当該記事:システム携わっとってサイバーキルチェーン知らん人とかおるん? - Qiita(@samuragouchi-monzaemon)
https://qiita.com/samuragouchi-monzaemon/items/3a684b292eaf4cbf23e7
この記事、徳丸本を参考にしたとのことなのだけど、どうやらネット上の記事からコピペした文章が9割9分っぽい…
新人さんか。ちょいちょい理解が怪しいところが(苦笑)。がんばってほしいが、まずはその下手な煽りタイトルをやめるところからかな。徳丸さんはそんなことしないよ
https://b.hatena.ne.jp/entry/s/qiita.com/samuragouchi-monzaemon/items/3a684b292eaf4cbf23e7
というはてブのコメントが気になり、中身を見てみると
元々、軍事用語で「キルチェーン (Kill Chain=負の連鎖を切る)」という言葉があり、(中略)
この攻撃を構造化したものが「サイバーキルチェーン」です。
という文言。
攻撃なのか防御なのかどっちだよ!
と突っ込みたくなり、検索にかけると、そのままの文章がヒット…
以下の3つのサイトからコピペした文章を交互に混ぜたり、語句を少し変えたり、、、学生でも大半がやらないような剽窃を堂々とやっていて呆れてしまう。
- サイバーキルチェーンとは?攻撃の手口や対策方法について徹底解説|サイバーセキュリティ.com
- サイバーキルチェーン|サイバー/デジタルリスクNavi [用語集]
- サイバーキルチェーン(Cyber Kill Chain) | セキュリティ用語集 | 情報漏えい対策ソリューション | NECソリューションイノベータ
執筆にあたって、以下の書籍を参考にさせていただいています。
https://qiita.com/samuragouchi-monzaemon/items/3a684b292eaf4cbf23e7
字義通り、参考程度にしか読んでなかったのだろうか。
とても、徳丸さんを崇拝してる人の行動とは思えない…
気持ちの整理をつけるために、ここに、私が「編集リクエスト」で送った内容をそのまま貼っておくことにします。。。
(以下、私が書いたリクエストの転載です)
※Amazonへのリンクはシンプルなものに変えています。
サイバーキルチェーンは必須知識
サイバー攻撃の段階を構造化したサイバーキルチェーンについて、備忘も兼ねて今更ながらまとめてみました。
今更ながらと言ったのは、2020年現在、サイバーキルチェーンの次に来ると言われていて、攻撃者の行動を戦術単位で構造化した「ATT&CK」が主流となりつつあるためです。
ちなみにIPAもATT&CKをベースにしたガイドラインを発表しています。
https://www.ipa.go.jp/ikc/info/20200327.html
執筆にあたって、以下の書籍を参考にさせていただいています。
体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践
サイバーキルチェーンとは
近年、サイバー攻撃は段階を踏んで行われるようになりました。
この攻撃を構造化したものが「サイバーキルチェーン」です。
https://cybersecurity-jp.com/cyber-terrorism/33507
元々、軍事用語で「キルチェーン (Kill Chain=負の連鎖を切る)」という言葉があり、これを2009年にロッキード・マーチン社がサイバー攻撃に適用したものがサイバーキルチェーンです。現在、サイバーセキュリティの世界でも一定の認知を得ています。
https://www.newton-consulting.co.jp/itilnavi/glossary/cyber_kill_chain.html
サイバーキルチェーンは、標的型攻撃の一連の行動を軍事行動に似せてモデル化され、7つの段階に分けられています。
https://cybersecurity-jp.com/cyber-terrorism/33507
攻撃者の行動パターンを知ることで、攻撃抑止に繋げることが期待されます。
https://www.newton-consulting.co.jp/itilnavi/glossary/cyber_kill_chain.html
サイバー攻撃は、2000年代を基準に大きく様変わりしています。2000年代までは個人による攻撃が主体で、攻撃者は自身の能力を誇示するための愉快犯的な意味合いが強いものでした。2000年代後半からは国家を狙う組織としてのサイバー攻撃が盛んに行われるようになっています。現在では、企業の機密情報なども組織的に狙われています。
現在のサイバー攻撃は、攻撃によって得た情報を秘密裏に売買することで、利益を上げることが目的です。サイバーキルチェーンの攻撃構造を理解し、各段階の攻撃に対して有効なソリューションを適切に導入することが重要となります。
https://cybersecurity-jp.com/cyber-terrorism/33507
標的型攻撃の脅威
サイバーキルチェーンが活用される背景には、標的型攻撃の脅威があります。
標的型攻撃とは、サイバー攻撃の種類の一つであり、攻撃者が特定の目的を持って、特定のターゲットへ攻撃を行うものを指します。重要な情報入手や嫌がらせ等の明確な目的を持って攻撃する場合が多く、近年のサイバー攻撃の中でもかなりポピュラーなものです。
