。

フェーズ7：目的の実行
このステージでは、攻撃者がデータの窃盗、破壊、暗号化、持ち出しなど、意図した目的を達成するための手段を講じます。

時が経つにつれて、多くの情報セキュリティ専門家は、キルチェーンを拡張して、8番目のステップである収益化を含めました。このフェーズでは、サイバー犯罪者は、被害者が支払う何らかの形の身代金を通じて、またはダークウェブ上で個人データや企業秘密などの機密情報を販売するなど、攻撃から収入を得ることに焦点を当てます。

一般的に、組織がサイバー攻撃のライフサイクル内で脅威を早期に阻止できるほど、組織が負担するリスクは少なくなります。コマンド＆コントロールフェーズに到達した攻撃には、通常、攻撃の規模と深さを判断するために、ネットワークとエンドポイントを徹底的にスイープするなど、はるかに高度な修復作業が必要となります。そのため、組織は、攻撃のリスクとイベントの解決コストの両方を最小限に抑えるために、ライフサイクルのできるだけ早い段階で脅威を特定して無力化する措置を講じる必要があります。

サイバーキルチェーンの進化

上記のように、攻撃者の手法の変化にともない、サイバーキルチェーンは進化し続けています。2011年にサイバーキルチェーンモデルが公開されて以来、サイバー犯罪者の手法ははるかに巧妙になり、そのアクティビティはより大胆になっています。

これは依然として有用なツールですが、サイバー攻撃のライフサイクルは10年前に比べて、はるかに予測しにくく不明確になっています。たとえば、サイバー攻撃者が、特にライフサイクルの前半で手順をスキップしたり組み合わせたりすることは珍しくありません。これにより、組織がライフサイクルの早い段階で脅威を発見して無力化する時間と機会が減少します。さらに、キルチェーンモデルの普及により、組織が防御をどのように構築しているかのヒントをサイバー攻撃者に与える可能性があります。これが、攻撃ライフサイクルの重要なポイントでの攻撃検知の回避につながることも考えられます。

サイバーキルチェーンに関する批判と懸念

サイバーキルチェーンは、組織がサイバーセキュリティ戦略の開発を開始できる広く普及した一般的なフレームワークですが、重要で致命的になり得るいくつかの欠陥が含まれています。

境界セキュリティ

サイバーキルチェーンモデルの最も一般的な批判の1つは、境界セキュリティとマルウェア防御に焦点を当てていることです。これは、組織が従来のオンプレミスネットワークからクラウドに移行していく中で、特に差し迫った懸念事項です。

同様に、リモートワークのトレンドの加速と、パーソナルデバイス、IoTテクノロジー、ロボティックプロセスオートメーション（RPA）などの高度なアプリケーションの急増により、多くの企業組織の攻撃対象領域が指数関数的に増加しています。つまり、サイバー犯罪者が悪用できるアクセスポイントがはるかに多くなり、企業がすべてのエンドポイントを保護することは、より困難になっています。

攻撃に対する脆弱性

キルチェーンのもう1つの潜在的な欠点は、検知できる攻撃の種類に制限があることです。たとえば、当初のフレームワークでは、組織にとって最も深刻なリスクであり、成功率が最も高い攻撃の1つであるインサイダー脅威を検知できません。権限のない第三者による侵害された認証情報を利用する攻撃も、当初のキルチェーンフレームワークでは検知できません。

またWebベース攻撃は、サイバーキルチェーンフレームワークで検知されない可能性があります。この攻撃の例には、クロスサイトスクリプティング（XSS）、SQLインジェクション、DoS/DDoS、一部のゼロデイエクスプロイトが含まれます。安全性を損なうソフトウェアパッチがその一因となって発生した2017年のEquifaxの大規模な侵害は、セキュリティが不十分なために検知されなかったWeb攻撃の有名な例です。

最後に、このフレームワークはよく研究された巧妙な攻撃を検知することを目的としていますが、サイバーキルチェーンは、有意な偵察を行わない攻撃者を見逃すことがよくあります。たとえば、「スプレーアンドプレイ」手法を使用する攻撃者は、慎重に築かれた罠を、まったくの偶然によって回避してしまうことがよくあります。

サイバーセキュリティにおけるサイバーキルチェーンの役割

サイバーキルチェーンにはいくつかの欠点がありますが、組織によるサイバーセキュリティ戦略の設定を支援する上で重要な役割を果たします。このモデルの一環として、組織は次のようなサービスとソリューションを採用する必要があります。

• 脅威インテリジェンス手法を使用して、脅威ライフサイクルの各ステージで攻撃者を検知する
• 権限のないユーザーからのアクセスを防止する
• 権限のないユーザーによる機密データの共有、保存、変更、流出、暗号化を防ぐ
• リアルタイムで攻撃に対応する
• ネットワーク内での攻撃者のラテラルムーブメントを阻止する