サイバーキルチェーン 目的達成フェーズ(Actions on Objectives)

目的達成フェーズは、サイバーキルチェーンの最終フェーズです。攻撃者がここまでの6つのフェーズを経て、ついに本来の目的を実行に移します。このフェーズに到達した時点で、攻撃者はすでにシステム内部に深く根を張った状態であり、被害を完全にゼロにすることは極めて困難です。いかに被害範囲を限定し、早期に収束させるかが問われます。

---

このフェーズが他と大きく異なるのは、攻撃者の動機によって行動がまったく変わる点です。同じキルチェーンを辿っても、最後に何をするかは攻撃者の目的次第です。

1. 情報窃取（Data Exfiltration）

最も広く見られる目的です。攻撃者は社内ネットワークを横断しながら（ラテラルムーブメント）、価値あるデータを探し出して外部に持ち出します。

標的になりやすいデータの例は次のとおりです。

• 顧客の個人情報・クレジットカード情報
• 知的財産・設計図・研究データ
• 認証情報（IDとパスワードの一覧）
• 内部の財務情報・M&A計画

データの持ち出しはHTTPS通信や暗号化ファイルに隠されることが多く、C2通信と見分けにくいのが特徴です。

2. ランサムウェア攻撃

近年急増している攻撃形態です。ファイルをすべて暗号化し、復号と引き換えに身代金（ランサム）を要求します。現代のランサムウェア攻撃は二重脅迫が主流で、「支払わなければ盗んだデータを公開する」と二方向から圧力をかけてきます。

1. 社内ファイルをすべて暗号化
2. 「〇〇ビットコインを支払え」という要求画面を表示
3. 「支払わなければ盗んだデータをダークウェブで公開する」と脅迫
4. 支払っても復号できる保証はない

3. 破壊活動（Destruction）

金銭目的ではなく、システムや組織そのものを機能不全に追い込むことを目的とした攻撃です。国家支援型の攻撃グループやハクティビスト（政治的動機を持つハッカー）が行うケースが多く見られます。

• ディスクの消去（ワイパーマルウェア）
• 重要インフラ（電力・水道・医療）への妨害
• データベースの削除・改ざん

4. 踏み台攻撃（Pivot Attack）

侵害した組織をそのまま別の標的への攻撃拠点として使う手法です。信頼関係のあるサプライヤーやパートナー企業を経由することで、本来の標的のセキュリティをすり抜けます。自社が「加害者側」になってしまうリスクがある点で、特に注意が必要です。

5. 長期潜伏・スパイ活動（Espionage）

国家支援型の高度な攻撃者（APTグループ）に多いパターンです。すぐに行動せず、数か月〜数年にわたって潜伏しながら情報を収集し続けます。発見が非常に難しく、気づいたときには膨大な情報が流出している状態になっていることが多いです。

---

目的達成フェーズで見落とされがちな重要な概念が**ラテラルムーブメント（横展開）**です。最初の侵入ポイントが目的のデータや権限を持つとは限らないため、攻撃者は内部ネットワークを横断して足場を広げます。

最初の侵入（一般社員のPC）
         ↓
パスワードハッシュを盗みIT部門のサーバーへ移動
         ↓
ドメインコントローラーを掌握（管理者権限を奪取）
         ↓
全社ファイルサーバー・バックアップにアクセス可能に
         ↓
目的達成（全社データの暗号化・窃取）

ラテラルムーブメントで使われる主な技術には次のようなものがあります。

技術名	内容
Pass the Hash	盗んだパスワードのハッシュ値をそのまま認証に使う
Kerberoasting	Active Directoryの認証チケットを奪取・解析する
Living off the Land	PSExec・WMIなど正規ツールを悪用して横移動する
認証情報ダンプ	メモリからパスワードを直接抜き出す（例：Mimikatz）

このフェーズへの対策は「被害を防ぐ」から「被害を最小化・早期収束する」に主眼が移ります。

ラテラルムーブメントを阻止する

• ネットワークセグメンテーション：部門ごと・システムごとにネットワークを分割し、横展開の範囲を制限する
• 特権アクセス管理（PAM）：管理者権限の使用を最小化し、使用時には厳格に記録・監視する
• 認証情報の保護：パスワードの使い回しを禁止し、特権アカウントには専用端末を用意する

