背景
現代のサイバー戦争では、攻撃者の戦術を深く理解し、進化する脅威から組織を守るために機敏な対応が求められる。そうすることでサイバーキルチェーンは、こうした脅威を理解し、それに対抗するための強力なフレームワークを提供し、攻撃サイクルをさまざまな段階に分けている。
この連鎖の核となるのが、攻撃者がターゲットに関する情報を徹底的に探索する偵察フェーズである。この段階は、初期段階ではあるが、攻撃者に当該システムのインフラや脆弱性に関する基本的な洞察を与えるため、非常に重要である。
本稿では、このステップを探るとともにサイバーセキュリティ不審な活動がより深刻な脅威に発展する前に、専門家がどのように検知し、阻止するか。例えば、OSINT(オープン・ソース・インテリジェンス)技術とネットワーク・トラフィック・モニタリングを利用することで、組織は攻撃者の一歩先を行くことができ、壊滅的なサイバー攻撃からネットワークと機密データを守ることができる。
サイバー・キルチェーンとは?
まず、サイバー・キルチェーンとは何かを理解する必要がある。
ロッキード・マーチン(1995年創業の航空宇宙製品メーカー。世界最大級の軍需製品メーカー)が開発し、適応させたものである。ネットワークセキュリティモデル攻撃は7つの段階から構成される。ひとたび攻撃の段階が特定されれば、セキュリティ・オペレーターが介入し、攻撃の連鎖を断ち切ることができる。
その目的は、攻撃者の行動を予測し、攻撃の影響を軽減し、脅威がまだ初期段階にあるうちに特定することである。
この記事では、最初の段階であるスカウティングに焦点を当てる。
伝統的な戦争と同様に、サイバー攻撃の成功は通常、非常に効果的な情報収集から始まり、偵察はサイバーキルチェーンの最初のステップであることは注目に値する。
このようにして、チェーンにおける次の実行ステップに移るために、ターゲットに関する大量のデータと関連情報を得ることができる。
セキュリティの専門家も攻撃者も、偵察の段階で脅威を特定するために、特にOSINT(オープン・ソース・インテリジェンス)を利用することで、同様のテクニックを用いることができます。
よりよく理解するために、まずこの練習を概念化してみよう:
OSINT(オープンソースインテリジェンス)は、ソーシャルメディア、オンラインフォーラム、公的データベース、政府記録、ニュースウェブサイトなどの公開情報源から情報を収集・分析する。
オープンソースのインテリジェンスに加え、組織の環境内外で悪意のある活動を特定するために設計されたサイバーセキュリティ手法で構成されるスレットハンティングなど、潜在的な脅威をプロアクティブに検索することもできる。
この2つの技術を正しく組み合わせて使えば、サイバーキルチェーンの偵察段階の要素を特定するための強力なツールとなる。
攻撃者がチェーンの初期段階にいる2つの例と、サイバー防衛の専門家が彼らの行動を検知し、第2段階(武器化)への進行を防ぐために迅速に対応する方法について説明する。
最初のケースでは、攻撃者がいると仮定する。ミスターX彼はある銀行を攻撃のターゲットに選んだ。OSINT技術を使い、彼はその銀行の従業員に関する情報を見つける目的で、LinkedIn、Facebook、Twitter、Instagramなどのソーシャルネットワークの大規模な調査を開始した。さらに、スピアフィッシング攻撃の潜在的な標的を特定するために、システム管理者や上級管理職など特定の役職に就いている従業員まで検索した。次に、会社の所有者、住所、法的履歴に関するデータを入手する目的で、ドメインや不動産記録などの公的記録の検索を開始した。最後に、X氏は銀行のウェブサイトを分析し、従業員、パートナー、顧客のリストや、提供されている商品やサービスの詳細をチェックした。
しかし、X氏は、前述の銀行機関の注意深く粘り強い脅威ハンターであるジョンが、フェンスの向こう側で常に行動を起こしており、すでに多くの検知技術を導入しており、その中でいくつかの注目すべき動きに気づいていたことを知らなかった。より慎重な分析ジョンは、ソーシャルメディア・モニタリング・ツールを使って企業や従業員、役員に関する言及を追跡し、オンライン検索活動分析ツールを使って、自分が勤める会社に関連しそうなキーワードを検索している。興味深いことに、これらはマーケティング目的で使われるリソースだが、重要なデータを提供してくれる。彼はまた、不審なメッセージングアプリ(テレグラムなど)のグループ内で会社名に関する言及がないか積極的に検索し、組織に関する複数の言及が、マーケティングツールで観察された会社に対する関心の高まりと同じ時期と一致していることを発見した。
2つ目の仮想シナリオでは、X氏はNmapなどのツールを使って、会社のシステムでどのポートが開いているかを特定する。このようなツールは、さまざまなポートにパケットを送信し、その応答を解析して、ポートが開いているかどうかを判断するため、サイバーキルチェーンの進化における後続のステップで悪用される可能性のある脆弱性をチェックすることに留意してください。
nmapによるポートスキャンの例。
wiresharkなどのネットワーク・トラフィック・モニタリング・ツールを使って、ポートやサービスのスキャンを示すパターンを特定する。
