ITパスポート 令和4年度 問69：情報セキュリティ・攻撃手法に関する問題

答えは a です。

サイバーキルチェーンは、攻撃者が「下調べ → 侵入 → 目的を実行」と、どんな順番で攻撃を進めるかを段階ごとに整理した“攻撃の流れの地図”です。

たとえるなら、泥棒が「家を下見する → カギを開ける → 物を盗む」と段取りを踏むのと同じ。各段階を知っておけば、「ここで止めればいい」と防ぎやすくなります。

👉 覚え方：「キルチェーン＝攻撃のステップを鎖（チェーン）でつないだ図」。

ほかの選択肢：b は機器を数珠つなぎにする接続方式／c はブロックチェーン／d はチェーンメールの説明で、攻撃の段階モデルではありません。

なぜこれが正解か

正解は a。サイバーキルチェーンは、標的型攻撃などの一連の攻撃活動を「偵察→武器化→配送→攻撃（エクスプロイト）→インストール→遠隔操作→目的の実行」といった複数のフェーズに分けてモデル化したもの。各段階で対策を講じれば攻撃の連鎖を断ち切れる、という防御の考え方を示す。

各選択肢の解説

• b：ハブやスイッチを数珠つなぎにする＝カスケード接続の説明。
• c：ハッシュ値で前のブロックと鎖状につなぐ分散台帳＝ブロックチェーンの説明。
• d：転送を促す迷惑メールが次々広まる＝チェーンメールの説明。

覚え方・ひっかけ注意

「キル（攻撃）＋チェーン（段階の連鎖）＝攻撃の段階モデル」。“チェーン”の語感でブロックチェーンやチェーンメールに引っかからないこと。問われているのは攻撃の流れの分解。

理論的背景

サイバーキルチェーン（Cyber Kill Chain）は正解aの通り「情報システムへの攻撃段階を、偵察・攻撃・目的の実行などの複数のフェーズに分けてモデル化したもの」であり、2011年にLockheed Martinが軍事用語の「キルチェーン（攻撃の連鎖）」をサイバー攻撃に応用して提唱したフレームワークである。

7つのフェーズで構成される。①偵察（Reconnaissance）：標的の情報収集（WhoisルックアップでのIP/ドメイン情報・LinkedIn等SNSでの社員情報収集・ポートスキャン等）。②武器化（Weaponization）：エクスプロイトコードとマルウェアを組み合わせた攻撃ツールの作成（悪意のあるPDF・Wordマクロ等のドロッパーを含む）。③デリバリ（Delivery）：フィッシングメール・悪意のあるWebサイト・USBドロップ等で標的にマルウェアを配送する。④エクスプロイテーション（Exploitation）：脆弱性を悪用して標的システムでコードを実行する。⑤インストール（Installation）：バックドア・RAT（Remote Access Trojan）等を恒久的にインストールして持続性を確立する。⑥C2（Command & Control）：外部のC2サーバと通信路を確立して攻撃者がリモート制御できる状態にする。⑦目的の実行（Actions on Objectives）：データ窃取・ランサムウェア展開・破壊活動・偽情報拡散等の最終目標を実行する。

実務での使われ方

キルチェーンモデルの防御戦略としての活用として、各フェーズを「Detect（検知）・Deny（阻止）・Disrupt（妨害）・Degrade（劣化）・Deceive（欺瞞）・Destroy（破壊）」の6Dで対抗措置をマッピングする手法が使われる。例えば偵察フェーズはHTTPS化・パブリックドメイン情報の最小化・蜜壷（Honeypot）で対応し、デリバリフェーズはメールセキュリティゲートウェイ（SEG）・フィッシング訓練で対応する。

MITRE ATT&CK（Adversarial Tactics, Techniques, and Common Knowledge）フレームワークはサイバーキルチェーンを大幅に発展させたもので、14の戦術（初期アクセス・実行・持続性・権限昇格・防御回避・認証情報アクセス・探索・横断移動・収集・C2・データ窃取・影響等）に対して数百の実際の攻撃者が使用するテクニック・サブテクニックをまとめたデータベースである。SOC（Security Operations Center）チームはATT&CKマトリクスを使って脅威インテリジェンスとSIEM（Security Information and Event Management）のアラートを対応づけ、攻撃者の行動を早期段階で検知・対応するシナリオベースの防御設計に活用している。

試験での位置づけ

ITパスポートの情報セキュリティ・攻撃手法分野でサイバーキルチェーンは比較的新しい出題テーマとして近年登場している。本問の正解の根拠は「攻撃段階のモデル化」という特徴的な定義であり、選択肢b（ネットワークのデイジーチェーン接続：物理的な機器接続形態）・選択肢c（ブロックチェーン：分散台帳技術）・選択肢d（チェーンメール：迷惑メールの転送）という「チェーン（鎖・連鎖）」という語を使った混同を誘う選択肢を排除することが求められる。

基本情報技術者（FE）・情報処理安全確保支援士（SC）では、サイバーキルチェーンの7フェーズの詳細内容、APT（Advanced Persistent Threat：高度な標的型攻撃）の攻撃手法（スピアフィッシング・水飲み場攻撃・サプライチェーン攻撃）、防御フレームワーク（NIST CSF・Zero Trust・Defense in Depth）との対応関係が問われる。近年の試験ではMITRE ATT&CKフレームワークへの言及も増えており、SOC・脅威インテリジェンス・インシデントレスポンスの専門知識として重要性が高まっている。

選択肢の発展補足

選択肢bの「ハブやスイッチなどの複数のネットワーク機器を数珠つなぎに接続していく接続方式」はデイジーチェーン接続（Daisy Chain）の説明である。ネットワーク機器の物理的接続トポロジの一種で、A→B→C→Dのように直列に接続する形態を指す。スター型（全機器を中央のスイッチに接続）と対比されるトポロジで、シリアルバス接続（USB・Thunderbolt・MIDI）にもこの概念が使われる。ネットワークの「チェーン」という語から混同しやすいが、攻撃フレームワークとは全く関係ない。

選択肢cの「ブロックチェーン（Blockchain）」は複数のトランザクション記録を「ブロック」にまとめ、前ブロックのハッシュ値を各ブロックに埋め込むことで改ざん耐性を持つ分散台帳技術である。Bitcoin（Satoshi Nakamoto、2008年）が最初の実用化事例で、Ethereum（スマートコントラクト）・Hyperledger（企業向けブロックチェーン）等に発展した。「チェーン」という語がサイバーキルチェーンと重なる誘導になっているが、技術的・目的的に全く別物である。