サイバーキルチェーン|情報処理安全確保支援士試験 令和4年春期午前Ⅱ 問5

出典:令和4年春期 午前Ⅱ 問5 分野:セキュリティ / 情報セキュリティ
標的型攻撃における攻撃者の行動をモデル化したものの一つにサイバーキルチェーンがあり,攻撃者の行動を7段階に分類している。標的とした会社に対する攻撃者の行動のうち,偵察の段階に分類されるものはどれか。
  • ア:攻撃者が,インターネットに公開されていない社内ポータルサイトから,会社の組織図,従業員情報,メールアドレスなどを入手する。
  • イ:攻撃者が,会社の役員が登録しているSNSサイトから,攻撃対象の人間関係,趣味などを推定する。
  • ウ:攻撃者が,取引先になりすまして,標的とした会社にマルウェアを添付した攻撃メールを送付する。
  • エ:攻撃者が,ボットに感染したPCを違隔操作して社内ネットワーク上のPCを次々にマルウェア感染させて,利用者IDとパスワードを入手する。
この問題を解く
解説

サイバーキルチェーンは、サイバー攻撃の流れを攻撃者の行動順に整理したモデルです。

攻撃を段階ごとに分けて考えることで、「どの段階で防げるか」「どの対策が必要か」を検討しやすくなります。

  1. 偵察:標的の組織やシステム、関係者などの情報を集める
  2. 武器化:攻撃に使うマルウェアや不正ファイルを準備する
  3. 配送:メールやWebサイトなどを使って、攻撃用のファイルやリンクを届ける
  4. エクスプロイト:脆弱性などを悪用し、マルウェアを実行させる
  5. インストール:標的のPCやサーバにマルウェアを感染させる
  6. 遠隔操作:C&Cサーバと通信させ、攻撃者が外部から操作できるようにする
  7. 目的の実行:情報窃取、改ざん、サービス停止など、攻撃の目的を達成する

つまりサイバーキルチェーンは、「攻撃者が準備から目的達成までに行う流れ」を7段階で整理したものです。

したがって、が適切です。

❌他選択肢が誤りの理由
ア:攻撃者が,インターネットに公開されていない社内ポータルサイトから,会社の組織図,従業員情報,メールアドレスなどを入手する。
⇒社内ポータルサイトは外部に公開されていないため、そこから情報を入手できている時点で、既に何らかの侵入や内部アクセスに成功している可能性が高いです。攻撃前の公開情報収集である偵察の段階とはいえません。
ウ:攻撃者が,取引先になりすまして,標的とした会社にマルウェアを添付した攻撃メールを送付する。
⇒配送の段階に当たります。偵察で得た情報を使って攻撃メールを作成し、標的に送り込む行動であり、情報収集そのものではありません。
エ:攻撃者が,ボットに感染したPCを違隔操作して社内ネットワーク上のPCを次々にマルウェア感染させて,利用者IDとパスワードを入手する。
⇒侵入後の横展開や認証情報の窃取に関する行動です。社内ネットワーク内で感染を拡大し、IDやパスワードを入手している段階であり、攻撃前に標的情報を収集する偵察とは異なります。
TSUNAGARU-ADVICE

まず押さえたいこと

サイバーキルチェーンの偵察は、攻撃前に標的の情報を集める段階です。公開情報やSNSなどから、攻撃に使えそうな人間関係・組織情報・連絡先などを調査する行動が該当します。

迷ったときの判断軸

偵察は、まだ攻撃メールを送ったり、社内に侵入したりする前の情報収集です。社内ポータルから情報を盗む行為は既に侵入後の行動、攻撃メール送付は配送、マルウェア感染拡大は侵害後の活動です。したがって、SNSなどの公開情報から標的を調べる行動を偵察と判断できます。

科目Bにつなげるために

科目Bでは、攻撃の流れを時系列で読み取り、どの段階でどの対策が有効かを問われることがあります。偵察段階では、公開情報の出し過ぎやSNS上の情報漏えいが攻撃準備に使われる点を意識しておきましょう。

の問題 試験TOPへ の問題