>
>
最終更新日
2025/11/11
サイバー攻撃の手口は年々巧妙になり、企業や組織にとってセキュリティ対策は事業継続の生命線となっています。しかし、次々と現れる新たな脅威に、どこから手をつければ良いか分からない方も少なくありません。
実は、多くのサイバー攻撃には、攻撃者が目的を達成するまでの一連の共通した流れが存在します。攻撃者の行動パターンを理解することが、効果的なセキュリティ対策の第一歩です。
本記事では、サイバー攻撃の一連の流れを体系化したモデルであるサイバーキルチェーンについて、その7つの段階を初心者にも分かりやすく解説します。さらに、各段階で有効な対策を具体的に紹介することで、自社のセキュリティ体制を見直すための具体的な指針を示します。
サイバーキルチェーンとは
サイバーキルチェーンとは、サイバー攻撃を計画から目的達成に至るまでの一連の流れを、7つの段階に分割して分析する考え方です。軍事用語の「キルチェーン(敵の攻撃を無力化するための一連の行動)」をサイバーセキュリティに応用したもので、米国のロッキード・マーティン社によって提唱されました。
サイバーキルチェーンの最大の特徴は、防御側が攻撃者の視点に立ち、攻撃がどの段階にあるかを把握できる点にあります。攻撃の一連の流れを理解し、いずれかの段階を断ち切ることで、被害を軽減できます。
サイバーキルチェーン7つの段階と攻撃手法
サイバーキルチェーンは、攻撃者が目的を達成するまでの一連の行動を7つの段階に分けて定義しています。各段階で行われる攻撃手法と、その目的を理解していきましょう。
1. 偵察(Reconnaissance)
攻撃の最初のステップは、標的の情報を収集する「偵察」です。攻撃者は、企業のウェブサイト、SNS、公開されている技術情報、プレスリリースなどから、組織のネットワーク構成、使用しているシステム、従業員の氏名や役職といった情報を集めます。また、標的のネットワークに直接スキャンをかけて、稼働しているサーバーや開いているポートを特定することもあり、偵察の段階で得た情報が、後の攻撃計画の精度を左右します。
2. 武器化(Weaponization)
偵察で得た情報をもとに、攻撃者は標的に合わせた攻撃ツールを作成する、「武器化」の段階に移ります。例えば、標的が利用しているソフトウェアの脆弱性を突くためのマルウェア(ウイルスなど)を用意したり、従業員が興味を持つような件名をつけたメールに添付する不正なWordファイルを作成したりします。攻撃を成功させるため、アンチウイルスソフトによる検知を回避するような細工が施されることも少なくありません。
3. 配送(Delivery)
作成した攻撃ツールを標的に送り込むのが「配送」の段階です。最も広く利用される手口の一つが、マルウェアを添付したり、不正なサイトへのリンクを記載したりした「標的型攻撃メール」ですが、USBメモリのような物理的な媒体を手渡したり、改ざんしたウェブサイトにアクセスさせたりする方法も使われます。攻撃者は、標的の警戒心を解くために、業務に関連する内容や取引先を装うなど、巧妙な手口で配送を試みます。
4. 攻撃(Exploitation)
配送された攻撃ツールが実行され、システムの脆弱性を突いて初期の侵入を果たす段階が「攻撃」です。例えば、標的の従業員がメールの添付ファイルを開いてマクロを実行してしまったり、メール本文のリンクをクリックして不正なウェブサイトにアクセスしたりすることで、マルウェアがPCに感染します。「攻撃」の段階で、ソフトウェアやOSに存在するセキュリティ上の欠陥が悪用され、攻撃者の足がかりが作られます。
5. インストール(Installation)
初期侵入に成功した攻撃者は、持続的に内部ネットワークへアクセスできるようにするため、マルウェアをシステムに常駐させる「インストール」を行います。マルウェアは、通常のプログラムに見せかけて潜伏することが多いです。
PCが再起動されてもマルウェアが活動を続けられるように、バックドア(裏口)を設置するのです。バックドアの設置により、攻撃者はいつでも自由に標的のシステムに侵入し、次の行動に移るための基盤を確立します。
6. 遠隔操作(Command and Control)
インストールしたマルウェアを通じて、攻撃者は外部から標的のシステムを遠隔操作するようになり、この段階を「遠隔操作(Command and Control)」と呼びます。攻撃者は遠隔操作サーバーから指示を送り、感染したPCを操って、さらに内部の情報を収集したり、他のPCへの感染を広げたりします。この通信は、通常のインターネット通信に紛れ込ませて行われるため、検知が難しい場合が多いです。
