[セキュリティ 用語集 トップへ]
サイバーキルチェーンとは(Cyber Kill Chain)
サイバーキルチェーンとは、標的型攻撃を段階的なフェーズに分割し、各フェーズでの特徴や対策をまとめた考え方。
標的型攻撃を以下の段階に分割し、どこかのフェーズで攻撃者の攻撃を断ち切るのが目的。
(1)偵察
【内容】
企業のホームページ、Facebookやツイッターから属する社員の情報や職種、職場近所のコンビニで胸にぶら下げた社員証、ニセの問い合わせ電話、IRや顧客窓口への問い合わせなどで社員の情報や所属情報、業務内容などをにゅしゅする。
【対策】
ユーザ教育。SNSによる企業情報公開の制限。問い合わせ窓口の一元化。掲示板の書き込み監視など。
【ポイント】
情報を提供しないことが重要。情報に関して意識が低い企業は狙われやすい。普段の取引メールや文書のフォーマットがばれると偽装されやすい。
(2)武器化
【内容】
侵入するマルウェア、RATの作成。通常業務に似せた偽メールの作成。
(3)配送
【内容】
顧客や関連企業社員になりしましたメールの送信。不正コード(exploit)を含んだ添付ファイルの送信。メール本文に記載した不正サイトへのURLを記載し、クリックすることによりドライブバイダウンロードによる不正アプリのダウンロード。水飲み場攻撃による不正アプリのダウンロード。
【対策】
メール無害化、DLP、Web分離(ブラウザを仮想化)、実行ファイルの削除、カテゴリフィルタ。
徹底したユーザ教育は必須など。ダウンロード経路でのふるまい検知による不正プログラムの検出は有効。
【ポイント】
標的型攻撃を防御するための一番のポイント。やはりユーザ教育は重要で、不信なメールや不信なサイトはクリックしないことが大事。
また物理的にWebブラウザとローカル端末を分離することもかなり効果的。(仮想ブラウザ)
(4)攻撃
【内容】
配送によりターゲット上に到着したマルウェア、exploit、RATの実行。
【対策】
個人端末のアンチウィルス。
【ポイント】
ダウンロードしたプログラムを実行させないことがポイント。
(5)インストール
【内容】
攻撃により実行されたマルウェア、exploit、RATのローカル環境へのインストール。
【対策】
アプリケーションホワイトリスト。ローカルユーザの管理者権限はく奪。インストールアプリの定期棚卸など。
【ポイント】
不正なプロセスを実行させないことがポイント。
(6)遠隔操作
【内容】
マルウェア、exploit、RATが自動的に Web(httpやhttps)で C&Cサーバに接続。C&Cサーバからの命令により活動開始。
【対策】
DNS Query検査(不正サイトへのDNS Queryの検査)、カテゴリフィルタ、SIEMによるブラックリスト IP のチェック。ふるまい検知など。
【ポイント】
外部への通信先は不正サイトのため、不正サイト情報を常に最新情報にし、ftpやhttp履歴と突合し不正サイトへ接続していないか確認するのがポイント。
またSIEMにより相関ログ分析を実行し、怪しい動きをしている端末がないか確認する。
(7)侵入拡大
【内容】
例えば以下のような方法で増殖を試みる。
・イントラネット上のファイルサーバなどにOSの脆弱性を狙った攻撃を仕掛け特権を取得する。
・パスワードハッシュを探す、ローカルに保存されたOSやブラウザのでコードされたパスワードを解析する、ネットワークパケットを盗聴してパスワードを入手する。
【対策】
バッチの管理、パスワード暗号化、SMB 1.0 無効化。不要なWindows共有削除など。
【ポイント】
イントラネット内はネットワークアクセス制御が甘いため自由に行動されやすい。OSの脆弱性を狙われるので常にパッチの最新化は必須。
SMB Windows 共有フォルダを悪用されるケースが多いため、アクセス権の見直しや不要な共有の削除が必要。
(8)目的実行
【内容】
・研究結果、新製品情報、コア技術の極秘文書などを入手し、ftpやhttp経由で外部サーバに流出させる。
【対策】
カテゴリフィルタ、DLP、ログ解析、ブラウザ仮想化、FirewallによるACLなど。
【ポイント】
外部への通信先は不正サイトのため、不正サイト情報を常に最新情報にし、ftpやhttp履歴と突合し不正サイトへ接続していないか確認するのがポイント。
カテゴリ:標的型攻撃
[セキュリティ 用語集 トップへ]
本サイト内掲載されている情報は、著作権法により保護されています。いかなる場合でも権利者の許可なくコピー、配布することはできません。
このページはリンクフリーです。(このページへの直接リンクも可能です。)
Copyright(c) securitychecklist.net 2014 - 2017