サイバーキルチェーン：攻撃を理解する

サイバーキルチェーン：攻撃を理解する

はじめに

情報通信技術の進歩に伴い、巧妙かつ複雑な電脳空間での攻撃が増加しています。これらの攻撃から大切な情報を守り、組織の活動を維持するためには、攻撃者の行動を深く理解し、適切な対策を講じることが重要です。攻撃の全体像を把握する上で有効な手法の一つが「電脳攻撃連鎖」です。これは、標的に行われる一連の攻撃を七つの段階に分割した模型であり、それぞれの段階での攻撃者の狙いと行動を分析することで、より効果的な防御戦略を構築することができます。

まず最初の段階は「偵察」です。攻撃者は標的となる組織やシステムの情報収集を行います。公開されている情報や、時には不正な手段を用いて、システムの脆弱性や組織の構成員に関する情報を探ります。次の段階は「武器化」です。ここで攻撃者は、収集した情報に基づいて攻撃に用いる道具を準備します。特定の脆弱性を狙った悪意のあるプログラムを作成するなど、攻撃を仕掛けるための具体的な準備を行います。三番目の段階は「送り込み」です。作成した攻撃用の道具を標的のシステムに送り込みます。電子郵便の添付ファイルや不正なウェブサイトへの誘導など、様々な方法が用いられます。四番目の段階は「攻略」です。送り込まれた道具によって、標的システムのセキュリティの隙間を突破しようと試みます。五番目の段階は「設置」です。攻撃に成功すると、システムへの継続的な侵入を可能にするための仕掛けを構築します。六番目の段階は「指揮統制」です。攻撃者は、侵攻したシステムを遠隔から操作するための通信経路を確立します。最後の段階は「行動」です。攻撃の最終目的を達成するための行動に移ります。情報の窃取やシステムの破壊など、攻撃の目的は様々です。

このように電脳攻撃連鎖の各段階を理解することで、どの段階でどのような防御策を講じるべきかが明確になります。各段階での攻撃者の行動を予測し、適切な対策を事前に準備することで、被害を最小限に抑えることが可能になります。

偵察

攻撃の最初の段階は偵察です。これは、まるで戦場で敵の配置や兵力を探る斥候のような役割を果たします。攻撃者は、標的となる組織やシステムの情報をくまなく集め、その強みや弱みを把握しようとします。この情報収集活動は、インターネットで公開されている情報源を活用するところから始まります。企業の公式のホームページや、従業員が発信する情報など、様々なものを丹念に調べ上げます。特に、従業員が個人的な情報を発信している交流サイトは、思わぬ形で組織の内部事情やシステム構成を推測できる貴重な情報源となることがあります。例えば、社員旅行の写真から会社の雰囲気や人間関係を把握したり、名刺の画像から組織構造を推測したりするなど、様々な情報が攻撃の手がかりとなりえます。

偵察は、公開情報だけにとどまりません。攻撃者は、より詳細な情報を求めて、標的組織のネットワークへの侵入を試みることもあります。これは、まるで敵陣に忍び込むような危険な行為です。ファイアウォールと呼ばれる防壁を突破し、システムの脆弱性を突き止めようとします。具体的には、システムに接続するためのパスワードを探ったり、既知の欠陥を悪用できるか試したりします。もし、システムに脆弱性があれば、そこを突破口として侵入を試みます。

攻撃者は、こうして集めた情報を分析し、攻撃対象を絞り込み、具体的な攻撃計画を立てます。まるで、敵の弱点を見つけた斥候が、本隊に攻撃目標と作戦を伝えるように、偵察で得られた情報は、後の攻撃を成功させるための重要な土台となります。だからこそ、この偵察段階での攻撃者の行動をいち早く察知し、適切な対策を講じることが、後の段階での攻撃を防ぐために非常に重要なのです。早期の発見と対応は、被害を最小限に抑えるための鍵となります。

武器化

偵察行動で集めた情報を元に、攻撃者は具体的な攻撃手段を作り上げます。まるで職人が綿密な設計図を基に武器を鍛えるように、標的の弱点やシステムの隙間を突き、効果的な攻撃を実現するための準備を綿密に進めます。