7. 目的の実行(Actions on Objectives)
最終段階として、攻撃者は当初の目的を実行します。これには、機密情報の窃取、個人情報の漏洩、データの暗号化による身代金の要求(ランサムウェア)、システムの破壊など、さまざまな活動が含まれます。攻撃者は、内部ネットワークで権限を昇格させながら自由に活動し、目的達成のために必要なデータを外部に送信したり、システムに破壊工作を行ったりします。この段階に至る前に、いかに攻撃の連鎖を断ち切るかが重要です。
サイバーキルチェーンの具体的な防御策
サイバーキルチェーンの各段階を理解したら、次はその連鎖を断ち切るための具体的な防御策を講じる必要があります。攻撃のフェーズに合わせて対策を整理することで、より効果的なセキュリティ体制を構築できます。
侵入を未然に防ぐ
攻撃の初期段階では、侵入を未然に防ぐ対策が中心となります。偵察に対しては、公開する情報を適切に管理し、不要なポートを閉じるなどの対策が考えられます。
武器化されたマルウェアへの対策としては、セキュリティソフトのパターンファイルを常に最新に保つことが基本です。配送段階では、不審なメールをフィルタリングするシステムや、従業員へのセキュリティ教育が侵入を防ぐ上で大きな効果を発揮します。
侵入後の被害拡大を防ぐ
侵入を100%防ぐことは困難であるため、侵入後の対策も同様に重要です。攻撃を防ぐには、OSやソフトウェアの脆弱性パッチを速やかに適用することが不可欠です。インストールや遠隔操作の段階では、PCやサーバーの不審な挙動を検知するEDR(Endpoint Detection and Response)や、ネットワーク全体のトラフィックを可視化・監視する NDR(Network Detection and Response) のような仕組みが効果を発揮します。
データへのアクセス制御を徹底する
万が一、攻撃者に内部での活動を許してしまった場合は、データの保護が重要になります。目的の実行段階の対策としては、重要データへのアクセス制御を厳格化し、特権IDの管理を徹底することが挙げられます。また、データの定期的なバックアップは、ランサムウェア攻撃などによるデータ破壊への備えとなります。SIEM(Security Information and Event Management)を用いてログを監視し、異常なアクセスを即座に検知する体制も欠かせません。
サイバーキルチェーンの限界と発展モデル
サイバーキルチェーンは攻撃全体を理解する強力な枠組みですが、内部脅威やクラウド環境攻撃などには限界があります。こうした現代の多様な攻撃手法に対応するため、サイバーキルチェーンの考え方をさらに発展させたモデルも登場しています。
統合サイバーキルチェーン (Unified Cyber Kill Chain)
従来の7段階に加え、内部犯行や偵察から目的実行までを一気に行う攻撃など、より広範な脅威シナリオを網羅するように拡張されたモデルです。
MITRE ATT&CK
サイバーキルチェーンが攻撃の大きな流れを示すのに対し、ATT&CKは、攻撃者が各段階で用いる具体的な戦術や技術を体系的に整理した知識ベースです。例えば、配送段階で使われる技術にはフィッシングメールやドライブバイダウンロードなど、どのような手法があるかを詳細に知ることができます。サイバーキルチェーンとATT&CKを組み合わせることで、より具体的で実践的なセキュリティ対策を構築できます。
まとめ
サイバーキルチェーンは、複雑なサイバー攻撃を理解し、対策を立てるための思考の枠組みです。攻撃は一度侵入されたら終わりではなく、目的達成までに複数の段階を踏むことを理解し、各段階で攻撃の連鎖を断ち切るという多層的な視点を持つことが、現代のセキュリティ対策では不可欠です。
自社のセキュリティ体制が、攻撃のどの段階に焦点を当てているのか、手薄な部分はないか、このサイバーキルチェーンのモデルに沿って一度見直してみてはいかがでしょうか。攻撃者の行動を先読みし、先手を打つことが、あなたの組織をサイバー脅威から守るための確実な一歩となります。
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
監修
Admina Team
情シス業務に関するお役立ち情報をマネーフォワード Adminaが提供します。
SaaS・アカウント・デバイスの管理を自動化し、IT資産の可視化とセキュリティ統制を実現。
従業員の入退社対応や棚卸し作業の工数を削減し、情報システム部門の運用負荷を大幅に軽減します。
中小企業から大企業まで、情シス・管理部門・経営層のすべてに頼れるIT管理プラットフォームです。
