サイバー攻撃のフェーズとその概要(Cyber Kill Chain)
本ドキュメントでは、一般的なサイバー攻撃のライフサイクル(Cyber Kill Chain)に基づいて、各フェーズの攻撃手法・目的・具体例を解説します。
🧠 1. 情報収集(Reconnaissance)
| 内容 | 詳細 |
|---|---|
| 主な手法 | - IPスキャン(Nmap) - DNS列挙 - OSフィンガープリンティング - User-Agent偽装 - Webクローリング |
| 攻撃者の意図 | 対象の構成・脆弱性・WAFの挙動などを調査 |
| 具体例 | - WAFの検出回避 - 脆弱URLの探索 - Bot偽装アクセス |
🧪 2. 武器化(Weaponization)
| 内容 | 詳細 |
|---|---|
| 主な手法 | - マルウェア作成 - エクスプロイトコードの準備 - ペイロードの埋め込み |
| 攻撃者の意図 | 収集した情報に基づく最適な攻撃手法の構築 |
| 具体例 | - Exploit Kit作成 - カスタムマルウェアの設計 |
✉️ 3. 配信(Delivery)
| 内容 | 詳細 |
|---|---|
| 主な手法 | - フィッシングメール - マルウェア添付ファイル - 悪性広告(Malvertising) |
| 攻撃者の意図 | 攻撃対象にマルウェア等を送り届ける |
| 具体例 | - 添付ファイル付きの偽装メール - 改ざんされたサイトへの誘導 |
💥 4. 脆弱性の悪用(Exploitation)
| 内容 | 詳細 |
|---|---|
| 主な手法 | - SQLインジェクション - クロスサイトスクリプティング(XSS) - 権限昇格 |
| 攻撃者の意図 | ターゲット環境への侵入・初期アクセス取得 |
| 具体例 | - Webアプリケーションの突破 - OSやミドルウェアの脆弱性悪用 |
🖥️ 5. インストール(Installation)
| 内容 | 詳細 |
|---|---|
| 主な手法 | - リバースシェル設置 - RAT(Remote Access Tool)のインストール |
| 攻撃者の意図 | 継続的な操作のためのバックドア設置 |
| 具体例 | - マルウェア常駐化 - タスクスケジューラによる自動起動設定 |
🌐 6. コマンド&コントロール(C2)
| 内容 | 詳細 |
|---|---|
| 主な手法 | - C2サーバとのHTTP/S通信 - DNSトンネリング - Tor経由通信 |
| 攻撃者の意図 | 遠隔操作による指令送信や情報収集 |
| 具体例 | - 被害端末からの外部サーバ通信 - 暗号化通信でのデータ送信 |
🎯 7. 目的遂行(Actions on Objectives)
| 内容 | 詳細 |
|---|---|
| 主な手法 | - 機密データの窃取 - サービス妨害(DoS) - 身代金要求(Ransomware) |
| 攻撃者の意図 | 金銭的利益、混乱の創出、情報収集 |
| 具体例 | - 顧客情報の流出 - Webサービスの停止 - 暗号化による業務停止と身代金要求 |
🛡️ フェーズ別の対策例
| フェーズ | 対策 |
|---|---|
| 情報収集 | WAF強化、Bot検出ルール、アクセス制御、ログ分析 |
| 武器化・配信 | メール/URLフィルタ、添付ファイルスキャン |
| 脆弱性悪用 | セキュリティパッチの適用、WAF、脆弱性診断 |
| インストール | EDR導入、ファイル整合性監視 |
| C2 | 出口制御(Firewall)、DNS監視、ネットワーク分析 |
| 目的遂行 | データ暗号化、権限最小化、バックアップ整備 |
🔎 関連キーワード
- MITRE ATT&CK
- Kill Chain
- WAF / EDR / SIEM
- Zero Trust
- 初期アクセス(Initial Access)