Cyberキルチェーン: 高度な脅威の理解と対策

サイバー攻撃は過去20年間で劇的に進化した。ソーシャル・エンジニアリング、インサイダーの脅威、クラウド・テクノロジーは、情報セキュリティの境界線の見方を変え、多くの人の頭の中では境界線は無意味なものとなっている。

サイバー・キル・チェーンは伝統的なセキュリティ・モデルであり、外部攻撃者がネットワークに侵入してデータを盗むという旧態依然としたシナリオを説明し、攻撃のステップを細分化して組織の準備に役立てるものである。とはいえ、今日、組織が直面している脅威のベクトルや攻撃を説明する上で、このモデルは驚くほど成功している。

推奨図書​：サイバー脅威インテリジェンスの4つのタイプと効果的な使い方。

サイバー・キルチェーンとは何か？

サイバー・キル・チェーン（CKC）は、ロッキード・マーチンのコンピュータ・セキュリティ・インシデント対応チーム（CSIRT）が開発した古典的なサイバーセキュリティ・モデルである。このモデルの目的は、攻撃の実行に必要な段階をよりよく理解し、セキュリティ・チームが各段階で攻撃を阻止できるようにすることである。

CKCモデルは、セキュリティ境界内のデータや資産へのアクセスを試みる外部攻撃者による攻撃を記述する。攻撃者は、偵察、セキュリティ境界への侵入、脆弱性の悪用、特権の獲得とエスカレーションを行い、より価値の高いターゲットにアクセスするために横方向に移動し、活動を難読化しようと試み、最終的に組織からデータを流出させる。

サイバー・キルチェーン・モデルは主に、特定の企業に対して組織的な攻撃キャンペーンを展開する高度な悪意ある行為者である高度持続的脅威（APT）について説明している。

サイバーキルチェーンの8つの段階

以下では、ロッキード・マーチン CIRT CKC モデルに従って、攻撃の各ステージについて簡単に説明します。各ステージについて、CKC モデルから抜粋した攻撃の簡単なリストが表示されます。MITRE ATT&CKフレームワークは、実世界の観察に基づいた敵の戦術とテクニックに関するグローバルにアクセス可能な知識ベースです。

1.偵察

偵察段階では、攻撃者は標的組織に関する情報を収集する。自動化されたスキャナーを使用して、侵入できる可能性のある脆弱性や弱点を見つけます。攻撃者は、ファイアウォール、侵入防御システム、認証メカニズムなど、導入されているセキュリティ・システムを特定し、調査しようとする。

2.侵入

侵入の段階では、攻撃者はセキュリティ境界の内部に侵入しようとしている。攻撃者は通常、足掛かりを得るためにマルウェアをシステムに注入する。マルウェアは、ソーシャル・エンジニアリングEメール、侵害されたシステムまたはアカウント、セキュリティのギャップを表す「オープン・ドア」（オープン・ポートや安全でないエンドポイントなど）、または内部の共犯者によって配信される可能性があります。

侵入段階における攻撃の例：

• 外部リモートサービス
• スピアフィッシングの添付ファイル
• サプライチェーンの妥協

3.搾取

悪用の段階では、攻撃者は組織のシステム内部で悪用できる脆弱性や弱点をさらに探し求める。例えば、外部から攻撃者は組織のデータベースにアクセスできないかもしれないが、侵入後にデータベースが古いバージョンを使用しており、よく知られた脆弱性にさらされていることがわかる。

悪用段階の攻撃の例：

• パワーシェル
• ローカルジョブスケジューリング
• スクリプト
• ダイナミックなデータ交換

4.権限昇格

特権の昇格段階では、攻撃者の目標は、追加のシステムまたはアカウントに対する特権を獲得することです。攻撃者は総当たり攻撃を試みたり、認証情報の保護されていないリポジトリを探したり、認証情報を特定するために暗号化されていないネットワーク・トラフィックを監視したり、侵害された既存のアカウントの権限を変更したりします。

特権昇格段階における攻撃の例：

• アクセストークンの操作
• パスの遮断
• 須藤アタック
• プロセス・インジェクション

5.横方向の動き

横移動の段階では、攻撃者は追加のシステムに接続し、組織の最も価値のある資産を見つけようとします。攻撃者は、特権アカウント、機密データ、または重要な資産にアクセスするために、あるシステムから別のシステムへと横方向に移動します。横方向への移動は、複数のユーザー・アカウントとITシステムにまたがる可能性のある協調的な取り組みです。

