サイバーキルチェーンは必須知識
サイバー攻撃の段階を構造化したサイバーキルチェーンについて、備忘も兼ねて今更ながらまとめてみました。
今更ながらと言ったのは、2020年現在、サイバーキルチェーンの次に来ると言われていて、攻撃者の行動を戦術単位で構造化した「ATT&CK」が主流となりつつあるためです。
ちなみにIPAもATT&CKをベースにしたガイドラインを発表しています。
https://www.ipa.go.jp/ikc/info/20200327.html
執筆にあたって、以下の書籍を参考にさせていただいています。
体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践
サイバーキルチェーンとは
近年、サイバー攻撃は段階を踏んで行われるようになりました。
この攻撃を構造化したものが「サイバーキルチェーン」です。
元々、軍事用語で「キルチェーン (Kill Chain=負の連鎖を切る)」という言葉があり、これを2009年にロッキード・マーチン社がサイバー攻撃に適用したものがサイバーキルチェーンです。現在、サイバーセキュリティの世界でも一定の認知を得ています。サイバーキルチェーンは、標的型攻撃の一連の行動を軍事行動に似せてモデル化され、7つの段階に分けられています。攻撃者の行動パターンを知ることで、攻撃抑止に繋げることが期待されます。
サイバー攻撃は、2000年代を基準に大きく様変わりしています。2000年代までは個人による攻撃が主体で、攻撃者は自身の能力を誇示するための愉快犯的な意味合いが強いものでした。2000年代後半からは国家を狙う組織としてのサイバー攻撃が盛んに行われるようになっています。現在では、企業の機密情報なども組織的に狙われています。
現在のサイバー攻撃は、攻撃によって得た情報を秘密裏に売買することで、利益を上げることが目的です。サイバーキルチェーンの攻撃構造を理解し、各段階の攻撃に対して有効なソリューションを適切に導入することが重要となります。
標的型攻撃の脅威
サイバーキルチェーンが活用される背景には、標的型攻撃の脅威があります。
標的型攻撃とは、サイバー攻撃の種類の一つであり、攻撃者が特定の目的を持って、特定のターゲットへ攻撃を行うものを指します。重要な情報入手や嫌がらせ等の明確な目的を持って攻撃する場合が多く、近年のサイバー攻撃の中でもかなりポピュラーなものです。
近年、標的型攻撃の手法は巧妙化しています。従来のように目立つ形で無差別に攻撃をするのではなく、目立たない攻撃のために気づきにくく、被害が拡大・長期化する傾向が強くなってきました。情報セキュリティで心配される脅威の中でも、特に看過できないものとして、高い関心を持たれています。
サイバーキルチェーンの段階
サイバーキルチェーンの段階は、主に次の7つの段階から成り立っています。
1. 偵察(Reconnaissance)
攻撃対象となる企業へ侵入するために事前調査を行う段階です。標的に知られずに調査する「隠密偵察」と、小規模の攻撃を仕掛けて敵情を知る「威力偵察」に分けられます。
隠密偵察の手段としては、標的における組織図、ITシステム構成図、IPアドレス、OS、アプリケーション情報の入手等が挙げられます。これらは公になっている情報やSNSから入手できることもあれば、取引先という関係性を利用して入手する場合や、内部潜入という方法もあるかもしれません。SNSの情報からは人間関係や趣味、普段の行動なども把握できます。対策としては、情報開示の適切な制限や信用調査、リファレンスチェックが重要です。
威力偵察の場合、偵察として仕掛けられた攻撃への対応に手間取っていると、より高度な攻撃を仕掛けられる可能性が危惧されます。このため、日頃からインシデント対応体制を構築しておくことや、訓練などによる対応の向上が肝要です。
2. 武器化(Weaponization)