近年、標的型攻撃の手法は巧妙化しています。従来のように目立つ形で無差別に攻撃をするのではなく、目立たない攻撃のために気づきにくく、被害が拡大・長期化する傾向が強くなってきました。情報セキュリティで心配される脅威の中でも、特に看過できないものとして、高い関心を持たれています。
https://www.newton-consulting.co.jp/itilnavi/glossary/cyber_kill_chain.html
サイバーキルチェーンの段階
サイバーキルチェーンの段階は、主に次の7つの段階から成り立っています。
1. 偵察(Reconnaissance)
攻撃対象となる企業へ侵入するために事前調査を行う段階です。
https://cybersecurity-jp.com/cyber-terrorism/33507
標的に知られずに調査する「隠密偵察」と、小規模の攻撃を仕掛けて敵情を知る「威力偵察」に分けられます。
https://www.newton-consulting.co.jp/itilnavi/glossary/cyber_kill_chain.html
隠密偵察の手段としては、標的における組織図、ITシステム構成図、IPアドレス、OS、アプリケーション情報の入手等が挙げられます。これらは公になっている情報
https://www.newton-consulting.co.jp/itilnavi/glossary/cyber_kill_chain.html
やSNS
から入手できることもあれば、取引先という関係性を利用して入手する場合や、内部潜入という方法もあるかもしれません。
https://www.newton-consulting.co.jp/itilnavi/glossary/cyber_kill_chain.html
SNSの情報からは人間関係や趣味、普段の行動なども把握できます。
対策としては、情報開示の適切な制限や信用調査、リファレンスチェックが重要です。
威力偵察の場合、偵察として仕掛けられた攻撃への対応に手間取っていると、より高度な攻撃を仕掛けられる可能性が危惧されます。このため、日頃からインシデント対応体制を構築しておくことや、訓練などによる対応の向上が肝要です。
https://www.newton-consulting.co.jp/itilnavi/glossary/cyber_kill_chain.html
2. 武器化(Weaponization)
偵察で入手した情報に基づき、攻撃のための武器を作成します。武器としては、脆弱性を突くマルウェア、誘導する偽サイト、マルウェアを送付する際のメール本文等が挙げられます。
https://www.newton-consulting.co.jp/itilnavi/glossary/cyber_kill_chain.html
標的の友人や知人・同僚・上司へのなりすましや、
標的組織における特定の表現や言い回し・専門用語等に攻撃者が習熟している場合、侵入が成功する確率がより高くな
https://www.newton-consulting.co.jp/itilnavi/glossary/cyber_kill_chain.html
ります。攻撃者は、添付ファイルを開かせたり、特定のURLをクリックさせたりすることで、巧妙にマルウェアをダウンロードさせようとしてきます。
偵察段階で得た情報を元に作成されたメールは、標的にとって思わず開いてしまうメールとなっています。マルウェアは常に実行ファイルであるとは限りません。普通のPDFやWord、Excelといったファイルに扮していることもあり、巧妙に細工されている場合が多いものです。
https://cybersecurity-jp.com/cyber-terrorism/33507
筆者の経験談で言うと、中学生の頃アダルトサイトを見まくっていて、知らずのうちに変なポップをクリックしてメールが届いたことがあります。その中に「間違って押してしまった人はこちら」と言うボタンがあって、押したらスパムメールが大量に届くようになりました。やましいことをしている男子中学生の心理をついた巧妙な罠でした。当時は私のメールアドレスが闇ルートで売られるのみで済みましたが、一歩間違えばマルウェアに感染していたかもしれません。
3. デリバリー(Delivery)
武器化したツールを実際に侵入させるフェーズです。利用される媒体としては、標的型メールやUSBメモリ、光学メディア媒体、悪意あるホスティングサイト、スマートフォンのアプリストア等が挙げられます。また、攻撃者からの直接侵入等も考えられます。
https://www.newton-consulting.co.jp/itilnavi/glossary/cyber_kill_chain.html
標的型攻撃メールによってマルウェアに感染すると、攻撃者が侵入するためのバックドアを作成されます。その後、不正なコマンドをリモートで行うためのコマンド&コントロールサーバ(C&Cサーバ)と呼ばれる、攻撃者のサーバーへの通信を確立します。企業の内部ネットワークと、攻撃者のサーバーを繋ぐための段階です。
C&Cサーバーへの接続が確立されると、攻撃者は自由に企業内のネットワークで行動できるようになります。新たなマルウェアをダウンロードするなど、企業の内部ネットワークで情報収集をするための準備を行うのです。
https://cybersecurity-jp.com/cyber-terrorism/33507