横移動段階での攻撃の例：

• SSHハイジャック
• 内部スピアフィッシング
• 共有ウェブルート
• Windowsリモート管理

6.難読化

難読化の段階では、攻撃者は自分たちの痕跡を隠そうとする。ログの削除や修正、タイムスタンプの改ざん、セキュリティシステムの改ざん、その他CKCの前の段階を隠し、機密データやシステムに触れられていないように見せかけるための行動を取ろうとするかもしれません。

難読化段階での攻撃の例：

• バイナリー・パディング
• コード署名
• ファイルの削除
• 隠しユーザー
• 中空加工

7.サービス拒否

サービス妨害（DoS）の段階では、攻撃者は組織の業務を妨害しようとする。通常、その目的は、セキュリティや運用スタッフの注意をそらし、悪意のある行為者が真の目的であるデータ流出を達成できるようにすることです。DoSは、ウェブサイト、電子メールサーバー、顧客向けアプリケーションなど、ネットワークや本番システムに対して行われることがあります。

DoS段階の攻撃例：

• エンドポイントのサービス拒否
• ネットワークサービス拒否
• リソースのハイジャック
• サービス停止
• システム停止

8.流出

流出の段階で、高度な攻撃者はついに本領を発揮し、組織の最も機密性の高いデータを手に入れます。攻撃者は、データを組織の外部にコピーするためのメカニズム（通常はある種のプロトコル・トンネリング）を見つけます。そして、そのデータを販売したり、追加攻撃（例えば、顧客の個人データや支払詳細の場合）に使用したり、組織に損害を与えるために公然と配布したりします。

流出段階における攻撃の例：

• 圧縮データ
• データ暗号化
• 代替プロトコルによる流出
• 物理媒体への流出スケジュールされた転送

サイバーキルチェーンを阻止するためのセキュリティ対策

SBSセキュリティは、各段階で攻撃を阻止するために組織が使用できる5つの方法を提案した。それは以下の5つである：

• 検知-組織をスキャンまたは侵入しようとする試みを判断する。
• 拒否-攻撃を未然に防ぐ。
• 妨害-攻撃者が行うデータ通信を妨害し、その通信を中断させる。
• Degrade-攻撃の有効性を制限する対策を立てる。
• 欺く-偽の情報を提供したり、おとりアセットを設定することで、攻撃者を欺く。

以下の情報は、各キルチェーンステージに各セキュリティ対策を適用するために、セキュ リティツールをどのように使用できるかを示している。

出典：SBSサイバーセキュリティ

UEBA技術が高度な持続的脅威の特定と阻止に役立つ理由

サイバー・キルチェーン・モデルは、主にAPT（Advanced Persistent Threat：高度な持続的脅威）に焦点を当てている。APT攻撃者は、その活動を隠蔽し、痕跡を消すことに長けているため、企業ネットワーク内に侵入されると検知が非常に困難になります。APT攻撃は、熟練したハッカー集団によって行われ、数カ月にわたって組織内に侵入し、横方向に移動しながら、慎重に検知を回避して企業システムを狙います。このような各ステップは、従来の検知技術を回避する可能性がありますが、それらが組み合わさることで、異常な状況を作り出します。

ユーザーとエンティティの行動分析（UEBA）のような最新のセキュリティツールは、現代の攻撃者が使用する様々なテクニックを検出するのに役立ちます。UEBAで機械学習を使用すると、ユーザーの行動を学習して検出エンジンに統合できるため、アナリストは検出時間を大幅に短縮できます。

UEBAは環境に動的に適応し、従来の手法とは異なり、振る舞いの微妙な変化を検出することができます。UEBAは異種システムからの膨大なデータを分析し、ユーザー、マシン、ネットワーク、アプリケーションの異常な挙動を特定することができます。何か異常や不審な点があれば、UEBAシステムはそれを検知し、セキュリティ・チームに警告を発します。

行動パターンを攻撃シーケンスに解決するためには、セキュリティ・アナリストは攻撃のキル・チェーンの全体像を把握する必要がある。UEBAは、関連するすべてのイベントをタイムラインに結びつけて、攻撃の意味を理解する必要があります。これにより、実際の侵害が発生する前の早い段階でAPTや関連する攻撃者のテクニックを検出することが可能になります。例えば、UEBAは、不規則なネットワーク・トラフィックとして現れる偵察活動を検出し、侵入の試みを異常なログインや不審なログインとして特定し、攻撃の後続段階で侵害されたユーザー・アカウントの異常な動作をピックアップすることができます。

洗練された攻撃シーケンスを発見するには、スピードが重要です。UEBAのような最新のツールを使えば、セキュリティ・アナリストは攻撃者が行ったステップを追跡し、組織に損害を与える前に検知できるようになります。