実存散乱階層（じつぞんさんらんかいそう）

概要

実存散乱階層（Kill Chain）は、もともと軍事戦略における攻撃目標の達成プロセスをモデル化したもので、情報セキュリティ分野においては、ロックヒード・マーティン社によって提唱された。攻撃者が目標を達成するために実行する一連の段階を明確化し、各段階で攻撃を検知・防御するための対策を講じることを目的とする。

階層構造

一般的に、実存散乱階層は以下の7つの段階で構成される。

1. 偵察 (Reconnaissance): 攻撃対象に関する情報を収集する段階。公開情報やソーシャルエンジニアリングなどを利用する。
2. 武器化 (Weaponization): 収集した情報に基づいて、攻撃に使用するマルウェアやエクスプロイトを作成する段階。
3. 配送 (Delivery): 作成したマルウェアやエクスプロイトを標的システムに送り込む段階。電子メール、Webサイト、USBメモリなどが利用される。
4. エクスプロイト (Exploitation): 標的システムの脆弱性を利用して、システムに侵入する段階。
5. インストール (Installation): 侵入したシステムにマルウェアをインストールし、永続的なアクセスを確立する段階。
6. コマンド＆コントロール (Command & Control): インストールされたマルウェアを遠隔操作するための通信経路を確立する段階。
7. 目的の実行 (Actions on Objectives): 攻撃者が最終的に達成したい目的を実行する段階。データの窃取、システムの破壊、身代金要求などが含まれる。

活用方法

実存散乱階層は、セキュリティ対策の強化に役立つ。各段階における攻撃を検知・防御するための対策を講じることで、攻撃の成功率を低下させることができる。例えば、偵察段階においては、公開情報の制限やソーシャルエンジニアリング対策を講じ、武器化段階においては、マルウェア対策ソフトの導入や脆弱性対策を行う。

限界

実存散乱階層は、すべての攻撃に適用できるわけではない。特に、内部不正や物理的な攻撃など、階層構造で表現しにくい攻撃も存在する。また、攻撃者は階層構造を認識し、対策を回避する可能性もあるため、実存散乱階層だけに依存したセキュリティ対策は不十分である。