キルチェーン
軍事およびサイバー犯罪における手法の流れ
From Wikipedia, the free encyclopedia
キルチェーン(英語:Kill Chain)とは、もともとは軍事で使用される言葉であり、攻撃の構造について、「目標の識別」「目標への武力の指向」「目標を攻撃するかどうかの決心と命令」「目標の破壊」[1]に分類したもの。これとは逆に、敵のキルチェーンを「破壊」するという考え方は、防御法や先制措置に該当する[2]。
近年、Lockheed Martinがこの概念を情報セキュリティの分野に応用し、コンピュータネットワークへの侵入をモデル化するための方法として使用している[3]。このモデルは、情報セキュリティの分野である程度受容されてはいるものの、それほど広まっていない[4]。これは、このモデルに根本的な欠陥があると思われていることに起因する[5]。
キルチェーン・モデル
軍事におけるモデル
- 目標の識別(Target identification)
- 目標への武力の指向(Force dispatch to target)
- 目標を攻撃するかどうかの決心と命令(Decision and order to attack the target)
- 目標の破壊(Destruction of the target)
コンピュータ・セキュリティにおけるモデル(サイバーキルチェーン)
セキュリティにおける脅威は7段階に分かれて発生する。すべての段階を使用する必要はなく、各段階で利用可能なアクションも異なるため、攻撃手法にはほぼ無限の組み合わせが生じる[6]。
- 偵察(Reconnaissance) - 標的組織の事前調査・情報収集を行う
- 武器化(Weaponization) - エクスプロイトコードやマルウェアを作成する
- 配送(Delivery) - メールやWebを介してエクスプロイトコードやマルウェアを送り込む
- 攻撃(Exploitation)- 標的組織内でエクスプロイトコードやマルウェアを実行させる
- インストール(Installation) - 標的組織内でマルウェアを感染させる
- 遠隔操作(Command and Control) - C&Cサーバや外部サーバに接続させ、標的組織のマルウェアを遠隔操作する
- 目的実行(Actions on Objective) - 標的組織の情報の詐取、改ざんなどの目的を実行する
情報セキュリティツールの手法としての批判
脅威のアセスメント及び予防のツールとしてのこのモデルに関する批判については、防御されたネットワークの外側で複数のステップが行われるため、これらの段階において識別したり対抗手段をとることは実際には不可能となっていることが挙げられる。同様に、この手法の"境界ベース(perimeter-based)"の防衛戦略への注力に対する批判もなされる。[7]