偵察で入手した情報に基づき、攻撃のための武器を作成します。武器としては、脆弱性を突くマルウェア、誘導する偽サイト、マルウェアを送付する際のメール本文等が挙げられます。標的の友人や知人・同僚・上司へのなりすましや、標的組織における特定の表現や言い回し・専門用語等に攻撃者が習熟している場合、侵入が成功する確率がより高くなります。攻撃者は、添付ファイルを開かせたり、特定のURLをクリックさせたりすることで、巧妙にマルウェアをダウンロードさせようとしてきます。偵察段階で得た情報を元に作成されたメールは、標的にとって思わず開いてしまうメールとなっています。マルウェアは常に実行ファイルであるとは限りません。普通のPDFやWord、Excelといったファイルに扮していることもあり、巧妙に細工されている場合が多いものです。
筆者の経験談で言うと、中学生の頃アダルトサイトを見まくっていて、知らずのうちに変なポップをクリックしてメールが届いたことがあります。その中に「間違って押してしまった人はこちら」と言うボタンがあって、押したらスパムメールが大量に届くようになりました。やましいことをしている男子中学生の心理をついた巧妙な罠でした。当時は私のメールアドレスが闇ルートで売られるのみで済みましたが、一歩間違えばマルウェアに感染していたかもしれません。
3. デリバリー(Delivery)
武器化したツールを実際に侵入させるフェーズです。利用される媒体としては、標的型メールやUSBメモリ、光学メディア媒体、悪意あるホスティングサイト、スマートフォンのアプリストア等が挙げられます。また、攻撃者からの直接侵入等も考えられます。
標的型攻撃メールによってマルウェアに感染すると、攻撃者が侵入するためのバックドアを作成されます。その後、不正なコマンドをリモートで行うためのコマンド&コントロールサーバ(C&Cサーバ)と呼ばれる、攻撃者のサーバーへの通信を確立します。企業の内部ネットワークと、攻撃者のサーバーを繋ぐための段階です。
C&Cサーバーへの接続が確立されると、攻撃者は自由に企業内のネットワークで行動できるようになります。新たなマルウェアをダウンロードするなど、企業の内部ネットワークで情報収集をするための準備を行うのです。
標的型メール対策には訓練等による組織内のリテラシー向上が重要であり、USBメモリや光学メディア媒体については利用の制限・禁止、管理の徹底が必要です。悪意あるホスティングサイトへのアクセスにはURLフィルタリングの適用等が、アプリストアからの問題コードダウンロード抑止にはMDMやCASBが役立ちます。また、攻撃者からの直接侵入に対しては、不要ポートの閉塞はもちろん、ファイアウォールやIDS、IPS等、一般的な入口対策が有効でしょう。
4. エクスプロイト(Exploitation)
侵入させたマルウェア等の攻撃ファイルを実行させる、もしくは、悪意あるリンクにアクセスさせ、エクスプロイト(問題のあるプログラム)を実行させるフェーズです。
企業内のセキュリティソリューションの情報を収集したり、パソコンを含む機器のぜい弱性情報を収集したりすることで、さらに侵入範囲を広げていくのです。
このフェーズでは、侵入を許した端末が、その攻撃ファイルや悪意あるリンクに「問題がある」と検知できるかが重要になってきます。端末のアンチウィルス機能を今一度見直すことが重要です。
5. インストール(Installation)
攻撃ファイルや悪意あるリンクを実行した結果、それがインストールされるフェーズです。
企業の機密情報を保存しているファイルサーバーやデータベースには、アクセスできるパソコンは限られている場合が多いでしょう。そのような高い権限を持つパソコンへの侵入、アクセス権限の盗取を行います。この段階まで完了すると、あとは盗み出すだけ、という状態になります。
対策としては管理者権限の制限やアプリケーションのホワイトリスト化、定期的な棚卸実施等が有効です。
6. C&C(Command & Control)
マルウェアとC&C サーバー(攻撃者がマルウェアに指令を送るサーバー)が通信可能となり、攻撃者による遠隔操作が確立されるフェーズです。
実際に情報の盗み出しや改ざん、破壊などの行動を起こします。データを盗み出す場合は、デリバリーの段階で確立したC&Cサーバーへのバックドアを用いて送信します。企業内で一般的に利用されるソフトウェアのプロトコルに偽装するなどして、見つからないように送信するのです。
ここでは出口対策が必要となります。
外向き通信を全てプロキシサーバー経由にする、ふるまい検知を導入する等の対策が考えられます。
