Cyber Kill Chain® — 攻撃の分断と「多層防御」の原点

鎖を断ち切れば、目標は達成されない

Cyber Kill Chain®（サイバーキルチェーン） は、軍事・航空宇宙産業大手の Lockheed Martin（ロッキード・マーティン）社が2011年に提唱したフレームワークです。もともとは軍事戦略で使われる言葉で、「目標を無力化するまでの連続したプロセス（目標発見→追跡→照準→攻撃→破壊確認）」を指します。これをサイバー攻撃、特に国家支援型の APT（高度標的型攻撃） のプロセスへ応用しました。

このフレームワークが後世に残した最も重要な防衛思想は明快です。「防衛側は、攻撃の全フェーズで完璧に防ぐ必要はない。この7つのプロセス（鎖）のうち、どこか1つでも断ち切ることができれば、攻撃者の最終目的を阻止できる」という発想の転換です。これが現代の多層防御（Defense in Depth）の論理的基盤となっています。

キルチェーンを構成する 7つのフェーズ

flowchart LR
  A["① 偵察
Reconnaissance"]
  B["② 武器化
Weaponization"]
  C["③ 配送
Delivery"]
  D["④ 悪用
Exploitation"]
  E["⑤ インストール
Installation"]
  F["⑥ C2
Command & Control"]
  G["⑦ 目的達成
Actions on
Objectives"]

  A --> B --> C --> D --> E --> F --> G

  style A fill:#1a0a0a,color:#ff6b6b,stroke:#ff453a
  style B fill:#1a1000,color:#ffa94d,stroke:#ff9f0a
  style C fill:#1a1a00,color:#ffe066,stroke:#ffd60a
  style D fill:#001a00,color:#69db7c,stroke:#30d158
  style E fill:#001020,color:#74c0fc,stroke:#0a84ff
  style F fill:#0a0a20,color:#a5b4fc,stroke:#5e5ce6
  style G fill:#150a20,color:#da77f2,stroke:#bf5af2

Lockheed Martin が定義するサイバー攻撃の7フェーズ

1. 偵察（Reconnaissance）

攻撃者がターゲットを選定し、弱点を探るフェーズです。OSINTを駆使して、LinkedInで標的企業の社員リストを収集したり、Shodanで外部公開されているVPNやRDPのバージョン情報を取得したりします。防衛側ができることは少ないですが、公開情報の棚卸しや外部アタックサーフェスの把握がここに対応します。

2. 武器化（Weaponization）

偵察で見つけた弱点を突く「武器」を製造するフェーズです。攻撃者の手元でのみ行われるため、防衛側からはほぼ見えません。PDFやOfficeドキュメントにマルウェアを埋め込んだり、脆弱性を突くエクスプロイトコードとバックドアを結合した「ペイロード」を作成します。

3. 配送（Delivery）

完成した武器をターゲットのネットワークへ送り込むフェーズです。最も一般的な手法は**「標的型フィッシングメール」**。他にも、攻撃者に改ざんされたWebサイトへ誘導する「水飲み場型攻撃」や、USBメモリの物理的なばら撒きなどがあります。このフェーズはメールフィルタリングやProxy経由のWebフィルタリングで対応できる唯一の入り口です。

4. 悪用（Exploitation）

送り込まれた武器が標的の端末で起動するフェーズです。ユーザーが添付PDFを開いた瞬間にマクロが実行されたり、ブラウザのゼロデイが悪用されたりして、攻撃コードがシステム内で活動を開始します。EDRの振る舞い検知がこの段階の防衛線として機能します。

5. インストール（Installation）

攻撃者が標的ネットワーク内に「永続的な足場（パーシステンス）」を築くフェーズです。PCを再起動してもアクセスを維持できるよう、レジストリのRunキーを書き換えたり、バックドアをWindowsサービスとして登録したりします。

6. C2通信（Command & Control）

感染した端末がインターネット上の攻撃者サーバー（C2サーバー）との通信を確立するフェーズです。HTTPSやDNSプロトコルに偽装してファイアウォールをすり抜け、攻撃者からの遠隔操作コマンドを待ち受けます。アウトバウンドのDNS通信監視や怪しいドメインへの通信ブロックが有効な対策になります。

7. 目的の達成（Actions on Objectives）

攻撃者の最終ゴールを実行するフェーズです。機密データの外部送信（Exfiltration）、システムやDBの破壊、あるいはランサムウェアによるデータ暗号化と身代金要求がここに該当します。ここまで来てしまうと被害を完全に防ぐことは難しく、いかに前のフェーズで断ち切るかが重要です。

現代における「キルチェーン」の限界

サイバーキルチェーンは概念として今も有効ですが、2011年に作られたモデルであるため、現代（2026年時点）の攻撃実態に対していくつかの批判もあります。

Cyber Kill Chain® の限界点
制限のポイント	現代の攻撃における実態
インサイダー脅威の無視	内部関係者による犯行では、フェーズ1〜3を完全にスキップして、いきなり「⑦目的の達成」にジャンプできてしまう。
ラテラルムーブメントの欠落	一度侵入した後の「内部ネットワーク内での水平移動」がモデルに存在しない。現代のAPT攻撃では、この内部侵攻プロセスに最も長い時間が費やされる。
クラウド環境への不適合	クレデンシャル漏洩から始まるクラウド・SaaSへの侵害では、マルウェアの「インストール（⑤）」や「C2通信（⑥）」を伴わないケースが多い。

これらの限界を克服し、縦横無尽な攻撃パターンを網羅したのが MITRE ATT&CK フレームワークです。現在の実務では、キルチェーンを「攻撃の全体像を直感的に理解するための入門モデル」として活用しつつ、具体的な防御設計にはATT&CKを用いるのが主流です。

理解度チェック

【確認問題】サイバーキルチェーンの有用性を説明する、「多層防御（Defense in Depth）」の理論的裏付けにもなっている防衛の概念はどれですか？