サイバーキルチェーンとは、標的型サイバー攻撃を、相互に関連する一連のフェーズとして説明するモデルのことです。各フェーズは、攻撃者が標的システムに侵入し、最終目標に向かって進むために踏む1つの段階を表しています。これらのフェーズを踏まえて検討することで、セキュリティ担当者は自社のインフラの強化や従業員教育をより効果的に進められます。また、現在進行形で行われている攻撃をより迅速に見つけ出し、そのサイバー攻撃がどの程度進行しているのかを測定し、適切に対策することが可能となります。
現代の企業は、高度に進化しているサイバー脅威から機密データを保護するための戦いを絶えず繰り広げています。サイバーキルチェーンモデルの各フェーズについて、およびそれらのフェーズとサイバー脅威をめぐる状況との関連性について詳しく知ることで、戦略的な計画立案をより効果的に実現でき、リアルタイムのサイバーセキュリティ対策を促進できます。各フェーズは、攻撃を検知、妨害、阻止する機会にそれぞれ対応しています。
サイバーキルチェーンモデルについて理解する
キルチェーンという用語は軍事戦略に由来するもので、元々は、物理的攻撃における一連の段階を表すために使われていた用語です。この用語は、サイバーセキュリティの世界に適用するためにロッキード・マーティン社によって応用され、攻撃者が通常通過する各フェーズ(標的の調査、悪意のあるコードの武器化、環境へのコードの投入、脆弱性の悪用、そして最終段階である機密データの窃取)の概要を示しています。
サイバーキルチェーンの価値は、早期の検知・阻止のための機会を明確に把握できるようにする点にあります。すなわち、各フェーズに分けて段階的に検討することで、セキュリティチームが介入できる極めて重要なポイントが明らかになり、インシデントによる被害が発生してはじめて対応を行うような事態を避けられるのです。このマインドセットに沿って防御体制を構築しておけば、セキュリティ担当者は、進化を続けるサイバー脅威に先回りして対処し、エスカレートする前にサイバー脅威をより効果的に発見することができます。
サイバーキルチェーンを構成する7つのフェーズ
キルチェーンは、攻撃者が標的のネットワークに対するセキュリティ侵害行為を完了するまでに経るパターンを図式化した、それぞれ明確に異なるいくつものフェーズに分かれています。以下のリストは、それらのフェーズについてまとめたものです。
偵察(Reconnaissance):攻撃者は標的のネットワーク、ユーザー、防御体制に関する情報を収集します。脆弱性スキャンを実施したり、標的組織のインフラや従業員に関して調査したりする場合があります。
武器化(Weaponization):このフェーズでは、攻撃側は発見した脆弱性を悪用して攻撃する悪意のあるペイロードを作成します。例えば、特定の脆弱性を標的とするカスタムマルウェアなどを作成します。
配信(Delivery):このフェーズでは、マルウェアやエクスプロイトが送信されます。フィッシングメール、感染したUSBドライブ、あるいはセキュリティ保護が不十分なウェブアプリケーションが、配信の手段としてよく使われます。
エクスプロイト(Exploitation):配信された後、悪意のあるコードがトリガーされ、システムの欠陥を悪用して攻撃者がアクセス権を得られるようにします。これが攻撃全体の中核となるフェーズです。
インストール(Installation):初期のエクスプロイトによって突破口が開かれると、攻撃者はそこから侵入し、追加のバックドアやリモートアクセスツールをインストールします。これらを介することで、元の脆弱性がパッチで修正されてもネットワーク内に潜伏し続けやすくなります。
コマンド&コントロール(C2):攻撃者は侵害されたシステムとの通信を確立し、より一層高度なコマンドをリモート実行できるようにします。
目的達成(Actions on objectives):最後に、攻撃者は機密データの窃取、業務運営の妨害、身代金目的のファイル暗号化など、最終目的を達成します。
これらのサイバーキルチェーンのいずれのフェーズにおいても、悪意のあるアクティビティをセキュリティ担当者が検知あるいは阻止することのできる機会があります。例えば、高度な防御体制を整備することで、不審なペイロードが実行されるのを防止したり、拡散される前にマルウェアの隔離を行うことに重点を置いたりすることができます。
