企業が所有する機密情報の周りには、さまざまな脅威が存在します。
また、企業はそれらの脅威による被害を受けないためにも、“サイバーキルチェーン”について把握しておく必要があります。
ここからは、サイバーキルチェーンの概要と段階について、詳しく解説したいと思います。
サイバーキルチェーンの概要
サイバーキルチェーンとは、企業における代表的な脅威であるサイバー攻撃が、いくつかの段階を踏んで実行されることを鑑みて、これらの段階を構造化し、整理したものをいいます。
元々、キルチェーンは軍事で使用される言葉であり、敵の攻撃の構造を破壊、切断することにより、自軍を防御したり、先制処置したりする考え方のことを指しています。
こちらの考え方をもとに、2009年にロッキード・マーチン社がサイバー攻撃に適用したものがサイバーキルチェーンです。
具体的には、以下のような段階で構築されています。
・偵察
・武器化
・デリバリー
・エクスプロイト
・インストール
・C&C
・目的の実行
では、それぞれの段階について詳しく見てみましょう。
偵察
偵察とは、攻撃者がインターネットなどから企業や人物などを調査し、対象の企業に関する情報を取得することをいいます。
近年は、秘匿性の高いダークウェブ上で売買されている情報なども組み合わせ、ターゲットとなる企業を選定することもあります。
武器化
武器化とは、サイバー攻撃者がマルウェアやエクスプロイトを作成することを指しています。
マルウェアは、不正かつ有害に動作させる意図で作成される、悪意のあるソフトウェアや悪質なコードの総称であり、コンピュータウイルスやワームなどが含まれます。
また、エクスプロイトとは、OSやソフトウェア、ハードウェアの脆弱性を利用し、コンピュータやスマートフォンで不正なスクリプト、プログラムを実行させるような攻撃をいいます。
つまり、サイバーキルチェーンにおける武器化とは、攻撃者がこれらの武器を用意する段階だということです。
デリバリー
デリバリーは、武器化で準備した任意コードやマルウェア、悪質な偽サイトへのリンクなどを、実際にターゲットに届ける段階です。
正規のメールアドレスと1文字だけ変えた偽のメールアドレスなどから送られる、実行ファイルやURLが添付されたメールによる手口が一般的です。
また、その他でいうと、一見普通に見える画像にマルウェアを仕込んでいるケースや、攻撃者が細工したデータを送信し、脆弱性を利用して任意コードを実行させるケースなどが挙げられます。
エクスプロイト
ターゲットにマルウェア添付ファイルを実行させたり、マルウェア設置サイトに誘導し、脆弱性を使用したエクスプロイトコードを実行させたりする段階です。
簡単にいうと、実際に攻撃を仕掛ける、対象企業がダメージを受けるフェーズということになります。
インストール
企業の機密情報などを保存しているファイルサーバ、データベースサーバへのアクセスは、通常アクセス制限されています。
このようなアクセス制限を突破するため、攻撃者がアクセス権限を持つパソコンへの侵入を試みるのがインストールです。
具体的には、企業の内部を調査し、そのようなアクセス権限を持つコンピュータにマルウェアをインストールさせます。
こちらがインストールされることにより、攻撃者はサーバから自由に情報を窃取できるようになります。
C&C
C&Cとは、マルウェアとC&Cサーバを通信させ、感染したパソコンを遠隔操作することをいいます。
また、攻撃者は新たなマルウェアやツールのダウンロードなどにより、感染拡大や内部情報の探索を試みます。
目的の実行
攻撃者は、ターゲットの企業に対し、あらかじめ持っていた目的を実行します。
例えば、情報の窃取や改ざん、削除などを行い、目的を達成した後は、ログ情報を削除するなど、攻撃者の行動した痕跡を消去します。
こちらにより、攻撃が発覚した際の操作を困難にさせます。
サイバーキルチェーンを踏まえた情報セキュリティ対策
サイバーキルチェーンについて学習すると、サイバー攻撃の全体が見通しやすくなり、それぞれの段階において対策が必要なことも理解できるかと思います。
具体的な対策としては、各段階において攻撃の痕跡となるログ(データ通信などの履歴)などを監視し、ネットワークの入口対策、内部監査、出口対策などの多層防御を行うことが挙げられます。
つまり、侵入されても対策できる仕組みづくりが重要だということです。
これまでのサイバー攻撃への対策は、内部ネットワークの入口で実施される入口対策(ファイアウォールによるパケットフィルタリング、セキュリティ対策ソフトの導入など)のみでしたが、近年の高度なサイバー攻撃に対しては、こちらだけでは不十分だと言えます。
まとめ
ここまで、企業が把握しておくべきサイバーキルチェーンの概要と、各段階の詳細について解説しましたが、いかがでしたでしょうか?
サイバー攻撃の手法は目まぐるしく変化し、手法が変わるたびに巧妙なものになっています。
そのため、企業もその変化に対応するために、日々情報セキュリティ業界の動向をチェックし、対策に関してもアップデートしていかなければいけません。