まず、手に入れた情報に基づき、悪意のある道具を新たに開発する場合もあります。これは、標的のシステムに潜む特定の欠陥を狙い撃ちする、特注の矢のようなものです。これまでの攻撃では通用しなかった、あるいは効果が薄かったとしても、この特注の矢であれば確実に標的を仕留められる可能性が高まります。

また、既に存在する攻撃道具を、標的のシステムに合わせて改造する場合もあります。これは、汎用の剣を研ぎ澄まし、標的に合わせて刃の形を変えるようなものです。広く出回っている攻撃道具は、多くの場合、汎用性を重視して作られています。そのため、特定の標的には効果が薄い可能性がありますが、改造することでその効果を最大限に引き出すことができます。

この段階では、標的のシステム環境に合わせた入念な設定が行われます。攻撃道具をどのように使うか、どのような経路で標的に侵入させるか、侵入後にどのような行動をとらせるかなど、様々な設定を綿密に調整することで、攻撃の効果を最大化しようとします。例えば、特定の時間に攻撃を実行するように設定したり、標的のシステム内部に侵入した後、特定の情報を盗み出すように設定するなど、様々な工夫が凝らされます。

これらの準備段階を理解することは、どのような攻撃手法が使われる可能性があるかを予測し、適切な対策を立てる上で非常に重要です。敵がどのような武器を、どのように使うかを知ることができれば、それに応じた盾を用意することができます。攻撃者の行動を先読みし、適切な防御策を講じることで、被害を最小限に抑えることができるのです。

送達

攻撃者は、標的とする機器に不正なプログラムやデータなどを送り込む必要があります。これは家屋侵入に例えると、泥棒が家の中に侵入するための手段を探すようなものです。その手段は様々で、主なものとしては電子郵便の添付書類が挙げられます。受け取った人が添付書類を開くと、隠されていた不正なプログラムが起動してしまう仕組みです。また、偽のホームページへの繋がりを仕込んだ電子郵便もよく使われます。一見、普通のホームページのように見えますが、クリックすると不正なプログラムが起動したり、個人情報を入力させられたりする危険があります。他にも、記憶装置などの外部媒体を用いる場合もあります。例えば、不正なプログラムが仕込まれた記憶装置を拾得物が落ちていたとして、何も知らない人が自分の機器に接続すると、不正なプログラムが侵入してしまう可能性があります。

これらの方法で送り込まれた不正なプログラムは、気付かれないように巧妙に作られています。例えば、一見無害な文書ファイルや画像ファイルに偽装していたり、電子郵便の差出人を偽装して信頼できる人物からのメールのように見せかけたりするなど、あの手この手で利用者を騙そうとします。このような巧妙な策略を用いることで、利用者は不正なプログラムだと気付かずに実行してしまうのです。

こうした攻撃を防ぐためには、利用者自身の用心深さが重要です。出所不明の電子郵便の添付書類は開かない、怪しいホームページへの繋がりはクリックしない、信頼できない人物から受け取った記憶装置は使用しないなど、基本的な注意を怠らないことが大切です。また、機器に適切な対策を施しておくことも重要です。常に最新の対策を適用し、不正なプログラムの実行を防ぐ仕組みを導入することで、被害を未然に防ぐことができます。 日頃から情報機器の安全な利用方法を心掛け、適切な対策を実施することで、攻撃者の侵入を防ぐことが可能です。

悪用

外部からの攻撃は、まず仕組みの弱点を探ることから始まります。まるで家の鍵のかかっていない窓を探すように、計算機の仕組みの欠陥や設定のミスを見つけ出し、そこを突破口として利用しようとします。この突破口となる弱点は様々で、古くて対策されていない仕組みの欠陥や、利用者が誤った設定をしてしまったことが原因となることもあります。

攻撃者は、見つけた弱点を巧みに利用する道具（攻撃道具）を使って、不正に仕組みの中に入り込もうとします。この道具は、まるで特殊な鍵のように、本来入ることを許されていない場所に侵入することを可能にします。そして、仕組みの中に入り込むと、管理者と同じ権限を奪おうとします。家の主人の鍵を奪うように、計算機の管理者の権限を奪うことで、仕組み全体を支配下に置こうとするのです。

