目次
Contents
以前のブログで簡単に触れましたが、「サイバーキルチェーン」についてもう少し詳しく説明したいと思います。元々は軍事用語として用いられていた「キルチェーン(Kill Chain)」と呼ばれるものを、サイバー空間に転用したのが「サイバーキルチェーン」です。米国のロッキード・マーチン社が提唱したこの手法は、サイバー空間で行われる犯罪、攻撃などを理解・分析するために用いられます。近年、高度化の一途をたどるサイバー攻撃は、複数の段階を経るのが一般的となっています。サイバーキルチェーンではそれらのステップと関連性を構造化し、攻撃者の行動を7段階に分類しています。以前にもお伝えしたとおり、7段階目「目的達成」にたどり着くまでに対策することが肝要です。
サイバーキルチェーン 7つのステップ
1)偵察
攻撃者が狙いを定める対象として、企業や組織の調査を行う段階です。社内事情調査や名刺交換などローテクな方法で行われますが、最近では、ダークウェブ上で売買されている情報なども組み合わせ、ターゲットとなる企業・組織を選定します。
2)武器化
攻撃用にターゲットに応じたマルウェアや攻撃手法を選定し、あるいはターゲットに適した攻撃ツールの開発を行います。近年では、ダークウェブ上で売買されるRaaS(Ransomware as a Service)を用いる攻撃者も増えてきています。
3)配送
標的型攻撃などを用いて、ターゲットに向けてマルウェアを送り込みます。ターゲットの心理的に弛緩が生じやすい場所(メールの配信、添付ファイル、攻撃サイト等)に設置、あるいは開発プロセスなどに侵入するといった方法も取られます。
4)攻撃
デリバリーの段階で送り込んだマルウェアなどの攻撃ツールをターゲットに実行(メールの開封、添付ファイル閲覧、攻撃サイトへのアクセス等)させます。ターゲットのデバイスがマルウェアに感染することで、デバイス内に攻撃者が侵入するためのバックドアが作成され、C&Cサーバーとの通信を確立します。
5)インストール
ターゲットのデバイスを乗っ取り、攻撃コードを実行させます。攻撃はすぐに行われることもあれば、一定期間の潜伏後に行われることもあります。
6)遠隔操作
乗っ取ったデバイスの通信環境を利用し、C&Cサーバーから送られる指示・命令が実行されます。また、デバイスから機密情報などを盗み出す、あるいは盗み出した情報をもとに別のデバイスへの侵入を試みる場合もあります。担当者のパソコンから社内サーバーやクラウド上のサーバーまで侵入範囲が及ぶこともあります。
7)目的達成
当初の目的が達成(情報搾取や身代金要求等)したタイミングで完了させます。目的達成後は自らの行動の痕跡を消去することで、攻撃が発覚した際の捜査を困難とさせます。
サイバーキルチェーンを踏まえた対策を
近年のサイバー攻撃は、サイバーキルチェーンで示したような段階を経て行われるものが多く、【3.配送】段階に対しては「入口対策」、【4.攻撃】【5.インストール】段階に対しては「内部対策」、【6.遠隔操作】段階に対しては「出口対策」と、それぞれの段階で対策する必要があります。従来のエンドポイントセキュリティでは【3.配送】から【5.インストール】段階の対策ですが、闇ビジネスがエコシステム化したことなどを背景に、マルウェアの開発プロセスが高速化しており、既知のマルウェアへの対策だけでは完全防御は困難となっています。未知のマルウェアに機械学習などを用いて対応するNGEPP(Next Generation Endpoint Protection Platform)の利用も広がっていますが、これらも過去データからのシグネチャであるため未知のマルウェア対策は不十分です。
未知のマルウェア対策はどうすることもできないのか?
基本的な対策として「入口対策」「内部対策」「出口対策」を検討するべきと考えます。
弊社でも、この対策に対応するサービスを提供しております。
「入口対策」「内部対策」としてシグネチャに依存しない「OSプロテクト型」のアンチウィルスソフト「AppGuard」。パソコン内に侵入したマルウェアをシグネチャマッチングで排除するのではなく、マルウェアの不正行為を未然にシャットアウトする特許技術を用いています。
・AppGuard
https://www.saishunkansys.com/service/appguard/
また、「入口対策」「出口対策」として「CatoCloud」。前述の「AppGuard」と併用いただくことにより強固なセキュリティ対策が可能になります。
・CatoCloud
https://www.saishunkansys.com/service/cato/
是非ご一読いただき弊社までご相談ください。
記事 : H.S