このツールはパケットで動作する。これは、ネットワークを最も詳細に監視する方法の1つである。使用されているコンテンツやプロトコルに加え、このツールは送信元アドレスや宛先アドレス、その他様々な情報を発見する。
ジョンはまた、より多くの帯域幅を消費するトラフィックの急増などを検出するために、ネットワークを介して送信されるデータ量に焦点を当てた帯域幅分析手法を使用しています。
トラフィックもまた重要である。というのも、この形式の監視では、トラフィックに関する集約された情報を使用し、個々のパケットではなく、集約されたデータを収集することが考えられているからである。これには、データ量、送信元および宛先IPアドレス、通信ポートの記録が含まれる。
こうしてジョンは、たとえば、連続した複数のポートに対する大量のリクエストがスキャン信号をトリガーすることに気づいた。
その結果、彼は直ちに不審なトラフィックを隔離するための手順を開始した。つまり、新しいファイアウォール・ルールを導入したり、侵入検知防御システムでポート・スキャンに関与したIPアドレスからのトラフィックをブロックしたりして、攻撃者が悪意のある活動を継続・展開するのを阻止した。
事例
ある会社(ここでは" カンパニーエックス ")は、競争の激しい業界で事業を展開し、財務データ、知的財産、個人顧客情報を含む大量の情報を提供している。このデータをサイバー脅威から保護することの重要性を認識したCompanyXのサイバーセキュリティチームは、データ漏洩検知システムを導入した。
このシステムは、ダークウェブ、アンダーグラウンドのフォーラム、ファイル共有サイト、ソーシャルネットワークなど、さまざまなインターネットチャネルを監視しながら、データ侵害を示す可能性のある不審な活動の兆候について継続的に動作します。高度なアルゴリズムを使用して、関連情報の違法な販売や共有に関連する行動パターンを特定します。
ある日、CompanyXのデータ漏洩検知システムは、サイバーセキュリティ・チームの注意を引くアンダーグラウンド・フォーラムへの投稿を検知した。その投稿は、" DarkHacker123 "CompanyXのユーザーは、CompanyXに属する大量の機密データを販売しています。このデータには、従業員のメールアドレス、財務情報、顧客の連絡先情報などが含まれます。
この発見に直面して、CompanyXのサイバーセキュリティ・チームは直ちに行動を起こした。侵害されたデータの信憑性を確認し、攻撃者がどのようにしてデータにアクセスしたのかを特定するために、詳細な調査を開始した。これには、侵害されたデータを分析して行動パターンを特定すること、ネットワーク・セキュリティ・ログを調査して侵害された可能性のあるエントリー・ポイントを特定すること、インシデントを報告するために適切な当局と連絡を取ることなどが含まれます。
その間に、サイバーセキュリティ・チームは、データ侵害による損害を軽減するための措置を直ちに講じる。これには、アクセス資格情報を変更すること、データ漏洩の原因を特定するためにデータセキュリティ戦略を策定し、影響を受ける顧客に連絡を取ってインシデントの発生を警告し、ビジネス・パートナーと調整を図り、それぞれの業務において追加のセキュリティ対策が実施されるようにする。
キルチェーンの偵察段階との関連は?
サイバーキルチェーンで述べたように、偵察フェーズとは、攻撃者が実際の攻撃を行う前にターゲットに関する情報を得ようとする最初の段階です。この段階では、攻撃者は企業のインフラを理解し、その脆弱性を特定し、効果的な攻撃計画を策定しようとします。
この例では、「DarkHacker123」という攻撃者が偵察活動を行いながら、X社に関する機密情報を収集しようとしています。この情報収集は、攻撃者が標的型サイバー攻撃をより効果的に計画・実行するために重要です。
つまり偶然にも、前述の攻撃者たちはデータを入手するやいなや、サイバーキルチェーンの次の段階に進む前に、秘密のフォーラムでそのデータを公開し始めたのだ。
結論は
サイバーキルチェーンの初期段階で偵察活動を早期に検知することは、組織のサイバー防御を強化する上で極めて重要です。オープンソースのインテリジェンス技術とネットワークトラフィックの監視を組み合わせることで、サイバーセキュリティの専門家は疑わしい行動パターンを特定し、攻撃の試みを阻止するために迅速に行動することができます。
攻撃者のプロファイルを特定するためのソーシャルメディア・モニタリング・ツールの使用や、ポートスキャンを検出するためのネットワーク・トラフィックの詳細な分析など、実践的な例を通して、セキュリティ専門家が攻撃者の一歩先を行く方法を説明します。
ますます複雑化し脅威が増す中、組織は先を見越したサイバー防衛戦略に投資し、進化するデジタル環境の課題に立ち向かう準備をしなければならない。サイバーセキュリティに統合的なアプローチを取ることで、増え続けるサイバー脅威からシステムとデータを守り、デジタル社会における事業運営の回復力を確保することができる。
元記事はSnowFlakeによるもの。転載の際は、https://www.cncso.com/jp/identifying-hacking-in-the-early-phase-of-the-cyber-kill-chain.html。
