サイバー・キルチェーンの原文
発行機関:Lockheed Martin
概要
昨今のセキュリティ対策ではサイバー・キルチェーンという言葉がよく登場します。これは、アメリカの航空宇宙開発・軍用機器製造会社であるロッキードマーチン社が、もともと軍事用語にあった「キルチェーン」という言葉をサイバー攻撃に適用したものとなります。
サイバー・キルチェーンでは、標的型攻撃における攻撃者の動きを7つのフェーズに分類し、攻撃者の行動パターンを知ることで、攻撃抑止に繋げることが期待されます。
正式名称は「Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains」
サイバー・キルチェーンのステップ
| フェーズ | 概要 |
|
偵察 (Reconnaissance) |
標的となる個人、組織を調査する。インターネット、名刺交換、SNS等 |
|
武器化 (Weaponization) |
攻撃のためのエクスプロイトキットやマルウェア等を作成する。 |
|
デリバリー (Delivery) |
マルウェアを添付したメールや悪意あるリンク付きメールを仕掛ける。 また、直接対象組織のシステムへアクセスする。 |
| エクスプロイト(Exploitation) |
標的にマルウェア等攻撃ファイルを実行させる。 または、悪意あるリンクにアクセスさせ、エクスプロイトを実行させる。 |
|
インストール (Installation) |
エクスプロイトを成功させ、標的がマルウェアに感染する。これでマルウェア実行可能となる。 |
| Command & Control | マルウェアとC&Cサーバーが通信可能となり、リモートから標的への操作が可能となる。 |
|
目的の実行 (Actions on Objectives) |
情報搾取や改ざん、データ破壊、サービス停止等、攻撃者の目的が実行される。 |
また、ウォッチガードでは上記のサイバーキルチェーンをベースに、「サイバーキルチェーン3.0」という新たなコンセプトを提唱しています。
サイバー・キルチェーン3.0
- 偵察:攻撃者が標的の情報を収集する。
- デリバリ:攻撃者が侵入を開始する。
- エクスプロイト:攻撃者が標的を感染させる。
- インストール:攻撃者が標的に長期滞在する手段を確立する。
- コマンドアンドコントロール:攻撃者がペイロードに対してコマンドを発行する。
- 横移動:攻撃者がネットワークを横移動して標的に到達する。
- 目的の実行:攻撃者が最終目的を達成する。
