はじめに
サイバー攻撃は、突発的に起きる単発イベントではありません。
多くの場合、準備 → 侵入 → 拡大 → 支配 → 目的達成という段階的なプロセスを辿ります。
この一連の流れを体系的に整理した概念が
サイバー・キルチェーン(Cyber Kill Chain) です。
本記事では、現在広く使われている代表的なキルチェーン/フレームワークを簡潔に比較しながら紹介します。
サイバー・キルチェーンの役割
キルチェーンは次の目的で使われます。
- 攻撃者の行動を構造的に理解する
- 防御側がどこで検知・遮断すべきかを判断する
- Red Team / Blue Team / SOC 間の共通言語になる
要するに、
「攻撃をストーリーとして読むための設計図」
です。
Lockheed Martin Cyber Kill Chain
概要
最も古く、最も有名な元祖キルチェーンです。
軍事ドクトリンをベースに設計されています。
7つのフェーズ
- Reconnaissance(偵察)
- Weaponization(武器化)
- Delivery(配送)
- Exploitation(悪用)
- Installation(永続化)
- Command & Control(C2通信)
- Actions on Objectives(目的達成)
特徴
- 直線的で理解しやすい
- 「侵入前に止められれば最良」という思想
- APT攻撃の説明に非常に向いている
入門者が最初に学ぶべきモデルです。
Unified Kill Chain
概要
Lockheed Martin Kill Chain と MITRE ATT&CK を統合した、より現実的なモデルです。
特徴
- フェーズ数が多く、粒度が細かい
- 攻撃は一方向ではなく循環する前提
- 再侵入・権限再取得なども自然に表現できる
向いている用途
- Red Team 演習
- Purple Team(攻防連携)
- 攻撃シナリオ設計
現実の攻撃者は「やり直し」を前提に動く
という思想が反映されています。
Varonis Cyber Kill Chain
概要
データ侵害(Data Breach)に特化したキルチェーンです。
重視されるフェーズ
- 権限昇格
- 横展開
- データ探索
- データ流出
特徴
- 侵入そのものより侵入後の内部活動を重視
- ファイルサーバ、Active Directory、内部不正と相性が良い
「問題は入られたことではなく、盗まれたこと」
という考え方が軸になっています。
Active Directory Attack Defense
概要
Windowsドメイン環境における攻撃の典型パターンを整理したモデルです。
代表的な流れ
- 初期侵入
- クレデンシャル取得
- 権限昇格
- 横展開
- ドメイン支配
特徴
- Kerberos / NTLM / LSASS など実戦要素が濃い
- ADが侵害されると組織全体が掌握される前提
企業ネットワークの現実を非常によく表しています。
MITRE ATT&CK Framework
概要
MITRE ATT&CK はキルチェーンというより「攻撃技術の分類体系」 です。
構造
- Tactic(目的)
- Technique(技法)
- Sub-technique(具体手法)
例:
- Credential Access
- Kerberoasting
- LSASS Memory Dump
特徴
- 世界標準の脅威モデル
- SIEM / EDR / Threat Intelligence の基盤
- 検知ルール設計と直結
ATT&CKは「攻撃者の行動をSKU管理する表」
と言うと、意外としっくり来ます。
フレームワークの位置づけ比較
| フレームワーク | 主な目的 |
|---|---|
| Lockheed Martin | 攻撃の流れを理解 |
| Unified Kill Chain | 現実的な攻撃再現 |
| Varonis | データ侵害対策 |
| AD Attack Cycle | ドメイン環境防御 |
| MITRE ATT&CK | 攻撃技術の分類 |
まとめ
- Kill Chainは「攻撃の流れ」
- ATT&CKは「攻撃の手段」
- 実務では複数を組み合わせて使うのが前提
セキュリティはツールよりも
「攻撃をどう分解して考えるか」
で強さが決まります。