目次 [ close ]
  1. 対象試験と出題頻度
  2. 用語の定義
  3. 解説
    1. 第1段階:偵察(Reconnaissance)
    2. 第2段階:武器化(Weaponization)
    3. 第3段階:配送(Delivery)
    4. 第4段階:攻撃(Exploitation)
    5. 第5段階:インストール(Installation)
    6. 第6段階:遠隔操作(Command & Control)
    7. 第7段階:目的の実行(Actions on Objectives)
    8. サイバーキルチェーンの活用と限界
  4. 試験ではこう出る!
  5. 【確認テスト】理解度チェック

対象試験と出題頻度

サイバーキルチェーンは、情報セキュリティマネジメント試験、基本情報技術者試験、応用情報技術者試験で出題される可能性のあるセキュリティ用語です。

頻出度は「D(発展)」で、参考程度の位置づけですが、標的型攻撃やAPT攻撃の問題を解くうえで押さえておきたい概念です。

詳細をクリックして確認
対象試験:
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
出題頻度:
★☆☆☆☆
ランクD(発展)

用語の定義

サイバーキルチェーン(Cyber Kill Chain)とは、一言で言うと「サイバー攻撃の一連の流れを、偵察から目的達成までの7段階に分けて体系化したフレームワーク」のことです。

情報処理試験を勉強していると、「標的型攻撃の流れってどうなってるの?どこで防げばいいの?」と悩むことがあるかもしれません。そんなとき、攻撃者の行動パターンを「見える化」してくれるのがサイバーキルチェーンです。

イメージとしては、「泥棒が家に侵入して金庫から現金を盗むまでの行動を、下見→道具準備→侵入→金庫探し→開錠→持ち出し、という段階に分けて考える」ようなもの。

どの段階で対策すれば被害を防げるか、あるいは最小限に食い止められるかを検討するために使います。

もともと「キルチェーン(Kill Chain)」は軍事用語で、敵の攻撃プロセスを理解し、どこかの段階で断ち切ることで防御するという考え方です。これをサイバーセキュリティに応用したのが、米国の防衛大手ロッキード・マーチン社が2011年に提唱したサイバーキルチェーンです。

📊 サイバーキルチェーンの7段階

段階 フェーズ名 攻撃者の行動
1 偵察(Reconnaissance) 標的の情報をSNSやWebサイト等から収集
2 武器化(Weaponization) マルウェアや攻撃コードを作成
3 配送(Delivery) メールやWebサイト経由でマルウェアを送付
4 攻撃(Exploitation) 脆弱性を突いて攻撃コードを実行
5 インストール(Installation) マルウェアを端末に常駐させる
6 遠隔操作(C&C) C&Cサーバー経由で感染端末を遠隔制御
7 目的の実行(Actions on Objectives) 情報窃取、破壊、改ざんなど最終目的を達成

解説

サイバーキルチェーン(Cyber Kill Chain)は、特にAPT攻撃(Advanced Persistent Threat:高度標的型攻撃)を理解し、防御するために考案されたモデルです。

APT攻撃とは、特定の組織を狙い、長期間にわたって執拗に攻撃を続ける手口のこと。国家機関や大企業を狙った大規模なサイバー攻撃の多くがこのタイプに該当します。

では、7つの段階をもう少し詳しく見ていきましょう。実際の攻撃がどのように進むのか、具体的なイメージを持っておくと試験問題も解きやすくなります。

第1段階:偵察(Reconnaissance)

攻撃者はまず標的について徹底的に調査します。企業のWebサイト、従業員のSNS、公開されている技術文書、採用情報などから、組織構造、使用しているシステム、メールアドレスの命名規則といった情報を集めます。ゴミ箱から書類を漁る「トラッシング」や、電話で情報を聞き出す「ソーシャルエンジニアリング」が使われることもあります。

第2段階:武器化(Weaponization)

偵察で得た情報をもとに、攻撃ツールを準備します。マルウェアを作成したり、標的のシステムの脆弱性を突く攻撃コード(エクスプロイト)を用意したり、PDFやWord文書にマルウェアを埋め込んだりします。

この段階は攻撃者側で完結するため、防御側から見えにくいのが特徴です。

第3段階:配送(Delivery)

作成した「武器」を標的に届けます。最も一般的なのはフィッシングメールです。取引先や上司を装ったメールに悪意ある添付ファイルやリンクを仕込み、開封させようとします。他にも、標的がよく訪れるWebサイトを改ざんしてマルウェアを仕掛ける「水飲み場攻撃」なども使われます。

第4段階:攻撃(Exploitation)

標的がメールの添付ファイルを開いたり、不正なリンクをクリックしたりすると、脆弱性を突いて攻撃コードが実行されます。OSやアプリケーションの既知の脆弱性が悪用されることもあれば、未知の脆弱性(ゼロデイ)が使われることもあります。

第5段階:インストール(Installation)

攻撃コードの実行に成功すると、マルウェアが端末にインストールされます。多くの場合、再起動しても消えないように自動起動設定が行われたり、正規のプログラムに偽装されたりします。

また、後から自由に出入りできるよう「バックドア」と呼ばれる裏口が設置されることもあります。

第6段階:遠隔操作(Command & Control)

感染した端末は、攻撃者が用意したC&Cサーバー(Command and Controlサーバー)と通信を始めます。攻撃者はこのサーバーを通じて、感染端末を遠隔操作できるようになります。

