Table of Contents
配送フェーズ(Delivery)の詳細
配送フェーズは、武器化フェーズで準備した攻撃ツールを標的に「届ける」段階です。攻撃者が初めて標的と直接接触するフェーズであり、防御側が攻撃を検知・遮断できる最初の大きなチャンスでもあります。
主な配送手段
1. フィッシングメール(最も多用される手法)
悪意あるファイルを添付したり、偽サイトへのリンクを含めたりしたメールを送りつけます。特に、特定の人物を狙って入念に作り込んだものをスピアフィッシングと呼びます。
典型的な偽装パターンの例は次のとおりです。
- 取引先からの請求書・契約書に見せかけた添付ファイル
- 宅配便の不在通知を装ったSMS(スミッシング)
- 経営幹部を騙った緊急送金依頼(ビジネスメール詐欺)
2. 水飲み場攻撃(Watering Hole)
標的がよく訪れるWebサイト(業界団体サイト、よく使うツールの公式サイト等)を事前に改ざんし、アクセスするだけでマルウェアが実行されるよう仕掛ける手法です。メールを使わないため、メールフィルタでは検知できません。
3. サプライチェーン攻撃
標的企業が使うソフトウェアやライブラリの更新ファイルにマルウェアを仕込む手法です。2020年のSolarWinds事件が代表例で、正規の更新として配送されるため非常に発見が困難です。
4. 物理的な手段
マルウェアを仕込んだUSBメモリを駐車場や受付に置き忘れる手法です。「拾ったUSBを試しに挿してみる」という人間の好奇心を利用します。インターネット経由の攻撃が届かない、ネットワーク隔離された環境(工場・制御システム等)への侵入にも使われます。
配送手法の選び方:攻撃者の視点
攻撃者は偵察フェーズで得た情報をもとに、最も刺さりやすい配送手段を選びます。
| 標的の状況 | 選ばれやすい配送手段 |
| 経理担当者が多い | 請求書偽装のフィッシングメール |
| 特定の業界団体に所属 | 水飲み場攻撃 |
| 多くのSaaSツールを利用 | サプライチェーン攻撃 |
| 物理的なアクセスが可能 | USBドロップ |
防御のポイント
配送フェーズは「人」と「技術」の両面からアプローチする必要があります。
技術的対策
- メールフィルタリングとサンドボックス検査(添付ファイルを隔離環境で事前実行)
- URLフィルタリング・Webプロキシによる不審サイトへのアクセス遮断
- ソフトウェア更新の完全性検証(ハッシュ値・デジタル署名の確認)
- USBポートの物理的・ポリシー的な制限
人的対策
技術だけでは防ぎ切れないのが配送フェーズの難しさです。最終的には「人が開く・クリックする」という行動が攻撃を成立させるため、セキュリティ教育が非常に重要です。
- フィッシングメールの見分け方のトレーニング
- 不審なメールを報告する社内フローの整備
- 定期的な模擬フィッシング訓練による実践的な意識づけ
このフェーズが特に重要な理由
配送フェーズを遮断できれば、それ以降の悪用・インストール・C2通信・目的達成はすべて発生しません。鎖を早い段階で切れる、コストパフォーマンスの高い防御ポイントです。逆に言えば、ここを突破されると被害が一気に深刻化するリスクがあります。
「技術で防ぎ、人で補う」という多層防御の考え方が、配送フェーズ対策の核心です。
セキュリティの基礎
- サイバーキルチェーン C2通信フェーズ(Command&Control)
- サイバーキルチェーン インストールフェーズ(Installation)
- サイバーキルチェーン 悪用フェーズ(Expolitation)
- サイバーキルチェーン 武器化フェーズ(Weaponization)
- サイバーキルチェーン 目的達成フェーズ(Actions on Objectives)
- サイバーキルチェーン 配送フェーズ(Delivery)
- サイバーセキュリティ用語10選
- セキュリティの目的 ~機密性/完全性/可用性~
- セキュリティの脅威と対策の概要
- マルウェア ~ユーザにとって有害なソフトウェア~
- 認証の基礎 ~正規のユーザ/デバイスですか?~
- 覚えやすくて推測されにくい安全なパスワードの作り方
- 暗号化の概要
- ハッシュ関数とは
- SSLとは? ~アクセス先は本物です!データは盗聴/改ざんされません!~
- SSLとWi-Fiの暗号化の違い
- ファイアウォールの概要 ~正規の通信のみを転送~
- IDS/IPS ~不正アクセス対策~
- Cisco アクセスコントロールリストの概要
- パケットフィルタ ~不正な通信をブロックするCisco ACLの最も多い用途~
- SPI(Stateful Packet Inspection)の概要
- Cisco ACLによるパケットフィルタの設定と確認
- 標準ACLと拡張ACLのパケットフィルタをより深く理解するための演習 ~標準ACL~
- 名前付きACL(Named ACL)
- タイムベース(Time-based)ACL
- Cisco ACLによるパケットフィルタの設定例
- 標準ACLと拡張ACLのパケットフィルタリングをより深く理解するための演習 ~標準ACL~
- 標準ACLと拡張ACLのパケットフィルタリングをより深く理解するための演習 ~拡張ACL~
- リフレクシブ(Reflexive)ACL ~戻りの通信を自動的に許可~
- リフレクシブ(Reflexive)ACLの設定例
- Catalystスイッチのパケットフィルタリング RACL/VACL/PACL
- RACL/VACL/PACLの設定と確認コマンド
- uRPFの設定例
- VTYアクセス制御
- DHCPスプーフィング ~DHCPサーバを偽装~
- DHCPスヌーピング
- Cisco DHCPスヌーピングの設定と確認コマンド
- Cisco DHCPスヌーピングの設定例
- ARPスプーフィング
- Dynamic ARP Inspection
- Cisco Dynamic ARP Inspectionの設定と確認コマンド
- TCPインターセプトの設定例
- WAF(Web Application Firewall)の概要
- 電子メールのセキュリティ
- サイバーキルチェーンとは?
- サイバーキルチェーン 偵察フェーズ(Reconnaissance)