サイバーキルチェーンとは？7段階の攻撃フェーズと多層防御の実践ポイント

サイバーキルチェーンとは、攻撃者が標的を定めてから目的を達成するまでの一連の行動を7段階に整理したフレームワークです。攻撃のプロセスを「見える化」することで、どの段階で手を打てば被害を防げるかを具体的に考えられるようになります。
このモデルを社内で共有すると、経営層から現場担当者まで同じ認識のもとで対策を議論・推進しやすくなります。本記事では、サイバーキルチェーンの基本から活用法、限界まで説明します。

サイバーキルチェーンとは

サイバーキルチェーンの起源

もともと「キルチェーン」は軍事の世界で使われていた概念で、敵の攻撃プロセスを段階ごとに分解して無力化する考え方を指します。この発想をサイバー空間に応用したのが米ロッキード・マーティン社の研究者たちで、2011年に論文として発表し、7段階の攻撃行動を定義しました。
現在では、このモデルをベースにした侵入検知・防御対策が広く活用されており、攻撃の各ステップを体系的に把握できることから、サイバーセキュリティ分野の重要な概念として定着しています。

サイバーキルチェーンの構成

サイバーキルチェーンは、次の7つのステップで構成されています。

1. 偵察（Reconnaissance）

攻撃対象の選定と、ターゲットシステムに関する情報収集を行うフェーズです。

2. 武器化（Weaponization）

マルウェアの作成や、攻撃に使うツールの準備を行うフェーズです。

3. 配送（Delivery）

作成した不正ペイロード（マルウェアなど）をターゲットシステムへ送り込む手段を講じるフェーズです。

4. エクスプロイト（Exploitation）

ターゲットシステムの脆弱性を利用して、不正ペイロードを実行させるフェーズです。

5. インストール（Installation）

ターゲットシステム内に不正プログラムを定着させ、持続的なアクセス経路を確保するフェーズです。

6. コマンド＆コントロール（Command & Control）

インストールしたプログラムを遠隔操作し、さらなる攻撃活動を実行するフェーズです。

7. 目的の達成（Actions on Objectives）

データ窃取、サービス妨害、身代金要求など、最終的な攻撃目的を果たすフェーズです。

サイバーキルチェーンの活用方法

サイバーキルチェーンを実際の防御に役立てるには、次の3つの視点を意識することが大切です。

攻撃者の視点

攻撃者がどのような目的で動き、どんな手法を選ぶかを分析することで、狙われやすいポイントや対策の優先度が見えてきます。

防御者（自社）の視点

守るべき資産を明確にした上で、各フェーズで実施すべき対策を整理し、限られたリソースをどこに割くかを判断します。

全体的な視点

サイバーキルチェーンの各段階は連続した流れである点を踏まえ、攻撃者と防御者の視点を組み合わせてバランスよく対策を組み立てることが求められます。
セキュリティは技術だけでなく、人と組織の問題でもあります。経営層を含む全社での取り組みとして推進し、従業員の意識向上とポリシー遵守をセットで進めることが重要です。

標的型攻撃に適用した場合

サイバーキルチェーンの7つのステップとその対処方法を、標的型攻撃を例に解説します。

1. 偵察（Reconnaissance）

攻撃者は、ソーシャルエンジニアリングや公開情報の収集を通じ、標的組織・個人の情報を集めます。

具体的な活動：
・企業WebサイトやSNSからの公開情報収集
・従業員情報や組織構造の調査
・システム構成やネットワーク環境の把握
・脆弱性の探索

対処方法：
・不審なメールやリンクに関する社員教育を定期実施する
・外部に公開する情報を必要最小限に絞り込む
・定期的な脆弱性スキャンでシステムの弱点を把握・修正する

2. 武器化（Weaponization）

攻撃者は、マルウェアを作成したり、脆弱性を悪用するためのツールを準備したりします。

具体的な活動：
・標的に特化したマルウェアの開発
・既存攻撃ツールのカスタマイズ
・エクスプロイトキットの準備

対処方法：
・アンチウイルスソフトとファイアウォールを最新状態に保つ
・ゼロデイ攻撃に備えたパッチ管理を適切に実施する
・不要なサービスやポートを無効化して攻撃面を縮小する