社内ネットワークを探索したり、他の端末に感染を広げたり、権限の高いアカウントを乗っ取ったりと、攻撃の準備を進めます。

第7段階:目的の実行(Actions on Objectives)

最終段階では、攻撃者の本来の目的が実行されます。機密情報の窃取、データの破壊や改ざん、ランサムウェアによる身代金要求など、目的はさまざまです。

APT攻撃の場合、発覚を避けながら長期間にわたって情報を盗み続けるケースも少なくありません。

💡 サイバーキルチェーンを学ぶ意味

サイバーキルチェーンの考え方を理解しておくと、「どの段階で攻撃を食い止めるか」という視点でセキュリティ対策を考えられるようになります。

たとえば、偵察段階では公開情報の管理、配送段階ではメールフィルタリングやアンチウイルス、遠隔操作段階ではC&Cサーバーへの通信遮断、といった具合です。

どこか1つの段階で攻撃を断ち切れれば、被害を防いだり最小限に抑えたりできるわけです。これが「多層防御」の考え方の基盤にもなっています。

サイバーキルチェーンの活用と限界

サイバーキルチェーンは標的型攻撃を理解するうえで非常に有用なフレームワークですが、提唱から10年以上が経過し、いくつかの課題も指摘されています。

まず、このモデルは外部からの侵入を前提としているため、内部犯行(インサイダー脅威)には対応しにくいという点があります。また、攻撃が必ずしも7段階を順番に進むとは限らず、一部のフェーズをスキップしたり、行ったり来たりするケースもあります。

こうした限界を補うため、より詳細な攻撃手法をまとめた「MITRE ATT&CK(マイター・アタック)」というフレームワークも登場しています。

試験対策としてはサイバーキルチェーンの7段階をまず押さえておけば十分ですが、実務ではMITRE ATT&CKと組み合わせて使われることも覚えておくとよいでしょう。

⚠️ 実務での補足

セキュリティの現場では、サイバーキルチェーンの各段階に対応したソリューションを導入することが多いです。

たとえば、入口対策としてメールセキュリティやファイアウォール、内部対策としてEDR(Endpoint Detection and Response)やログ監視、出口対策としてプロキシサーバーや通信遮断といった具合です。

「侵入されることを前提に、どの段階でも検知・対応できる体制を作る」という考え方が、現代のセキュリティ対策の基本になっています。

試験ではこう出る!

サイバーキルチェーンは情報セキュリティマネジメント試験、基本情報技術者試験、応用情報技術者試験で出題される可能性があります。

頻出度は「D(発展)」で毎回出るわけではありませんが、標的型攻撃やAPT攻撃の問題を解く際の背景知識として役立ちます。以下のキーワードを押さえておきましょう。

【重要キーワード】

  • 7段階のフェーズ:偵察→武器化→配送→攻撃→インストール→遠隔操作→目的の実行
  • ロッキード・マーチン社が提唱
  • APT攻撃(高度標的型攻撃)への対策フレームワーク
  • C&Cサーバー(Command and Controlサーバー)
  • 多層防御との関連

試験問題で「サイバー攻撃の一連のプロセスを7段階に分けたフレームワーク」「標的型攻撃の各フェーズを構造化したモデル」といった記述があれば、それは「サイバーキルチェーン」に関する問題です。

また、各段階の名称と内容を問う問題も出題されます。特に「偵察」「配送(デリバリー)」「C&C(遠隔操作)」「目的の実行」あたりは、選択肢に登場しやすいので覚えておきましょう。

📊 各段階とセキュリティ対策の対応(試験対策)

段階 主な対策例
偵察 公開情報の管理、従業員教育
配送 メールフィルタリング、アンチウイルス
攻撃 脆弱性管理、パッチ適用
インストール EDR、振る舞い検知
遠隔操作 C&C通信の遮断、プロキシサーバー
目的の実行 データ暗号化、アクセス制御

📝 IPA試験での出題ポイント

サイバーキルチェーンは、標的型攻撃やAPT攻撃に関する問題の選択肢として登場することがあります。「攻撃の各段階を分析して対策を講じるフレームワーク」という概念を理解しておくことが重要です。

また、「MITRE ATT&CK」との違いを問われることもあるかもしれません。サイバーキルチェーンが「攻撃の流れ(7段階)」を示すのに対し、MITRE ATT&CKは「攻撃手法の詳細なカタログ」という違いを覚えておきましょう。

【確認テスト】理解度チェック

ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。

Q. サイバーキルチェーンに関する説明として、最も適切なものはどれでしょうか?

  • A. ネットワーク上の通信を暗号化し、盗聴を防ぐためのセキュリティプロトコル
  • B. サイバー攻撃の一連のプロセスを偵察から目的達成までの7段階に分けて体系化したフレームワーク
  • C. マルウェアの感染経路を遮断するために、ネットワークを複数のセグメントに分割する技術

正解と解説を見る

正解:B

解説:
サイバーキルチェーンは、米国ロッキード・マーチン社が提唱したセキュリティフレームワークで、サイバー攻撃(特にAPT攻撃)の一連のプロセスを「偵察」「武器化」「配送」「攻撃」「インストール」「遠隔操作(C&C)」「目的の実行」の7段階に分けて体系化したものです。攻撃の流れを可視化することで、各段階に応じた効果的な対策を検討できるようになります。
選択肢Aは「暗号化プロトコル」(TLS/SSLなど)の説明です。選択肢Cは「ネットワークセグメンテーション」の説明であり、いずれもサイバーキルチェーンとは異なる概念です。