標的型メール対策には訓練等による組織内のリテラシー向上が重要であり、USBメモリや光学メディア媒体については利用の制限・禁止、管理の徹底が必要です。悪意あるホスティングサイトへのアクセスにはURLフィルタリングの適用等が、アプリストアからの問題コードダウンロード抑止にはMDMやCASBが役立ちます。また、攻撃者からの直接侵入に対しては、不要ポートの閉塞はもちろん、ファイアウォールやIDS、IPS等、一般的な入口対策が有効でしょう。
https://www.newton-consulting.co.jp/itilnavi/glossary/cyber_kill_chain.html
4. エクスプロイト(Exploitation)
侵入させたマルウェア等の攻撃ファイルを実行させる、もしくは、悪意あるリンクにアクセスさせ、エクスプロイト(問題のあるプログラム)を実行させるフェーズです。
https://www.newton-consulting.co.jp/itilnavi/glossary/cyber_kill_chain.html
企業内のセキュリティソリューションの情報を収集したり、パソコンを含む機器のぜい弱性情報を収集したりすることで、さらに侵入範囲を広げていくのです。
https://cybersecurity-jp.com/cyber-terrorism/33507
このフェーズでは、侵入を許した端末が、その攻撃ファイルや悪意あるリンクに「問題がある」と検知できるかが重要になってきます。端末のアンチウィルス機能を今一度見直すことが重要です。
https://www.newton-consulting.co.jp/itilnavi/glossary/cyber_kill_chain.html
5. インストール(Installation)
攻撃ファイルや悪意あるリンクを実行した結果、それがインストールされるフェーズです。
https://www.newton-consulting.co.jp/itilnavi/glossary/cyber_kill_chain.html
企業の機密情報を保存しているファイルサーバーやデータベースには、アクセスできるパソコンは限られている場合が多いでしょう。そのような高い権限を持つパソコンへの侵入、アクセス権限の盗取を行
https://cybersecurity-jp.com/cyber-terrorism/33507
います。
この段階まで完了すると、あとは盗み出すだけ、という状態になります。
https://cybersecurity-jp.com/cyber-terrorism/33507
対策としては管理者権限の制限やアプリケーションのホワイトリスト化、定期的な棚卸実施等が有効です。
https://www.newton-consulting.co.jp/itilnavi/glossary/cyber_kill_chain.html
6. C&C(Command & Control)
マルウェアとC&C サーバー(攻撃者がマルウェアに指令を送るサーバー)が通信可能となり、攻撃者による遠隔操作が確立されるフェーズです。
https://www.newton-consulting.co.jp/itilnavi/glossary/cyber_kill_chain.html
実際に情報の盗み出しや改ざん、破壊などの行動を起こします。データを盗み出す場合は、デリバリーの段階で確立したC&Cサーバーへのバックドアを用いて送信します。企業内で一般的に利用されるソフトウェアのプロトコルに偽装するなどして、見つからないように送信するのです。
https://cybersecurity-jp.com/cyber-terrorism/33507
ここでは出口対策が必要となります。
外向き通信を全てプロキシサーバー経由にする、ふるまい検知を導入する等の対策が考えられます。
https://www.newton-consulting.co.jp/itilnavi/glossary/cyber_kill_chain.html
7. 目的の実行(Actions on Objectives)
情報搾取や改ざん、データ破壊、サービス停止等、攻撃者の目的が実行されるフェーズです。
https://www.newton-consulting.co.jp/itilnavi/glossary/cyber_kill_chain.html
最後に、攻撃者は自身の行動した痕跡を消去します。目的の実行段階は、撤退の段階とも言えるでしょう。マルウェアの行動履歴や、侵入したパソコンのログファイルなどの消去を行います。
仮に企業側が攻撃されていることに気づいても、ログファイルなどの痕跡が残っていないと攻撃者を追跡することが難しくなります。攻撃者が痕跡を消去することは、自らの行為を知らないようにすることと、仮に知られても追跡できないようにすることを目的としているのです。
https://cybersecurity-jp.com/cyber-terrorism/33507
対策として、まずは攻撃者の侵入拡大を防がなければなりません。組織内の端末間セキュリティが緩くなっていると容易に拡大を許すため、端末間のアクセス権限強化が重要です。情報漏洩にはデータ暗号化、Webサイトの情報改ざんにはWAFの導入、ランサムウェアを含むデータ破壊にはバックアップ取得等が有効です。
https://www.newton-consulting.co.jp/itilnavi/glossary/cyber_kill_chain.html
段階ごとの対策
