网络杀伤链

本文约需 2 分钟阅读

サイバーキルチェーンとは、サイバー攻撃の一連のプロセスを 7 つの段階に分類したフレームワークです。米国の防衛大手 Lockheed Martin 社が 2011 年に発表した論文「Intelligence-Driven Computer Network Defense」で提唱しました。軍事用語の「キルチェーン」(標的の発見から破壊までの連鎖) をサイバー空間に応用したもので、攻撃の各段階を理解することで、どのフェーズで攻撃を断ち切れるかを体系的に分析できます。

7 つの段階

1. 偵察 (Reconnaissance)標的の情報を収集する。公開情報 (SNS、企業サイト、DNS 情報) や技術的スキャンで攻撃対象を特定。防御: OSINT 監視、公開情報の最小化

2. 武器化 (Weaponization)脆弱性を突くエクスプロイトとペイロード (マルウェア等) を組み合わせた攻撃ツールを作成。防御: 脅威インテリジェンスによる事前把握

3. 配送 (Delivery)フィッシングメール、悪意ある Web サイト、 USB メモリなどで攻撃ツールを標的に届ける。防御: メールフィルタリング、 Web ゲートウェイ

4. 攻撃 (Exploitation)脆弱性を突いてコードを実行する。ゼロデイ脆弱性やユーザーの操作 (マクロ有効化等) を利用。防御: パッチ管理、アプリケーション制御

5. インストール (Installation)バックドアやリモートアクセスツール (RAT) を設置し、持続的なアクセスを確保。防御: EDR、ファイル整合性監視

6. C2 (Command & Control)攻撃者が遠隔から侵害済みシステムを操作するための通信チャネルを確立。防御: ネットワーク監視、 DNS フィルタリング

7. 目的実行 (Actions on Objectives)データ窃取、破壊、暗号化 (ランサムウェア) など、攻撃者の最終目的を達成。防御: データ暗号化、 DLP、バックアップ

攻撃者はこの 7 段階を順に進行しますが、防御側はどの段階でチェーンを断ち切っても攻撃を阻止できます。早い段階 (偵察・配送) で検知・遮断できれば被害を未然に防げますが、後半の段階 (C2・目的実行) でも検知できれば被害を最小限に抑えられます。インシデントレスポンスの計画策定にも、このフレームワークは有用です。

MITRE ATT&CK との比較

観点	サイバーキルチェーン	MITRE ATT&CK
粒度	7 段階のハイレベルモデル	14 戦術・数百の技法で詳細に分類
構造	線形 (順序固定)	マトリクス形式 (順序は柔軟)
用途	攻撃の全体像の把握、経営層への説明	技術的な検知ルール策定、レッドチーム演習
更新頻度	2011 年以降大きな改訂なし	四半期ごとに新しい技法が追加
内部脅威	外部攻撃者を前提としており対応が弱い	内部脅威の技法も収録

実務では両者を対立的に捉えるのではなく、キルチェーンで攻撃の全体像を俯瞰し、 ATT&CK で各段階の具体的な技法と検知方法を掘り下げるという使い分けが効果的です。脅威インテリジェンスチームは両方のフレームワークを日常的に活用しています。

批判と限界

サイバーキルチェーンには以下の限界が指摘されています。第一に、外部からの侵入を前提としたモデルであるため、内部犯行者による脅威には当てはまりにくい点です。内部犯行者は偵察・配送・攻撃の段階をスキップし、正規のアクセス権限で直接目的を実行できます。第二に、サプライチェーン攻撃のように、信頼された経路を通じてマルウェアが配送されるケースでは、配送段階の検知が極めて困難です。第三に、線形モデルであるため、攻撃者が段階を飛ばしたり、複数の段階を同時に進行させるケースを表現しにくいという構造的な制約があります。

こうした限界を踏まえつつも、サイバーキルチェーンは攻撃の全体像を直感的に理解するための入門フレームワークとして依然として価値があります。ソーシャルエンジニアリングが配送段階で多用される実態を理解することも重要です。サイバーセキュリティの関連書籍 (Amazon)で体系的に学ぶことを推奨します。ランサムウェア対策、フィッシング対策、個人のインシデント対応もあわせて参照してください。

网络杀伤链

7 つの段階

MITRE ATT&CK との比較

批判と限界

相关文章

相关术语