キルチェーンのフレームワークをサイバーセキュリティにおいて活用するメリット
組織はサイバーキルチェーンのフレームワークを導入することで、事後対応型の防御から事前予防型のセキュリティへと移行できます。アノマリを個々のサイバー攻撃フェーズにマッピングすることにより、防御側はライフサイクルの早い段階で脅威を検知し、侵入がエスカレートする前にそれを阻止、対策することが可能となります。このようにして早期侵入検知に重点を置くことは、強固なデータセキュリティを維持し、サイバー脅威の影響を最小化することに貢献します。
また、このフレームワークは、エンドポイント、ネットワーク、そしてクラウド環境の全体にまたがる多層的な保護対策を設計する際に、このチェーンの各フェーズを常に念頭に置いておくことで、チームが多層にわたる防御体制を構築するための指針ともなります。例えば、企業はマルウェアの配信を防止するための境界防御を強化するだけでなく、特に重要なインフラをバックアップするための堅牢なツールへの投資も行い、攻撃がすでにエクスプロイトのフェーズを超えて進行している場合には、それらのバックアップ内に存在するサイバー脅威を発見できるようにする必要があります。多層防御アプローチは攻撃者の進行を遅らせ、その進捗を阻止する機会をいくつも生み出すことができます。
脅威インテリジェンスをキルチェーンフレームワークと連携させ、セキュリティ侵害行為の兆候が攻撃におけるしかるべきフェーズに対応するよう調整するのが賢明なやり方です。そのようにすることで、ノイズを排除し、アラート間に優先順位を付け、情報をより戦略的に適用できるようになります。
最後に、サイバーキルチェーンは、より正確なインシデント対応計画の策定を支援する役割も果たします。攻撃がこのチェーン内のどのフェーズにまで進行しているかによって対応を調整することで、適切な人員が適切な措置を適切なタイミングで講じる体制を促進できます。また、HIPAAの対象となる医療関連企業など、規制の厳しい業界の企業にとって、このようなアプローチは、機密情報を保護するためのしっかりとした管理体制を敷いていることを示し、コンプライアンス面を強化します。
キルチェーンのインサイトを活用したセキュリティ戦略の強化
セキュリティチームは、サイバーキルチェーンのモデルを自社のセキュリティ戦略に組み込むことができます。例えばスタッフは、異常な偵察行動や不審なフィッシング行為など、初期フェーズで用いられる戦術を認識する必要があります。EDR(Endpoint Detection and Response)とXDR(Extended Detection and Response)の各ソリューションは、複数のエンドポイント、ネットワーク、およびクラウドシステム全体にわたってテレメトリデータを収集して、特定のキルチェーンフェーズにデータをマッピングし、進行中の攻撃を示している可能性のある隠れたパターンを見つけ出します。
このフレームワークを運用化するもう1つの方法として、模擬復旧演習の実施が挙げられます。この訓練を通じて、企業はキルチェーンの各種フェーズに到達したインシデントに対し、自社のシステムと人員がどの程度適切に対応できるかをテストできます。セキュリティチームは、実際の攻撃者が自社に対して脆弱性を悪用した攻撃を仕掛けてくる前に弱点を見つけ出し、サイバー復旧をシミュレートすることで、最悪のケースを想定したシナリオに対しても備えを万全にすることができます。
サイバーセキュリティ対策における他のアプローチでは、それぞれ異なるアプローチが取られています。例えば、MITRE ATT&CKマトリックスの場合、実際の攻撃に基づく実世界の戦術・技術群が取り入れられており、サイバーキルチェーンと同様のフェーズも使用されますが、厳密な直線的順序に従うものではありません。
そうした違いはあるものの、サイバーキルチェーンのフレームワークが、サイバー攻撃者による不正アクセスへの進行過程を理解し、事前予防型防御対策を強化し、リスクを低減する上で役立つ貴重なツールであることに変わりはありません。Rubrikはこのような取り組みを、セキュリティチームがインシデントをその拡散前に特定し、封じ込め、またサイバー攻撃によって業務中断が生じた際には迅速に復旧することができるよう対策することで支えます。 脅威の封じ込めと復旧ソリューションについて詳しくは、Rubrikまでお問い合わせください。