キルチェーンとは
Cyber Kill Chain® は、Lockheed Martinが2011年に発表した攻撃の7段階フレームワークです。軍事の「キルチェーン(目標を無力化するまでの手順)」概念をサイバー攻撃に適用したものです。
防御側はチェーンのどこか1つのフェーズを遮断すれば攻撃を失敗させられるという考え方が特徴です。
7つのフェーズ
flowchart LR A["① 偵察 Reconnaissance"] B["② 武器化 Weaponization"] C["③ 配送 Delivery"] D["④ 悪用 Exploitation"] E["⑤ インストール Installation"] F["⑥ C2通信 Command & Control"] G["⑦ 目標達成 Actions on Objectives"] A --> B --> C --> D --> E --> F --> G style A fill:#1a0a0a,color:#ff6b6b,stroke:#ff453a style B fill:#1a1000,color:#ffa94d,stroke:#ff9f0a style C fill:#1a1a00,color:#ffe066,stroke:#ffd60a style D fill:#001a00,color:#69db7c,stroke:#30d158 style E fill:#001020,color:#74c0fc,stroke:#0a84ff style F fill:#0a0a20,color:#a5b4fc,stroke:#5e5ce6 style G fill:#150a20,color:#da77f2,stroke:#bf5af2
フェーズ1: 偵察(Reconnaissance)
標的の情報収集フェーズです。
- OSINTによるドメイン・IP・従業員情報の収集
- ソーシャルメディアでの組織構造・技術スタックの把握
- 脆弱なシステムの特定(Shodan等)
防御: 公開情報の最小化、Attack Surfaceの縮小
フェーズ2: 武器化(Weaponization)
攻撃ツールの準備フェーズです(内部作業のため防御側からは見えない)。
- エクスプロイトを含む悪意のある文書の作成
- C2サーバーのセットアップ
- マルウェアのペイロード準備
フェーズ3: 配送(Delivery)
武器を標的に届けるフェーズです。
- フィッシングメールの送信(最多の初期アクセス手法)
- 悪意のあるWebサイトへの誘導(ドライブバイダウンロード)
- USBメモリの物理的な配布
- サプライチェーン攻撃
防御: メールフィルタリング、従業員教育、Webフィルタリング
フェーズ4: 悪用(Exploitation)
攻撃コードが実行されるフェーズです。
- ブラウザ・Office・PDFリーダーの脆弱性悪用
- スクリプトの実行
- ユーザーによる意図しない実行(マクロの有効化等)
防御: パッチ管理、マクロの無効化、Exploit Guard
フェーズ5: インストール(Installation)
持続性を確保するフェーズです。
- バックドア・RAT(Remote Access Tool)のインストール
- Windowsレジストリへの永続化設定
- スケジュールタスク・サービスへの登録
防御: エンドポイント監視(EDR)、Application Control
フェーズ6: C2(Command & Control)
攻撃者が侵害したホストを遠隔操作するフェーズです。
- HTTPS/DNSトンネリングによるC2通信
- 定期的なビーコン(生存確認)
- 攻撃者からのコマンド受信
防御: DNS監視、アウトバウンドフィルタリング、ネットワーク異常検知
フェーズ7: 目標への実行(Actions on Objectives)
攻撃者の最終目的を達成するフェーズです。
- データの窃取(外部持ち出し)
- ランサムウェアの展開
- 破壊活動
- 横展開して影響範囲を拡大
防御: データ損失防御(DLP)、バックアップ、ネットワークセグメンテーション
各フェーズでの防御アクション
| フェーズ | 攻撃者の行動 | 推奨防御策 |
|---|---|---|
| 偵察 | OSINT・スキャン | 情報公開の最小化・スキャン検知 |
| 武器化 | エクスプロイト作成 | (防御が難しい)脅威インテリジェンス活用 |
| 配送 | フィッシング・USB | メールフィルタ・従業員教育 |
| 悪用 | 脆弱性の実行 | パッチ管理・ハードニング |
| インストール | バックドア設置 | EDR・Applicaion Allowlisting |
| C2 | 遠隔操作通信 | DNSフィルタ・NTA(ネットワーク通信分析) |
| 目標実行 | データ窃取・破壊 | DLP・バックアップ・セグメンテーション |
キルチェーンの限界と発展
キルチェーンの批判点
- 内部脅威に不向き: インサイダー攻撃はフェーズ1〜3をスキップする
- モバイル・クラウドの考慮不足: 2011年設計のため現代環境に不完全
- 横展開が軽視: APT攻撃では内部での横展開が重要だが、モデルが単純化しすぎ
これらの批判を受け、MITRE ATT&CKは横展開・権限昇格・永続化などを詳細化した後継モデルとして広く採用されています。
MITRE ATT&CK との対応
| キルチェーン | 対応するATT&CKタクティクス |
|---|---|
| 偵察 | TA0043 偵察, TA0042 リソース開発 |
| 配送 | TA0001 初期アクセス |
| 悪用 | TA0002 実行 |
| インストール | TA0003 永続化, TA0004 権限昇格 |
| C2 | TA0011 C2 |
| 目標実行 | TA0009 収集, TA0010 持ち出し, TA0040 インパクト |
理解度チェック
サイバーキルチェーンの考え方における最大の防御的価値はどれですか?
解説: キルチェーンの最大の価値は「7フェーズのいずれか1つを遮断すれば、最終目標の達成を阻止できる」という考え方です。例えばフィッシングメールを遮断できなくても、EDRでマルウェアのインストールを止めれば、C2通信も目標実行も発生しません。多層防御の必要性を説明するためのフレームワークとして有用です。