「サイバーキルチェーン」が解き明かす複雑な標的型攻撃への備え方

吉澤亨史

2017-05-15 07:00

「サイバーキルチェーン」とは?

 現在のサイバー攻撃者と守る側のパワーバランスは、「圧倒的に攻撃者有利」といわれている。組織化されたサイバー犯罪者は、潤沢な資金を背景に巧妙な手口を短いサイクルで変更しながら仕掛けてくるため、守る側の対策が追いつかない状況にある。昨今、世間を騒がせている標的型攻撃は、この高度化、巧妙化されたサイバー攻撃の代表格といえる。

 標的型攻撃は、サイバー犯罪者集団が国家の軍事機密を盗み出すために編み出した手口であり、その有効性から企業への攻撃にも展開されるようになった。攻撃側が非常に入念な準備を行うことと、セキュリティ対策機器などの検知をすり抜けて自らの行動を隠すことが特徴となっている。

 狙われた側は、攻撃を受けていても気づきにくく、機密情報を盗まれた場合は莫大な損害を被る。このような標的型攻撃に対し、航空機や宇宙船の開発製造会社である米国のLockheed Corporationが2009年に提唱したのが「サイバーキルチェーン」だ。標的型攻撃における攻撃者の一連の行動を軍事行動になぞらえてモデル化したもので、守る側はサイバーキルチェーンを理解することにより、攻撃の段階ごとに必要な対策や、攻撃が検知された場合に次の行動を予測して早期の対策が可能になる。

 Lockheed Corporationが提唱したサイバーキルチェーンは、「偵察」「武器化」「デリバリー」「エクスプロイト」「侵入」「潜伏活動」「目的の実行」の7つの段階(セキュリティベンダーなどにより段階の数や呼び方は異なる)であるが、実際の標的型攻撃における表現に当てはめると、「事前調査」「標的型攻撃メールの送付」「C&C通信の確立」「内部移動」「高い権限を持つPCへの侵入」「情報の盗み出し」「痕跡の消去」として考えることができる。

サイバーキルチェーン''
標的型攻撃の流れを7段階にモデル化した「サイバーキルチェーン」

サイバーキルチェーンの段階と行動

 実際の攻撃に即した7段階のサイバーキルチェーンをみていこう。まず「事前調査」では、非常に入念な調査が行われる。しかし、ここで使われる情報のほとんどはインターネット上にある公開情報だ。標的となる企業の概要や組織図、所在地、役員などの情報は企業のウェブサイトに公開されているし、IR情報を見れば経営状況や財務状況、関連会社なども分かる。

 また、攻撃側はSNSからも情報を集める。例えば、企業や役員、従業員のFacebookページは容易に見つけ出せるし、この情報にTwitterやLinkedInなど複数のSNSからの情報を組み合わせれば、標的となる企業の人間関係や趣味、普段の行動なども把握できる。場合によっては、実際に企業が捨てたゴミをあさって、情報を集めることもあるという。こうした情報を統合し、最初のターゲットが決定される。

 次の段階である「標的型攻撃メールの送付」では、事前調査により決定された人間に標的型攻撃メールを送る。このメールでは、攻撃側が上司や知人、友人などになりすましており、「ソーシャルエンジニアリング」の手法によって、添付ファイルを開かせたり、メールの本文にあるリンクをクリックさせたりしようとする。入念なケースでは、関連会社にあらかじめ侵入し、従業員のPCを乗っ取ってメールを送る。この場合は乗っ取られた本人のPCからのメールになるので、受信した相手が標的型攻撃メールであることを見抜くのは難しい。

 また、添付ファイルもその企業を攻撃するために作成される場合が少なくない。一見すると普通のOfficeファイルやPDFファイルであり、開いても問題のない内容が表示される。しかし、デスクトップ画面には表れないその裏で不正なプログラムが動作し始める。これはリンク先のウェブサイトを開いたときも同様だ。感染にはソフトウェアの脆弱性を悪用することが多いが、攻撃側は標的とする企業で使われているソフトウェアやそのバージョンも事前調査で把握しているため、ピンポイントで脆弱性を狙ってくるわけだ。

 感染に成功すると、最初に「ドロッパー」と呼ばれる不正プログラムが動作し、企業のネットワークにバックドアを開く。そしてドロッパーは、サイバー犯罪者が持つ「C&Cサーバ」と呼ばれる指令サーバに接続する。これが「C&C通信の確立」の段階だ。ここからドロッパーは、次々にマルウェアをダウンロードして、感染活動の準備を整えていく。準備が整うと「内部移動」の段階に移る。これはマルウェアが社内ネットワークを移動して、より高い権限を持つPCを探していくフェーズとなる。

 企業のファイルサーバやデータベースなど、機密情報にアクセスできるPCを見つけると、「高い権限を持つPCへの侵入」を行う。機密情報が格納されているエリアはアクセス管理が厳格になるため、そのPCのユーザーがアクセスを行うまで潜伏するケースも多い。そしてチャンスが来たら逃さずに「情報の盗み出し」を実行する。

 情報の盗み出しは、バックドアから一般的に使用されるソフトウェアのプロトコルに偽装して外部のC&Cサーバに送信される。潜伏は数年にわたるケースもあるが、盗み出す作業自体は数分で行われる。攻撃側は、必要な情報を盗み出したらC&Cサーバ経由でマルウェアの行動やログの消去を行い、痕跡を消す。これがサイバーキルチェーンにおける標的型攻撃の一連の行動となる。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]