サイバーキルチェーンとは？仕組みとMITRE ATT&CKとの違い

サイバーキルチェーンは、サイバー攻撃の始まりから最終目標（通常はデータ漏洩やシステムの侵害）に至るまでの段階を概説するために、ロッキード・マーティンによって開発された概念です。このモデルは、現代のサイバー脅威の解剖学を理解するための構造化されたフレームワークを提供し、サイバーセキュリティチームが攻撃の各段階を特定し、対抗することを可能にします。サイバーキルチェーンを明確な段階に分解することで、セキュリティの専門家はより効果的に脆弱性を特定し、適切な対策を開発し、チェーンのさまざまな段階で潜在的な脅威を中断・阻止するために防御の優先順位を付けることができます。

サイバーキルチェーンは、ネットワーク防御を継続的に改善するための管理ツールとして使用できます。元々は高度な持続的脅威（APT）に対抗するために設計されましたが、サイバー脅威の状況が進化するにつれて、サイバーキルチェーンの関連性と適用可能性が高まっています。すべてのサイバー攻撃がサイバーキルチェーンの7つの段階すべてを経るわけではありませんが、ほとんどの攻撃はそうです。このフレームワークを理解することは、組織がデジタル資産を積極的に防御し、サイバーインシデントに迅速かつ効率的に対応するために極めて重要です。

サイバーキルチェーンは、攻撃者がサイバー攻撃を実行する際に通常たどる一連のステップを概説します。この順序立てられたモデルは、各段階でサイバー脅威を認識し、阻止するための構造化されたアプローチを提供します。攻撃を単一の出来事として捉えるのではなく、キルチェーンはそれを初期の偵察から最終的なデータ窃取やシステム侵害に至るまでの段階に分解します。

攻撃の典型的な進行を理解することで、セキュリティの専門家はこれらの段階を中心に防御を設計し、チェーンのできるだけ早い段階で攻撃者の動きを検出し、対抗することができます。組織が早期段階で攻撃者を阻止できれば、後のより深刻な結果を防ぐことができるかもしれません。本質的に、サイバーキルチェーンは、サイバー脅威を体系的に理解し、防御するためのロードマップを提供します。

サイバーキルチェーンは7つの段階に分かれており、ネットワークへの侵入をモデル化するための包括的なフレームワークを提供します。これらの段階を全体として見ると、攻撃の可視性が向上し、サイバーセキュリティチームが敵対者の戦術、手順、技術をより深く理解することができます。サイバーキルチェーンの7つの段階は以下の通りです。

1. 偵察

この初期段階では、攻撃者は脆弱性を見つけるために標的に関する情報を収集します。これには、公開されているウェブサイト、ソーシャルメディア、その他の公開データの調査が含まれる場合があります。偵察は、泥棒が侵入前に家の弱点や住人の行動パターンを注意深く観察するのに似ています。

2. 武器化

ここで攻撃者は、コンピューターウイルス、ワーム、トロイの木馬などの悪意のあるペイロードを作成します。このペイロードは、システムの脆弱性を悪用するソフトウェアであるエクスプロイトと組み合わされることが多いです。この武器化段階は、攻撃に必要なツールを準備することに関するものです。

3. デリバリー（配送）

デリバリー段階では、攻撃者はフィッシングメール、悪意のあるダウンロード、侵害されたサイトからのドライブバイダウンロードなどの方法を通じて、悪意のあるペイロードを被害者に展開します。デリバリー段階は、標的に対するサイバー攻撃の開始として考えられます。

4. エクスプロイト

デリバリーが成功すると、攻撃者は事前に準備したペイロードを使用して、標的のシステム内の脆弱性を悪用します。この段階は、攻撃者がツールを使用して「侵入」する重要な瞬間です。

5. インストール

エクスプロイト後、攻撃者は被害者のシステムに悪意のあるソフトウェア（マルウェア）をインストールすることで足場を確立します。この段階は、泥棒が侵入後に家の中に隠しカメラや盗聴器を設置するのに似ています。

6. コマンド＆コントロール（C＆C）

マルウェアがインストールされると、攻撃者は被害者のシステムをリモートで制御するためのパスウェイやチャンネルを確立することができ、多くの場合、被害者はそれを知りません。C＆Cは、攻撃者が遠隔地から命令を出すことができるリモートコントロールのセットアップのようなものです。

7. 目的の実行

最終段階では、攻撃者はデータの流出、システムの破壊、その他の悪意のある目的など、主要な目標を実行します。

これらの各段階を理解することで、防御側は攻撃の進行全体を通じて攻撃者を検出し、阻止し、抑止するための対策と戦略を調整することができます。

サイバーキルチェーンは、コンピューターネットワークへの侵入をモデル化するために広く使用されているフレームワークです。しかし、サイバーキルチェーンには以下のような弱点や課題があります。

• 限定的な攻撃検出プロファイル：サイバーキルチェーンはマルウェアを検出・防止し、境界セキュリティを保護することに焦点を当てています。しかし、内部脅威やその他の種類の攻撃を認識しないため、組織がこれらの脅威に対して脆弱になる可能性があります。
• モデルの古さ：サイバーキルチェーンは2011年に開発されましたが、それ以来、攻撃の技術や方法は大きく進化しています。このモデルは作成以来修正されておらず、マルウェアのみに焦点を当てた古いアプローチを採用しています。
• 柔軟性の欠如：サイバーキルチェーンは柔軟性があまりない硬直的なフレームワークです。すべての攻撃が直線的な経路をたどると想定していますが、必ずしもそうではありません。攻撃者は段階をスキップしたり繰り返したりすることがあり、攻撃の検出と防止を困難にしています。
• 境界セキュリティへの焦点：サイバーキルチェーンは境界セキュリティとマルウェア防止に焦点を当てていますが、組織が従来のオンプレミスネットワークから離れつつある中で、その効果は低下しています。
• 不完全な脅威カバレッジ：サイバーキルチェーンは、DDoS攻撃や、攻撃者の行動についてほとんど、あるいは全く可視性のないサードパーティへの攻撃など、すべての種類の脅威をカバーしているわけではありません。

