ハッキングの手法を学ぶことで防御は強くなる。 企業セキュリティ担当者が知るべき攻撃フェーズ

サイバー攻撃は年々高度化・巧妙化しており、もはや「ウイルス対策ソフトを入れているから安全」「ファイアウォールがあるから問題ない」といった単純な対策では企業を守り切れない時代に入りました。特に企業を狙う攻撃は、単発的・偶発的なものではなく、明確な目的と段階的なプロセスを持って実行されます。こうした攻撃の全体像を理解するために有効なのが「キルチェーンモデル」です。

本記事では、キルチェーンモデルの考え方を軸に、各攻撃フェーズで企業が取るべき防御策、さらに攻撃者視点を踏まえたセキュリティ対策の重要性について解説します。

キルチェーンモデルとは何か

キルチェーン（Kill Chain）モデルとは、もともと軍事分野で使われていた概念で、攻撃が計画・実行・達成されるまでの一連の流れを段階的に整理したものです。これをサイバーセキュリティに応用したのが「サイバーキルチェーンモデル」であり、多くのセキュリティフレームワークや製品設計の基盤となっています。

一般的なサイバーキルチェーンは、以下の7つのフェーズで構成されます。

1. 偵察（Reconnaissance）

2. 武器化（Weaponization）

3. 配送（Delivery）

4. 悪用（Exploitation）

5. インストール（Installation）

6. コマンド＆コントロール（C2）

7. 目的達成（Actions on Objectives）

重要なのは、「侵入後」だけでなく、「侵入前」から攻撃は始まっているという点です。

この視点を持つことが、防御の質を大きく左右します。

フェーズ1：偵察（Reconnaissance）と防御策

偵察フェーズでは、攻撃者は対象企業について徹底的な情報収集を行います。

公開Webサイト、SNS、求人情報、プレスリリース、ドメイン情報、さらにはダークウェブ上の流出情報まで、あらゆる情報が収集対象となります。

企業が見落としがちな偵察ポイント

• 社員のSNS投稿から判明する使用システムや業務フロー

• 技術ブログや導入事例に記載された製品名・構成情報

• 過去の情報漏洩によって流通しているメールアドレスや認証情報

防御のポイント

• 公開情報の棚卸しと最小化

• 社員向けの情報公開・SNS利用ルールの整備

• ドメインやメールアドレスの悪用状況を把握する体制構築

この段階での防御は「気づかれないこと」ではなく、「攻撃者にとって割に合わない存在になること」が目的です。

フェーズ2：武器化（Weaponization）と防御策

武器化フェーズでは、偵察で得た情報をもとに、マルウェアや不正スクリプト、フィッシング用コンテンツなどが準備されます。

近年では、特定企業向けにカスタマイズされた攻撃ツールが使われるケースも増えています。

防御のポイント

• セキュリティ製品のシグネチャ依存からの脱却

• 不審なファイル・挙動を検知する振る舞い検知の導入

• 攻撃キャンペーン情報の継続的な収集

ここでは「最新の攻撃手法を知ること」自体が重要な防御になります。

フェーズ3：配送（Delivery）と防御策

配送フェーズでは、実際に攻撃が企業環境へ届けられます。

代表的な手法は以下のとおりです。

• フィッシングメール

• 悪意のあるWebサイト

• USBなどの物理媒体

• 正規ツールを悪用した侵入

防御のポイント
• メールセキュリティの多層化

• URL・添付ファイルの自動解析

• 社員教育による人的リスク低減

特に企業では「人」を起点とした侵入が依然として高い割合を占めており、技術対策と教育の両立が不可欠です。

フェーズ4：悪用（Exploitation）と防御策

悪用フェーズでは、OSやアプリケーション、設定不備などの脆弱性が突かれます。

ゼロデイ脆弱性が使われる場合もあれば、未適用のパッチが原因となるケースも少なくありません。

防御のポイント

• 脆弱性管理とパッチ適用の定常運用

• EDRによる不審挙動の検知

• 最小権限の原則の徹底

この段階では「侵入を完全に防ぐ」よりも、「被害を最小化する」視点が重要です。

フェーズ5：インストール（Installation）と防御策

攻撃者は侵入後、継続的にアクセスするためのバックドアを設置します。

ここで検知・遮断できなければ、長期間にわたる潜伏を許してしまいます。

防御のポイント

• 不審なプロセスや常駐設定の監視

• 正規ツールの異常利用の検出

• 定期的なログレビューと可視化

フェーズ6：C2通信と防御策

C2（コマンド＆コントロール）フェーズでは、攻撃者が外部から内部システムを遠隔操作します。

通信は暗号化され、正規サービスを経由するケースもあります。

防御のポイント

• 外部通信の可視化と異常検知

• DNSログやプロキシログの分析

• IoC（侵害指標）との照合

フェーズ7：目的達成と防御策

最終フェーズでは、情報窃取、業務妨害、ランサムウェア実行などが行われます。

ここまで到達すると、企業への影響は経済的・信用的に甚大となります。

防御のポイント

• 重要データの分類とアクセス制御

• バックアップの定期検証

• インシデント対応計画の整備と訓練

攻撃者視点で考えるセキュリティ対策の重要性

攻撃者は常に「最も楽に侵入できる企業」を探しています。

高度な防御を突破するよりも、管理が甘い企業を狙う方が効率的だからです。

そのため、企業のセキュリティ対策において重要なのは、

• 自社がどう見えているか

• 攻撃者から見てどこが弱点か

• どの段階で検知・遮断できるか

を客観的に把握することです。

キルチェーンモデルは、そのための思考フレームとして非常に有効です。

見えないリスクへの備えとしてのダークウェブ監視

偵察フェーズでも触れたように、現在ではダークウェブ上で企業情報が売買・共有されることが珍しくありません。

メールアドレスやパスワード、内部資料の断片が流通しているケースもあります。

これらは企業内部からは見えにくく、気づいたときには攻撃の準備が整っていることもあります。

そのため、外部から自社がどのように見られているかを把握する手段として、ダークウェブ監視は有効な補完策となります。

技術的な防御や教育施策に加え、攻撃の兆候を早期に察知する視点を持つことで、キルチェーンの上流で対策を講じることが可能になります。

自社のセキュリティを一段引き上げるための取り組みとして、こうした外部視点の監視も、検討すべき選択肢の一つと言えるでしょう。