Kill Chain(キルチェーン) きるちぇーん
簡単に言うとこんな感じ!
ハッカーが攻撃を成功させるまでには「偵察→侵入→乗っ取り」みたいなステップがあるんだ。Kill Chainはその手順を7段階に整理したモデルで、「どの段階で攻撃を止めるか」を考えるための地図みたいなものだよ!
Kill Chainとは
Kill Chain(キルチェーン)とは、サイバー攻撃が目標を達成するまでの一連のプロセスを段階的に分解したフレームワークです。もともとは米軍が「敵の攻撃を阻止するための行動モデル」として使っていた軍事用語を、セキュリティ企業のLockheed Martinが2011年にサイバーセキュリティ向けに転用しました。
正式名称は 「Cyber Kill Chain®」 で、攻撃者が標的に侵入して目的を達成するまでの行動を7つのフェーズに体系化しています。このモデルの核心は、「攻撃はある日突然完成するのではなく、複数のステップを踏む」という考え方で、どのフェーズで食い止めるかを防御側が意識的に設計できるようにした点にあります。
情報システム担当者や経営層にとっての実務的な意義は、「うちのセキュリティ対策は攻撃のどの段階に対応しているか?」という問いに答えられるようになること。ファイアウォールや EDR(Endpoint Detection and Response)、SIEM など各種セキュリティツールがキルチェーンのどこを担うのかを把握することで、防御の穴(ギャップ)を可視化できます。
Kill Chainの7段階フェーズ
Lockheed Martin版の Cyber Kill Chain は以下の7フェーズで構成されます。各フェーズで攻撃者の行動と、防御側が取れる対策が対になっています。
| # | フェーズ名 | 攻撃者の行動 | 防御側の対策例 |
|---|---|---|---|
| 1 | Reconnaissance(偵察) | 標的のWebサイト・SNS・メールアドレスなどを調査 | 公開情報の最小化、OSINT監視 |
| 2 | Weaponization(武器化) | マルウェアや悪意ある文書ファイルを作成 | 脅威インテリジェンス活用 |
| 3 | Delivery(配送) | メール添付・Webサイト・USBなどで標的へ送り込む | メールフィルタ、Webプロキシ |
| 4 | Exploitation(脆弱性の悪用) | 脆弱性を突いてコードを実行させる | パッチ管理、脆弱性スキャン |
| 5 | Installation(インストール) | バックドアや遠隔操作ツールを仕込む | EDR、アプリケーション制御 |
| 6 | Command & Control(C2) | 外部サーバーと通信して遠隔操作 | ネットワーク監視、DNSフィルタ |
| 7 | Actions on Objectives(目標実行) | データ窃取・破壊・ランサムウェア展開など | DLP、特権アクセス管理 |
「鎖(Chain)」の意味
Kill Chain は「連鎖」という名の通り、攻撃は各フェーズが連続してつながって初めて成立します。つまり、どの1フェーズでも断ち切れれば攻撃を失敗させられるという考え方が根底にあります。すべてのフェーズを完璧に防ぐ必要はなく、「どこかで必ず止める」という多層防御の発想と相性が抜群です。
語源の覚え方
「Kill」は攻撃を”殺す(止める)“ための Chain(鎖)
軍事用語では「目標を無力化するための行動の連鎖」を指します。サイバーセキュリティでは「攻撃の連鎖を断ち切る」ための地図として使います。
歴史と背景
- 2000年代初頭:米空軍が爆撃ミッションの手順を「Find → Fix → Track → Target → Engage → Assess(F2T2EA)」として体系化。これが軍事版 Kill Chain の原型。
- 2011年:Lockheed Martin のセキュリティ研究者 Eric M. Hutchins らが論文 “Intelligence-Driven Computer Network Defense” で Cyber Kill Chain を発表。APT(高度持続的脅威)対策のフレームワークとして提唱。
- 2013年頃〜:米国政府機関・大手企業のセキュリティチームが採用し始め、インシデントレスポンスや脅威ハンティングの標準的な語彙として普及。
- 2013年:MITRE ATT&CK フレームワークの前身となる研究が始まり、Kill Chain をより細粒度に拡張する動きが生まれる。
- 2015年以降:ランサムウェアやサプライチェーン攻撃の増加を受け、Kill Chain の各フェーズに対応したゼロトラスト設計の議論が活発化。
- 現在:Unified Kill Chain・MITRE ATT&CK など派生・発展フレームワークが登場しつつも、Cyber Kill Chain は概念モデルとして広く教育・啓発に使われ続けている。
関連フレームワークとの比較
Kill Chain はサイバー攻撃を理解するための代表的フレームワークですが、他にも類似・発展的なモデルが存在します。
| フレームワーク | 提唱元 | フェーズ数 | 特徴 |
|---|---|---|---|
| Cyber Kill Chain | Lockheed Martin | 7 | シンプル・入門向け・外部→内部侵入に特化 |
| MITRE ATT&CK | MITRE | 14 戦術・数百のテクニック | 実際の攻撃手法を詳細に分類。SOC・脅威ハンティング向け |
| Unified Kill Chain | Paul Pols | 18 | Kill Chain と ATT&CK を統合・拡張。内部横断移動まで詳述 |
| Diamond Model | Caltagirone ら | 4要素 | 攻撃者・被害者・インフラ・能力の関係を分析 |
MITRE ATT&CKとの使い分け
Kill Chain はマップ、ATT&CK は詳細な地形図と考えると分かりやすいです。Kill Chain は攻撃の大まかな流れを把握するための入門・コミュニケーション用途に向いており、実際のインシデント分析や脅威ハンティングには MITRE ATT&CK の詳細なテクニック分類が使われます。多くの企業が「Kill Chain で全体感を把握し、ATT&CK で具体的な手口を分析する」という二段構えを取っています。
関連する規格・RFC
| 規格・文書 | 内容 |
|---|---|
| NIST SP 800-61 Rev.2 | コンピュータセキュリティインシデント対応ガイド。Kill Chainの各フェーズに対応した対応手順を定義 |
| NIST SP 800-150 | サイバー脅威インテリジェンスの共有ガイド。Kill Chain モデルを脅威情報の分類・共有に活用する方法を説明 |
関連用語
- MITRE ATT&CK — Kill Chain を発展させた詳細な攻撃手法分類フレームワーク
- APT(高度持続的脅威) — Kill Chain が主に想定する、長期・多段階のサイバー攻撃
- インシデントレスポンス — 攻撃を検知した後の対応手順・プロセス
- 多層防御 — Kill Chain の各フェーズに対策を重ねる防御設計の考え方
- EDR — エンドポイントでの攻撃検知・対応ツール。主に Installation フェーズを担う
- SIEM — ログを統合監視してC2通信や異常行動を検知するセキュリティ基盤
- ゼロトラスト — Kill Chain の後半フェーズ(内部横断)を前提とした新しいセキュリティ設計思想
- 脅威インテリジェンス — 攻撃者の手口・IoC情報を収集・分析してKill Chainの早期段階で対策するための情報