3. 配送（Delivery）

メールの添付ファイルやリンク、USBメモリなどを経由してマルウェアが配布されます。

具体的な活動：
・添付ファイル・リンク入りのフィッシングメール
・標的がよく訪問するサイトへの罠設置（水飲み場攻撃）
・USBメモリ等の外部メディア配布

対処方法：
・メールフィルタリングを強化し、不審な添付ファイルやリンクを検知・ブロックする
・外部記憶装置の使用を制限または禁止する
・フィッシングメールへの対応訓練を継続的に実施する

4. エクスプロイト（Exploitation）

マルウェアが実行され、システムの脆弱性が悪用されるフェーズです。

具体的な活動：
・ソフトウェアの既知脆弱性の悪用
・ゼロデイ攻撃の実行
・ブラウザやプラグインの脆弱性利用

対処方法：
・最新のセキュリティパッチを速やかに適用し、既知の脆弱性を塞ぐ
・重要システム・データへのアクセス制御を強化する
・侵入検知システム（IDS）・侵入防止システム（IPS）を導入し、不審な動作を検知・遮断する

5. インストール（Installation）

マルウェアがシステムに常駐し、攻撃者が継続的なアクセスを確保するフェーズです。制御権が攻撃者に渡るため、このフェーズは攻撃の流れの大きな節目となります。

具体的な活動：
・バックドアの設置
・権限昇格の試行
・システムファイルの改ざん

対処方法：
・エンドポイントセキュリティソリューションでマルウェアを検知・駆除する
・重要システムをセグメント分離し、侵害の影響範囲を限定する
・定期バックアップを取得し、迅速な復旧を可能にする
・権限管理を適正化し、不要なアプリケーションのインストールを防ぐ

マルウェアがインストールされた後の挙動をリアルタイムで追跡するEDR（Endpoint Detection and Response）は、このフェーズでの検知・対処に特に有効なソリューションです。

6. コマンド＆コントロール（Command & Control）

攻撃者がマルウェアを遠隔操作し、情報窃取や破壊活動を進めるフェーズです。

具体的な活動：
・HTTP/HTTPS通信の偽装
・DNS通信の悪用
・P2P通信の利用

対処方法：
・ネットワークトラフィックを監視し、不審な通信を検知・遮断する
・重要システムへの外部アクセスを制限する
・侵害されたシステムを速やかに特定し、ネットワークから切り離す

7. 目的の達成（Actions on Objectives）

攻撃者が最終目的を実行するフェーズです。情報窃取・データ暗号化・システム破壊などのほか、痕跡消去も行われます。

具体的な活動：
・機密情報・個人情報の窃取
・データ暗号化と身代金要求
・重要システム・データの破壊
・継続的な監視や情報収集

対処方法：
・侵害範囲を速やかに把握し、対応策を講じる
・関係機関や専門家に連絡して適切な支援を受ける
・事後分析で攻撃の手口・原因を特定し、再発防止策を実施する

標的型攻撃は執拗かつ高度であり、各ステップで対策を組み合わせることが不可欠です。監視・検知・予防・インシデント対応力を継続的に底上げしていくことが求められます。

サイバーキルチェーンの欠点

有用なモデルである一方、サイバーキルチェーンにはいくつかの限界もあります。

一方通行

サイバーキルチェーンは攻撃を直線的なプロセスとして示しますが、実際の攻撃はステップを飛ばしたり前段階へ戻ったりと、非線形で複雑な動きをとる場合があります。

攻撃手法の進化

このモデルは従来の攻撃手法を前提に設計されており、ゼロデイ攻撃やサプライチェーン攻撃、AIを悪用した新手口が登場するたびにモデルの見直しが必要になります。

対象の攻撃が限定的

標的型攻撃やマルウェア感染など境界防御が効く攻撃には有効ですが、DDoS攻撃やWebアプリケーションへの単発型攻撃では有効性が低下します。

定性的

攻撃の全体像を把握するには役立ちますが、実際の対策では動的かつ具体的な分析が必要です。MITRE ATT&CKなどほかのフレームワークと組み合わせて活用することが現場では一般的です。

まとめ