これらの弱点にもかかわらず、サイバーキルチェーンは組織がインシデント対応の取り組みを改善するための価値あるツールとなり得ます。しかし、サイバーセキュリティのために使用される唯一のフレームワークであるべきではありません。組織はサイバーキルチェーンを補完するために、MITRE ATT&CKフレームワークなど他のフレームワークの使用も検討すべきです。

サイバーキルチェーンとMITRE ATT&CKは、ネットワークへの侵入をモデル化するために一般的に使用される2つのフレームワークです。両フレームワークともサイバー攻撃の行動を順序立てた戦術に分類していますが、両者の間には根本的な違いがあります。

• サイバーキルチェーンはサイバー攻撃を構成する段階の線形的な順序であるのに対し、MITRE ATT&CKは特定の操作順序に制限されない侵入技術のマトリックスです。
• サイバーキルチェーンは、すべてのサイバー攻撃が成功するためには特定の攻撃戦術の順序に従う必要があると主張します。しかし、MITRE ATT&CKはそのような主張をせず、今日の攻撃がより動的で、必ずしも線形的な進行を取らないことを示唆しています。
• MITRE ATT&CKは、サイバーキルチェーンモデルよりも細かく攻撃行動を記述する戦術と技術の概念を導入しています。MITRE ATT&CKフレームワークは、サイバーキルチェーンの行動段階を拡張し、権限昇格、防衛回避、認証情報アクセス、収集、ラテラルムーブメント、持ち出し、影響の7つの新たな戦術を含んでいます。
• サイバーキルチェーンはマルウェアを検出・防止し、境界セキュリティを保護するのに対し、MITRE ATT&CKは攻撃者がネットワークに侵入し資産を流出させるために攻撃の様々な段階で使用する多様な技術を文書化し追跡します。

主な違いは、サイバーキルチェーンはマルウェア防止と境界セキュリティに焦点を当てた線形モデルである一方、MITRE ATT&CKは攻撃行動をより詳細に記述する侵入技術のマトリックスです。サイバーキルチェーンとMITRE ATT&CKの両フレームワークは、組織がインシデント管理と対応を改善するのに有用ですが、それぞれ異なるアプローチと強みを持っており、組み合わせて効果的に使用することができます。

サイバーキルチェーンは、サイバーセキュリティにおいて重要な概念であり、サイバー攻撃の連続的な段階を理解するためのロードマップとして機能します。攻撃を初期の偵察から最終目標に至るまでの明確な段階に分解することで、このモデルは組織に各ステップで脅威に対抗するための構造化されたフレームワークを提供します。

サイバーセキュリティにおいて、サイバーキルチェーンを理解することは以下の理由から不可欠です。

• 積極的な防御：偵察や武器化など、攻撃の最初期段階における差し迫った攻撃の兆候を認識することで、サイバーセキュリティの専門家は積極的な対策を講じ、脅威がエスカレートする前に脅威を阻止できる可能性があります。
• インシデント対応：侵害が発生した際、サイバーキルチェーンはインシデント対応チームが関連する攻撃段階を特定するのに役立ち、適切な対抗措置や緩和戦略を取ることができます。
• リソース配分：キルチェーンのどの段階が最も脆弱か、または頻繁に標的にされるかを理解することで、組織はリソースと防御をより効果的に配分し、重要な段階を十分に保護することができます。
• 脅威インテリジェンス：サイバーキルチェーンモデルを使用して過去の攻撃を分析することで、攻撃者の好み、戦術、技術に関する洞察を得ることができます。この脅威インテリジェンスは、将来の攻撃に対する防御を強化する上で非常に貴重です。

本質的に、サイバーキルチェーンはサイバーセキュリティの取り組みとシームレスに統合され、キルチェーンの段階に基づいて防御戦略を確立します。これは、組織が脅威を評価し、理解し、対抗するための視点を提供します。この可視性は、サイバー脅威の予測、対抗、緩和の向上につながります。

Proofpointは、組織が攻撃チェーンを断ち切り、人々とデータを保護するのを支援するための幅広いソリューションを提供しています。ProofpointのAegisプラットフォームは、AI/MLを活用したクラウドベースの脅威保護プラットフォームで、ビジネスメール詐欺（BEC）、データ流出、ランサムウェアなど、今日の高度な攻撃を無効化します。人工知能と機械学習を活用した同社の新しいイノベーションは、サイバーセキュリティの専門家に、組織の攻撃対象領域全体にわたる高度な攻撃者を検出し、阻止するための比類のない可視性、柔軟性、深い洞察を提供します。

技術ソリューションに加えて、Proofpointは攻撃チェーンを断ち切るために組織内にセキュリティ文化を構築することの重要性を強調しています。セキュリティ意識向上トレーニングや追加のサイバーセキュリティリソースにより、従業員は不審な活動を認識し報告することで敏感に対応できるようになります。これにより、組織は攻撃が成功するリスクを軽減することができます。詳細については、Proofpointにお問い合わせください。