7. 目的の実行(Actions on Objectives)
情報搾取や改ざん、データ破壊、サービス停止等、攻撃者の目的が実行されるフェーズです。
最後に、攻撃者は自身の行動した痕跡を消去します。目的の実行段階は、撤退の段階とも言えるでしょう。マルウェアの行動履歴や、侵入したパソコンのログファイルなどの消去を行います。
仮に企業側が攻撃されていることに気づいても、ログファイルなどの痕跡が残っていないと攻撃者を追跡することが難しくなります。攻撃者が痕跡を消去することは、自らの行為を知らないようにすることと、仮に知られても追跡できないようにすることを目的としているのです。
対策として、まずは攻撃者の侵入拡大を防がなければなりません。組織内の端末間セキュリティが緩くなっていると容易に拡大を許すため、端末間のアクセス権限強化が重要です。情報漏洩にはデータ暗号化、Webサイトの情報改ざんにはWAFの導入、ランサムウェアを含むデータ破壊にはバックアップ取得等が有効です。
段階ごとの対策
従来のセキュリティ対策は「入り口対策」のみでした。しかし、サイバーキルチェーンを意識した対策では、入り口対策だけでは足りません。サイバーキルチェーンを意識した対策方法として、考慮すべきことについて解説します。
まず、前提として考えるべきは、侵入前提の多層防御です。
サイバーキルチェーンを意識した対策を行うためには、「入り口対策」「内部監視」「出口対策」の多層防御を施すべきです。従来のセキュリティ対策は、ネットワークの入り口(ゲートウェイ)にセキュリティ対策を施す「入り口対策」のみでした。しかし、従来の入り口対策では標的型攻撃メールを防げません。さらに、一度侵入されてしまうと、対策ができなくなってしまうものでした。
そのため、仮に侵入されても検知する仕組みが必要となります。侵入されることを前提とし、多層防御を施す必要があるのです。
サイバーキルチェーンの7つの段階に合わせて、攻撃者の行動を検知・防御するソリューションを導入しましょう。
「偵察」「武器化」の段階に有効なセキュリティ対策
まず組織として、情報開示の制限、従業員や関係者の信用調査・リファレンスチェック、インシデント対応体制の構築 (CSIRT等)、パッチ等の脆弱性への早期対応をする必要があります。
「デリバリー」の段階に有効なセキュリティ対策
組織としては、標的型メール訓練やUSBメモリや光学メディア媒体の使用制限が有効です。
また、ツールとしては、URLフィルタリング、MDM・CASBの導入、ファイアフォール・IDS・IPSが有効です。
「エクスプロイト」「インストール」「C&C」「目的の実行」の段階に有効なセキュリティ対策
組織としては、管理者権限の制限、アプリケーションの定期棚卸、イントラネット内でのアクセス権限強化、データバックアップの仕組みが必要です。
また、ツールとしては、アンチウィルス、外向き通信のプロキシサーバー経由化、内部ネットワーク内での不審な挙動を検知する仕組み、ネットワークを可視化するソリューション、セキュリティ情報の分析・収集を行う「SIEM(Security Information and Event Manager)」の導入、データ暗号化、データバックアップが効果的です。
このように、サイバーキルチェーンの7つの段階に合わせて「入り口対策」「内部監視」「出口対策」を行い、チェーンを断ち切る対策が有効となります
まとめ
最終的な被害発生を食い止めるために、各フェーズにおいて、自組織がどのような対策を取っているか、導入しているソリューションがどのフェーズに対応しているかを確認することが必要です。
全ての企業・組織にとって、サイバー攻撃は他人事ではありません。日頃からの備えにサイバーキルチェーンを活用することで、より効果的な防御となるでしょう。
参考
システムに携わる人は皆これをみとくべき
筆者は書籍とKindle版どっちも持っています。
体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践
・実際これ
APT対策入門 新型サイバー攻撃の検知と対応 Next Publishing (NextPublishing)
