「サイバーキルチェーン」が解き明かす複雑な標的型攻撃への備え方

吉澤亨史 2017年05月15日 07時00分

  • このエントリーをはてなブックマークに追加

「サイバーキルチェーン」とは?

 現在のサイバー攻撃者と守る側のパワーバランスは、「圧倒的に攻撃者有利」といわれている。組織化されたサイバー犯罪者は、潤沢な資金を背景に巧妙な手口を短いサイクルで変更しながら仕掛けてくるため、守る側の対策が追いつかない状況にある。昨今、世間を騒がせている標的型攻撃は、この高度化、巧妙化されたサイバー攻撃の代表格といえる。

 標的型攻撃は、サイバー犯罪者集団が国家の軍事機密を盗み出すために編み出した手口であり、その有効性から企業への攻撃にも展開されるようになった。攻撃側が非常に入念な準備を行うことと、セキュリティ対策機器などの検知をすり抜けて自らの行動を隠すことが特徴となっている。

 狙われた側は、攻撃を受けていても気づきにくく、機密情報を盗まれた場合は莫大な損害を被る。このような標的型攻撃に対し、航空機や宇宙船の開発製造会社である米国のLockheed Corporationが2009年に提唱したのが「サイバーキルチェーン」だ。標的型攻撃における攻撃者の一連の行動を軍事行動になぞらえてモデル化したもので、守る側はサイバーキルチェーンを理解することにより、攻撃の段階ごとに必要な対策や、攻撃が検知された場合に次の行動を予測して早期の対策が可能になる。

 Lockheed Corporationが提唱したサイバーキルチェーンは、「偵察」「武器化」「デリバリー」「エクスプロイト」「侵入」「潜伏活動」「目的の実行」の7つの段階(セキュリティベンダーなどにより段階の数や呼び方は異なる)であるが、実際の標的型攻撃における表現に当てはめると、「事前調査」「標的型攻撃メールの送付」「C&C通信の確立」「内部移動」「高い権限を持つPCへの侵入」「情報の盗み出し」「痕跡の消去」として考えることができる。

サイバーキルチェーン''
標的型攻撃の流れを7段階にモデル化した「サイバーキルチェーン」

サイバーキルチェーンの段階と行動

 実際の攻撃に即した7段階のサイバーキルチェーンをみていこう。まず「事前調査」では、非常に入念な調査が行われる。しかし、ここで使われる情報のほとんどはインターネット上にある公開情報だ。標的となる企業の概要や組織図、所在地、役員などの情報は企業のウェブサイトに公開されているし、IR情報を見れば経営状況や財務状況、関連会社なども分かる。

 また、攻撃側はSNSからも情報を集める。例えば、企業や役員、従業員のFacebookページは容易に見つけ出せるし、この情報にTwitterやLinkedInなど複数のSNSからの情報を組み合わせれば、標的となる企業の人間関係や趣味、普段の行動なども把握できる。場合によっては、実際に企業が捨てたゴミをあさって、情報を集めることもあるという。こうした情報を統合し、最初のターゲットが決定される。

 次の段階である「標的型攻撃メールの送付」では、事前調査により決定された人間に標的型攻撃メールを送る。このメールでは、攻撃側が上司や知人、友人などになりすましており、「ソーシャルエンジニアリング」の手法によって、添付ファイルを開かせたり、メールの本文にあるリンクをクリックさせたりしようとする。入念なケースでは、関連会社にあらかじめ侵入し、従業員のPCを乗っ取ってメールを送る。この場合は乗っ取られた本人のPCからのメールになるので、受信した相手が標的型攻撃メールであることを見抜くのは難しい。

 また、添付ファイルもその企業を攻撃するために作成される場合が少なくない。一見すると普通のOfficeファイルやPDFファイルであり、開いても問題のない内容が表示される。しかし、デスクトップ画面には表れないその裏で不正なプログラムが動作し始める。これはリンク先のウェブサイトを開いたときも同様だ。感染にはソフトウェアの脆弱性を悪用することが多いが、攻撃側は標的とする企業で使われているソフトウェアやそのバージョンも事前調査で把握しているため、ピンポイントで脆弱性を狙ってくるわけだ。

 感染に成功すると、最初に「ドロッパー」と呼ばれる不正プログラムが動作し、企業のネットワークにバックドアを開く。そしてドロッパーは、サイバー犯罪者が持つ「C&Cサーバ」と呼ばれる指令サーバに接続する。これが「C&C通信の確立」の段階だ。ここからドロッパーは、次々にマルウェアをダウンロードして、感染活動の準備を整えていく。準備が整うと「内部移動」の段階に移る。これはマルウェアが社内ネットワークを移動して、より高い権限を持つPCを探していくフェーズとなる。

 企業のファイルサーバやデータベースなど、機密情報にアクセスできるPCを見つけると、「高い権限を持つPCへの侵入」を行う。機密情報が格納されているエリアはアクセス管理が厳格になるため、そのPCのユーザーがアクセスを行うまで潜伏するケースも多い。そしてチャンスが来たら逃さずに「情報の盗み出し」を実行する。

 情報の盗み出しは、バックドアから一般的に使用されるソフトウェアのプロトコルに偽装して外部のC&Cサーバに送信される。潜伏は数年にわたるケースもあるが、盗み出す作業自体は数分で行われる。攻撃側は、必要な情報を盗み出したらC&Cサーバ経由でマルウェアの行動やログの消去を行い、痕跡を消す。これがサイバーキルチェーンにおける標的型攻撃の一連の行動となる。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]