サイバーキルチェーン【cyber kill chain】

概要

サイバーキルチェーン（cyber kill chain）とは、サイバー攻撃が行われる過程を7段階の行動にモデル化したもの。軍事分野で敵を攻撃する過程を4段階に分類した「キルチェーン」(kill chain)概念をサイバー攻撃に応用したもの。

システムへの不正侵入や標的型攻撃のプロセスを整理したもので、

偵察(Reconnaissance) … 標的の選定やシステム環境などの下調べ
武器化(Weaponization) … マルウェアを仕込んだ文書ファイルの作成など
配送(Delivery) … 標的へのメール送信など
攻撃(Exploitation) … マルウェアの起動など
インストール(Installation) … バックドアなどの導入
遠隔操作(Command and Control) … 攻撃者との交信、指示の受信
目的実行(Actions on Objective) … データの流出や破壊など目的の活動

の7段階で構成される。この各段階の活動に合わせて、これを検知したり阻止する対応策を用意する必要がある。

サイバーキルチェーンという用語は2011年に軍事・航空大手の米ロッキードマーチン社が提唱したもので、“Cyber Kill Chain” は同社の登録商標となっている。内部犯を想定しておらず境界防御に頼りすぎているなどの批判もあり、必ずしも包括的なモデルとして広く受け入れられているわけではない。

元になった軍事概念のキルチェーンは一般に「目標の識別」（target identification）、「武力の指向」（force dispatch to target）、「攻撃の決断と命令」（decision and order to attack the target）、「目標の破壊」（destruction of target）の4段階で構成されるが、米空軍が策定した6段階のF2T2EA（Find, Fix, Track, Target, Engage, and Assess）など他のモデルを指す場合もある。

(2022.11.28更新)