サイバーキルチェーンを理解する

1990 年代ごろまでは、 サイバー攻撃といえば、暇を持て余した 十代の悪ふざけ程度のイメージでした。 しかし、犯罪や情報収集を企てる さまざまな勢力が、インターネットに 潜在する可能性を見逃すはずはありません。 いまやサイバー攻撃といえば、 組織的な犯罪集団や 国家主導の情報機関が、 大規模で洗練された ビジネスプロセスを使って 実行するものがほとんどです。 2009 年、Lockheed Martin 社の サイバー非常事態対応チームが、 有名な論文を発表しました。 『敵対的活動と侵入キルチェーンの 分析情報に基づく、 インテリジェンス型の コンピューターネットワーク防衛』です。 原文はウェブサイトから入手できます。 この論文で、サイバーキルチェーンという 新たな概念が知られるようになりました。 サイバーキルチェーンでは、 次の７つの段階に分けて サイバー攻撃を考えます。 偵察、武器化、配送、エクスプロイト、 インストール、遠隔操作、目的達成です。 これらは１段階ずつ順に 行われるわけではなく、 複数が同時に進むことも よくあります。 それぞれの段階が、 攻撃の狙いに相当します。 偵察は、標的を探し出して その特徴を知るための攻撃段階です。 インターネット上のアドレスは、 個人なら契約している サービスプロバイダーが割り当てる １個だけという場合が多いですが、 企業の場合、自社のドメインに 多数のアドレスを持っているのが普通です。 企業を狙ったサイバー攻撃では、 公開されているウェブサイトの アドレス周辺のインターネット空間を 調べながら、標的が使っている システムを割り出していきます。 企業側から見ると、 自社ドメインのホストに一斉に 応答チェックが行われている状態です。 この手法を、 IP アドレススキャンといいます。 有効なホストのリストが手に入ると、 攻撃者はそれぞれについて、 むき出しになったエントリーポイントを 探します。 これがポートスキャンです。 「攻撃ベクトル」と呼ばれる 侵入経路を見つけ、 使用ソフトウェアのバージョンを 確認することが狙いです。 最近の攻撃は自動化されていて、 コンピューターに感染した マルウェアのネットワークが 時間制で使える有料サービスを利用して、 自動スキャンを実行します。 ボットネットと呼ばれる これらのネットワークには、 数百台から数万台のコンピューターが 登録されていて、 大規模なサイバー攻撃に使えます。 武器化は、明らかになっている脆弱性を 標的に合わせてカスタマイズし、 標的に送り込んで、自動サイバー攻撃の プラットフォームから 実行できるようにする攻撃段階です。 武器化によって、 オペレーティングシステムの 特定のバージョンに含まれる脆弱性、 またはオンラインバンキングのサイトを 標的とするマルウェアが作られます。 ハッキングが巨大ビジネスとなっている 今日では、攻撃者自らが 武器化を行わなくても、 専業の開発者からマルウェアを 購入することが可能です。 配送は、このマルウェアを 標的のコンピューターに送り込む 攻撃段階です。 標的の誰かが、添付された文書、 画像などのファイルを開くと、 マルウェアが自動でインストールされる 仕組みが一般的です。 フィッシングは、別人になりすました メールにそのようなファイルを添付する 手口です。 また、マルウェアに感染したウェブサイトを 探しておき、標的の誰かに 「このサイトを見て」と要請するメールを 出す手口もあります。 案内されたサイトに標的がアクセスすると、 本人の端末にマルウェアが インストールされる仕組みです。 標的のソフトウェアに初期設定された ユーザー ID とパスワードを使ったり、 不正に入手された ID と パスワードを使ったりして、 システムに直接アクセスし、 マルウェアを埋め込む場合もあります。 これと似た手口として、 インターネットにつながっている ソフトウェアの穴からマルウェアを 送り込むこともあります。 サイバー攻撃には多くの場合、 インターネットからの足がかりとなる ホストが必要です。 攻撃者はそこから、 システム内部に深く侵入し、 インターネットに直接つながっていない 真の標的にアクセスします。 さらに、マルウェアの配送手段として USB メモリを使う手口もあります。 標的のシステムがインターネットに 接続していない場合には、 特に有効な手段です。 ただし、標的とするシステムのユーザーに その USB メモリを使わせるための 口実が必要です。 次の段階はエクスプロイトです。 メール添付や USB メモリを使って 配送されたファイルが起動すると、 標的のソフトウェアが持つ脆弱性を利用して マルウェアに感染させます。 ウェブサイトにアクセスさせる手口では、 ブラウザーの脆弱性をついて HTML コードに仕込まれた マルウェアに感染させます。 リモートアクセスの場合、 パケットストリームでプロトコルの 脆弱性を攻撃したり、 盗み出した ID と パスワードを使ったりして 標的のシステムにアクセスします。 エクスプロイトの段階で感染した マルウェアが、そのままキルチェーンの 最終段階に進むこともありますが、 通常は、標的のシステム内にある メモリやハードディスクに、ペイロード、 すなわち悪意ある動作をするコードを インストールします。 また、感染したシステムが再起動されるたびに ペイロードも 再起動されるようにする仕組みが インストールされることもあります。 例えば Windows システムなら、 レジストリエントリの追加です。 ペイロードの多くは、常時コマンドシェルに アクセスできるようになっています。 サイバー攻撃は 自動化されていることが多く、 ペイロードのインストールが完了すると、 まず遠隔操作サーバーに接続して 操作可能なホストとして登録されます。 攻撃者はこれを利用して、 サブディレクトリやファイルの一覧を 表示させたり、 特定のファイルを取り出したり、 ソフトウェアの改変や入れ替えを 行ったりすることができます。 遠隔操作サーバーのアドレスは 変更されることも多いため、 ペイロードが変更後のアドレスを 認識できるようにする仕組みも重要です。 インストールされたペイロードは、 攻撃者の意図に応じて、 さまざまな動作を行います。 社会活動家なら、標的のサイトを書き変え、 国家が関与する情報機関なら、 機密情報を手に入れ、 窃盗犯なら、銀行口座から預金を 盗み出すことができるのです。 攻撃者とその意図はさまざまですが、 それらが標的に大きな被害を 与えることは共通しています。