キルチェーン(Kill Chain)とは、もともと軍事で使用される言葉であり、敵の攻撃の構造を破壊する、切断することで自軍を防御、先制処置する考えかたである。
この考え方をベースに、2009年にロッキード・マーチン社がサイバー攻撃に適用したものが「サイバーキルチェーン(Cyber Kill Chain)」であり、攻撃の構造を理解し、各フェーズの攻撃に対して有効な対策をとることが必要とされている。
サイバーキルチェーンの具体的な内容は、攻撃者が標的を決定し、実際に攻撃し目的を達成するまでの一連の行動を順に、「偵察」、「武器化」、「デリバリー」、「エクスプロイト」、 「インストール」、「C&C」、「目的の実行」の7フェーズに分類されている。
具体的には以下の通りである。
- 偵察(Reconnaissance)
標的となる個人、組織を調査する。例えば、インターネット、メール情報、組織への潜入等が挙げられる。 - 武器化(Weaponization)
攻撃のためのエクスプロイトキットやマルウェア等を作成する。 - デリバリー(Delivery)
マルウェアを添付したメールや悪意あるリンク付きメールを仕掛ける。また、直接対象組織のシステムへアクセスする。 - エクスプロイト(Exploitation)
標的にマルウェア等攻撃ファイルを実行させる。または、悪意あるリンクにアクセスさせ、エクスプロイトを実行させる。 - インストール(Installation)
エクスプロイトを成功させ、標的がマルウェアに感染する。これでマルウェア実行可能となる。 - C&C(Command & Control)
マルウェアとC&Cサーバーが通信可能となり、リモートから標的への操作が可能となる。 - 目的の実行(Actions on Objectives)
情報搾取や改ざん、データ破壊、サービス停止等、攻撃者の目的が実行される。
最終的な被害発生を食い止めるために、各フェーズにおいて、自組織がどのような対策を取っているか、導入しているソリューションがどのフェーズに対応しているかを確認することが必要である。