従来のセキュリティ対策は「入り口対策」のみでした。しかし、サイバーキルチェーンを意識した対策では、入り口対策だけでは足りません。サイバーキルチェーンを意識した対策方法として、考慮すべきことについて解説します。
https://cybersecurity-jp.com/cyber-terrorism/33507
まず、前提として考えるべきは、侵入前提の多層防御です。
サイバーキルチェーンを意識した対策を行うためには、「入り口対策」「内部監視」「出口対策」の多層防御を施すべきです。従来のセキュリティ対策は、ネットワークの入り口(ゲートウェイ)にセキュリティ対策を施す「入り口対策」のみでした。しかし、従来の入り口対策では標的型攻撃メールを防げません。さらに、一度侵入されてしまうと、対策ができなくなってしまうものでした。
そのため、仮に侵入されても検知する仕組みが必要となります。侵入されることを前提とし、多層防御を施す必要があるのです。
https://cybersecurity-jp.com/cyber-terrorism/33507
サイバーキルチェーンの7つの段階に合わせて、攻撃者の行動を検知・防御するソリューションを導入しましょう。
https://cybersecurity-jp.com/cyber-terrorism/33507
「偵察」「武器化」の段階に有効なセキュリティ対策
タイトル引用:https://cybersecurity-jp.com/cyber-terrorism/33507
まず組織として、情報開示の制限、従業員や関係者の信用調査・リファレンスチェック、インシデント対応体制の構築 (CSIRT等)、パッチ等の脆弱性への早期対応をする必要があります。
参考:https://www.newton-consulting.co.jp/itilnavi/glossary/cyber_kill_chain.html (図表3: サイバーキルチェーンの対策一覧)
「デリバリー」の段階に有効なセキュリティ対策
タイトル引用:https://cybersecurity-jp.com/cyber-terrorism/33507
組織としては、標的型メール訓練やUSBメモリや光学メディア媒体の使用制限が有効です。
また、ツールとしては、URLフィルタリング、MDM・CASBの導入、ファイアフォール・IDS・IPSが有効です。
参考:https://www.newton-consulting.co.jp/itilnavi/glossary/cyber_kill_chain.html (図表3: サイバーキルチェーンの対策一覧)
「エクスプロイト」「インストール」「C&C」「目的の実行」の段階に有効なセキュリティ対策
組織としては、管理者権限の制限、アプリケーションの定期棚卸、イントラネット内でのアクセス権限強化、データバックアップの仕組みが必要です。
また、ツールとしては、アンチウィルス、外向き通信のプロキシサーバー経由化、内部ネットワーク内での不審な挙動を検知する仕組み、ネットワークを可視化するソリューション、セキュリティ情報の分析・収集を行う「SIEM(Security Information and Event Manager)」の導入、データ暗号化、データバックアップが効果的です。
参考:
- https://www.newton-consulting.co.jp/itilnavi/glossary/cyber_kill_chain.html (図表3: サイバーキルチェーンの対策一覧)
- https://cybersecurity-jp.com/cyber-terrorism/33507 (「エクスプロイト」「侵入」「潜伏活動」「目的の実行」の段階に有効なセキュリティ対策)
このように、サイバーキルチェーンの7つの段階に合わせて「入り口対策」「内部監視」「出口対策」を行い、チェーンを断ち切る対策が有効となります
https://cybersecurity-jp.com/cyber-terrorism/33507
まとめ
最終的な被害発生を食い止めるために、各フェーズにおいて、自組織がどのような対策を取っているか、導入しているソリューションがどのフェーズに対応しているかを確認することが必要で
https://www.nec-solutioninnovators.co.jp/ss/insider/security-words/35.html
す。
全ての企業・組織にとって、
https://www.newton-consulting.co.jp/itilnavi/glossary/cyber_kill_chain.html
サイバー
攻撃は他人事ではありません。日頃からの備えにサイバーキルチェーンを活用することで、より効果的な防御となるでしょう。
https://www.newton-consulting.co.jp/itilnavi/glossary/cyber_kill_chain.html
参考
システムに携わる人は皆これをみとくべき
筆者は書籍とKindle版どっちも持っています。
体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践
・実際これ
APT対策入門 新型サイバー攻撃の検知と対応 Next Publishing (NextPublishing)
・サイバーセキュリティ.com
・ニュートンコンサルティング
(以上、天災部分終了)
技術者倫理はいずこ
最後の最後に引用元書いてるけど、それはただのリンクであって、出典の書き方じゃない。