実存拡散階層(じつぞんかくさんかいそう)
最終更新:2026/4/22
実存拡散階層は、情報セキュリティにおける脅威モデリングの手法の一つで、攻撃者がシステムに侵入するための経路を階層的に表現する。
別名・同義語 キルチェーン攻撃チェーン
ポイント
この階層モデルは、攻撃の複雑さを理解し、防御策を効果的に配置するために用いられる。各階層は、攻撃者が達成する必要のある目標を表す。
概要
実存拡散階層(Kill Chain)は、攻撃者が標的システムを侵害する際にたどる一連の段階をモデル化したものである。このモデルは、攻撃の各段階を特定し、それぞれの段階で攻撃を阻止するための対策を講じることを目的とする。元々は軍事戦略における概念であり、情報セキュリティ分野に導入された。
階層構造
- 偵察 (Reconnaissance): 攻撃対象に関する情報を収集する段階。公開情報やソーシャルエンジニアリングなどを利用する。
- 武器化 (Weaponization): 収集した情報に基づいて、攻撃に使用するマルウェアやエクスプロイトを作成する段階。
- 配送 (Delivery): 作成した武器を標的システムに送り込む段階。電子メール、Webサイト、USBドライブなどが利用される。
- エクスプロイト (Exploitation): 標的システムの脆弱性を利用して、システムに侵入する段階。
- インストール (Installation): 侵入したシステムにマルウェアをインストールする段階。
- コマンド&コントロール (Command & Control): インストールされたマルウェアを遠隔操作するための通信経路を確立する段階。
- 目的の実行 (Actions on Objectives): 攻撃者が最終的な目的を達成するための活動を行う段階。データの窃取、システムの破壊、身代金要求などが含まれる。
活用方法
実存拡散階層は、以下の目的で活用される。
- 脅威モデリング: 攻撃者がどのような経路でシステムに侵入する可能性があるかを分析する。
- 防御策の強化: 各階層で攻撃を阻止するための対策を講じる。例えば、偵察段階では情報漏洩対策、エクスプロイト段階では脆弱性対策などを実施する。
- インシデント対応: インシデント発生時に、攻撃がどの段階に達しているかを特定し、適切な対応を行う。
関連技術
実存拡散階層と関連する技術としては、MITRE ATT&CKフレームワークなどが挙げられる。MITRE ATT&CKは、攻撃者の戦術とテクニックを体系的にまとめたものであり、実存拡散階層と組み合わせて利用することで、より効果的な脅威対策が可能となる。