データ持ち出しを検知・阻止する

• DLP（データ損失防止）ツール：機密データの外部送信をリアルタイムで検知・ブロックする
• 異常な通信量の監視：短時間に大量のデータが外部に送られていないかを監視する
• 重要データの暗号化：持ち出されても内容を読めない状態にしておく

バックアップと復旧計画

ランサムウェア対策として最も根本的な備えです。

• 3-2-1ルールの実践：3か所にコピー、2種類の媒体、1か所はオフライン保管
• バックアップのネットワーク隔離：攻撃者がバックアップも暗号化できないよう物理的に切り離す
• 定期的な復旧訓練：バックアップが実際に使えるか定期的に検証する

インシデントレスポンス計画の整備

• 発見から封じ込めまでの手順を事前に文書化しておく
• CSIRT（コンピュータセキュリティインシデント対応チーム）を組織する
• 外部のインシデント対応専門会社との契約を事前に結んでおく

---

目的達成フェーズで被害が発覚した場合、最初の72時間の対応が被害の拡大を大きく左右します。

発覚直後    → 感染端末のネットワーク切断・封じ込め
数時間以内  → 経営層・法務・広報への報告
24時間以内  → 侵害範囲の特定・証拠保全（ログの保護）
48時間以内  → 当局・監督機関への報告（法的義務がある場合）
72時間以内  → 影響を受けた取引先・顧客への通知開始

証拠保全を怠ると、後の原因究明や法的手続きが困難になります。「まず直す」より「まず記録する」が鉄則です。

セキュリティの基礎

• サイバーキルチェーン C2通信フェーズ(Command&Control)
• サイバーキルチェーン インストールフェーズ(Installation)
• サイバーキルチェーン 悪用フェーズ(Expolitation)
• サイバーキルチェーン 武器化フェーズ(Weaponization)
• サイバーキルチェーン 目的達成フェーズ(Actions on Objectives)
• サイバーキルチェーン 配送フェーズ(Delivery)
• サイバーセキュリティ用語10選
• セキュリティの目的 ～機密性/完全性/可用性～
• セキュリティの脅威と対策の概要
• マルウェア ～ユーザにとって有害なソフトウェア～
• 認証の基礎 ～正規のユーザ/デバイスですか？～
• 覚えやすくて推測されにくい安全なパスワードの作り方
• 暗号化の概要
• ハッシュ関数とは
• SSLとは？ ～アクセス先は本物です！データは盗聴/改ざんされません！～
• SSLとWi-Fiの暗号化の違い
• ファイアウォールの概要 ～正規の通信のみを転送～
• IDS/IPS ～不正アクセス対策～
• Cisco アクセスコントロールリストの概要
• パケットフィルタ ～不正な通信をブロックするCisco ACLの最も多い用途～
• SPI(Stateful Packet Inspection)の概要
• Cisco ACLによるパケットフィルタの設定と確認
• 標準ACLと拡張ACLのパケットフィルタをより深く理解するための演習 ～標準ACL～
• 名前付きACL(Named ACL)
• タイムベース(Time-based)ACL
• Cisco ACLによるパケットフィルタの設定例
• 標準ACLと拡張ACLのパケットフィルタリングをより深く理解するための演習 ～標準ACL～
• 標準ACLと拡張ACLのパケットフィルタリングをより深く理解するための演習 ～拡張ACL～
• リフレクシブ(Reflexive)ACL ～戻りの通信を自動的に許可～
• リフレクシブ(Reflexive)ACLの設定例
• Catalystスイッチのパケットフィルタリング RACL/VACL/PACL
• RACL/VACL/PACLの設定と確認コマンド
• uRPFの設定例
• VTYアクセス制御
• DHCPスプーフィング ～DHCPサーバを偽装～
• DHCPスヌーピング
• Cisco DHCPスヌーピングの設定と確認コマンド
• Cisco DHCPスヌーピングの設定例
• ARPスプーフィング
• Dynamic ARP Inspection
• Cisco Dynamic ARP Inspectionの設定と確認コマンド
• TCPインターセプトの設定例
• WAF(Web Application Firewall)の概要
• 電子メールのセキュリティ
• サイバーキルチェーンとは？
• サイバーキルチェーン 偵察フェーズ(Reconnaissance)