この権限の奪取は、攻撃にとって重要な段階です。管理者の権限を手に入れることで、攻撃者は仕組み全体を自由に操作できるようになり、情報を盗み出したり、仕組みを破壊したり、さらには他の仕組みへの攻撃の拠点として利用したりする可能性があります。

このような弱点を利用した攻撃は、仕組み全体に甚大な被害をもたらす可能性があります。情報を盗まれれば、経済的な損失だけでなく、社会的な信用も失う可能性があります。また、仕組みが破壊されれば、業務が停止し、多大な損害が発生する可能性があります。

だからこそ、常に仕組みの弱点を把握し、適切な対策を講じることが重要です。家の鍵を定期的に交換するように、計算機の仕組みも常に最新の状態に保ち、弱点を補修する必要があります。また、利用者自身が正しい設定を行うことで、弱点を作らないように注意することも重要です。そうすることで、攻撃から身を守り、安全な環境を維持することができるのです。

インストール

{侵入に成功した攻撃者は、次の段階として悪意のあるプログラムを標的の機械に仕掛けます。}まるで泥棒が家に侵入した後、鍵を付け替えていつでも出入りできるようにするようなものです。このプログラムは、攻撃者が仕掛けた裏口のような役割を果たし、気付かれることなくシステムに潜伏します。こうして攻撃者は、いつでも好きな時にシステムにアクセスできる状態を作り上げます。

この悪意のあるプログラムは様々な種類があり、その目的も様々です。例えば、機密情報を盗み出すことを目的としたものや、システムを遠隔操作して破壊活動を行うことを目的としたものなどがあります。また、標的の機械を踏み台にして、他の機械への攻撃を仕掛ける場合もあります。この時、標的の機械は攻撃者に乗っ取られた状態となり、攻撃者の意のままに操られてしまいます。

この段階で攻撃を阻止できれば、被害を最小限に抑えることができます。侵入された直後であれば、まだ大きな被害が出ていない可能性が高いためです。例えば、情報が盗まれる前にプログラムを発見、除去できれば、情報の流出を防ぐことができます。また、システムの破壊活動が始まる前に食い止めることができれば、システムの復旧にかかる時間や費用を大幅に削減できます。そのため、早期発見と迅速な対応が重要となります。侵入を検知するための監視体制の強化や、怪しい動きを察知した場合の対応手順を確立しておくことが、被害を防ぐ上で大切です。

活動/目的達成

攻撃の最終段階では、侵入に成功した攻撃者が当初の目的を達成するための様々な活動を行います。この段階は、これまでの準備段階を経て実行に移される最終局面であり、攻撃者にとっての成果獲得の段階と言えるでしょう。

攻撃者の目的は多岐に渡ります。例えば、企業の機密情報や個人の個人情報を盗み出すデータ窃取、システムの機能を停止させたり、データを破壊するシステムの破壊、ウェブサイトやネットワークサービスを妨害するサービス妨害など、攻撃対象や攻撃者の意図によって目的は大きく異なります。

これらの目的を達成するために、攻撃者は様々な方法を用います。多くの場合、攻撃者は事前に標的システムに悪意のあるプログラムを仕込んでいます。このプログラムを遠隔操作することで、システムへのアクセス権限を不正に取得し、目的の達成に必要な操作を実行します。例えば、データ窃取を目的とする攻撃者は、このプログラムを使って機密データを暗号化し、身代金を要求するかもしれません。また、システム破壊を目的とする攻撃者は、システムの重要なファイルを削除したり、上書きすることでシステム全体を機能不全に陥れるかもしれません。サービス妨害を目的とする攻撃者は、大量のアクセス要求を送りつけることでサーバーの処理能力を超過させ、サービスを停止に追い込むかもしれません。

この最終段階に至る前に攻撃を検知し、阻止することが非常に重要です。侵入を許して攻撃者に目的を達成されてしまうと、企業は経済的な損失を被るだけでなく、信用の失墜など深刻な影響を受ける可能性があります。個人もまた、個人情報の漏洩や金銭的な被害といった深刻な事態に直面する可能性があります。そのため、セキュリティ対策を強化し、早期発見、早期対応を心がけることが被害を最小限に抑えるために不可欠です。