はじめに:サイバー攻撃には「順番」がある
穹詠/情報セキュリティマネジメント主任「サイバー攻撃」と聞くと、ある日突然パソコンが乗っ取られるようなイメージを持つかもしれません。しかし実際には、攻撃者はいきなり襲いかかるわけではありません。泥棒が下見をしてから家に忍び込むように、サイバー攻撃にも決まった「手順」があるのです。
この手順を体系的にまとめたのが「サイバーキルチェーン(Cyber Kill Chain)」というフレームワークです。2011年にアメリカの大手防衛企業ロッキード・マーティン社が提唱したもので、サイバー攻撃を7つの段階に分けて理解することで、どこで攻撃を食い止められるかを考えるための道具として広く使われています。
この記事では、専門知識がなくても理解できるように、身近な例えを交えながらサイバーキルチェーンの7つのステップを解説します。
ステップ1:偵察(Reconnaissance)
穹詠/情報セキュリティマネジメント主任攻撃の第一歩は「情報集め」です。泥棒がターゲットの家の周辺を歩き回り、住人の生活パターンや防犯カメラの位置を調べるのと同じです。
サイバー攻撃者は、ターゲットとなる企業や個人のSNS、公式サイト、求人情報などを調べ上げます。たとえば、会社の従業員の名前やメールアドレス、使っているソフトウェアの種類といった情報を丹念に集めていきます。一見すると何気ない情報でも、攻撃者にとっては侵入の糸口になるのです。
ステップ2:武器化(Weaponization)
穹詠/情報セキュリティマネジメント主任情報を集めた攻撃者は、次に「武器」を作ります。これは、ウイルスやマルウェア(悪意のあるプログラム)を仕込んだファイルを準備する段階です。
たとえるなら、泥棒がターゲットの家の鍵に合うピッキングツールを作っているようなものです。偵察で得た情報をもとに、「この会社はWordファイルをよくやり取りしているから、Wordに見せかけたウイルスを作ろう」といった具合に、ターゲットに合わせた攻撃ツールを用意します。
ステップ3:配送(Delivery)
穹詠/情報セキュリティマネジメント主任武器ができたら、それをターゲットに届けなければなりません。これが「配送」の段階です。
最も一般的な手段はメールです。「請求書をお送りします」「荷物の配送状況をご確認ください」といった、もっともらしい件名のメールにウイルス付きのファイルを添付して送りつけます。ほかにも、偽のWebサイトに誘導したり、USBメモリを意図的に落としておいたりする手口もあります。日常的に届くメールに紛れ込むため、受け取る側が怪しいと気づきにくいのが厄介なポイントです。
ステップ4:攻撃(Exploitation:脆弱性の悪用)
穹詠/情報セキュリティマネジメント主任ターゲットが添付ファイルを開いたり、偽サイトのリンクをクリックしたりすると、いよいよウイルスが動き出します。これが「攻撃(脆弱性の悪用)」の段階です。
パソコンのOS(WindowsやMacなど)やソフトウェアの弱点(脆弱性)を突いて、攻撃者のプログラムが実行されます。玄関の鍵の隙間にピッキングツールを差し込んで回す瞬間、と考えるとわかりやすいでしょう。ソフトウェアを最新の状態に保つことが大切だと言われるのは、この段階で悪用される弱点を減らすためです。
ステップ5:インストール(Installation)
穹詠/情報セキュリティマネジメント主任攻撃が成功すると、攻撃者はパソコンの中に「裏口(バックドア)」を設置します。これにより、一度侵入に成功した後も自由に出入りできるようになります。
泥棒が家に入った後、裏口の鍵をこっそり開けておくようなものです。こうしておけば、たとえ正面玄関の鍵を変えられても、裏口からいつでも入れます。このマルウェアは通常のソフトウェアに紛れて動くため、パソコンの持ち主は侵入されていることに気づかないケースがほとんどです。
ステップ6:遠隔操作(Command & Control)
穹詠/情報セキュリティマネジメント主任裏口が設置されると、攻撃者は外部のサーバー(指令サーバー)を通じて、感染したパソコンを遠隔から操作できるようになります。英語では「C2(シー・ツー)」とも呼ばれます。
イメージとしては、泥棒が家の中に盗聴器や小型カメラを仕掛けて、離れた場所からリアルタイムで家の中を監視している状態です。攻撃者はこの段階で、パソコン内のファイルを見たり、キーボードの入力内容を記録したり、さらに社内ネットワークの他のパソコンへ侵入範囲を広げたりします。
ステップ7:目的の実行(Actions on Objectives)
穹詠/情報セキュリティマネジメント主任最後のステップが、攻撃者の本来の目的を達成する段階です。ここに来るまでの6つのステップは、すべてこの最終目的のための「下準備」だったと言えます。
目的は攻撃者によってさまざまです。機密情報や個人情報を盗み出す、システムを破壊する、データを暗号化して身代金を要求する(ランサムウェア)、あるいは長期間にわたってこっそり情報を抜き取り続けるなど、多岐にわたります。
なぜサイバーキルチェーンを知ることが大切なのか
穹詠/情報セキュリティマネジメント主任サイバーキルチェーンの考え方を知る最大のメリットは、「どの段階で攻撃を食い止められるか」を考えられるようになることです。
たとえば、ステップ1の偵察段階では、SNSでむやみに個人情報を公開しないことが防御になります。ステップ3の配送段階では、不審なメールの添付ファイルを開かないことが重要です。ステップ4の攻撃段階では、ソフトウェアを常に最新の状態に更新しておくことで、脆弱性を悪用されるリスクを減らせます。
つまり、7つの段階のどこか1つでも攻撃の「チェーン(鎖)」を断ち切ることができれば、最終的な被害を防げる可能性があるのです。これは、セキュリティの専門家だけでなく、パソコンやスマートフォンを日常的に使うすべての人にとって大切な視点です。
なお、このサイバーキルチェーンは特に高度で計画的な標的型攻撃を想定したモデルです。ランサムウェアのようなばらまき型攻撃では一部のステップが省略される場合もありますが、一般的なサイバー攻撃の流れを理解する上で非常に有効なフレームワークです。
今日からできる3つのこと
サイバーキルチェーンの知識を踏まえて、今日からすぐに実践できることを3つ挙げておきます。
まず、OSやアプリを最新の状態に保つこと。アップデート通知を後回しにせず、すぐに適用しましょう。次に、身に覚えのないメールの添付ファイルやリンクは開かないこと。送信元が知り合いであっても、少しでも違和感があれば直接本人に確認する習慣をつけてください。そして、SNSやWebサイトに載せる個人情報を見直すこと。攻撃者に偵察の材料を与えないことが、最初の防御線になります。
穹詠/情報セキュリティマネジメント主任サイバー攻撃は決して他人事ではありません。攻撃者の「手順」を知ることが、身を守るための第一歩です。
コメント