MITRE ATT&CKフレームワークとは？ 14の基本戦術

MITRE ATT&CKフレームワークとは?

これはMITRE Adversarial Tactics, Techniques, and Common Knowledgeの文書を意味します。この整理された情報源には、サイバー攻撃の動向をモデル化するためのマトリックスが用意されています。通常、フレームワークは、攻撃の各段階で採用される戦術を示す列と、それを実現するための手法を示す行からなる表として表示され、各手法の使用頻度やその他のメタデータが記録されています。

この構造は、攻撃者と防御者の両方の役割を体験する実験を通じ、攻撃の動きをより深く理解し、侵害後の発見を強化するためにテレメトリと行動分析を活用して開発されました。このフレームワークは、専門家が業界における敵対行動の認識状況をよりよく把握するためのものです。

‍

ATT&CKフレームワークの歴史

MITREは、技術や工学に関する連邦政府への助言を目的として、非営利組織として設立されました。Adversarial Tactics, Techniques, and Common Knowledge（略してATT&CK）は、2013年のMITREの研究プロジェクトでこの概念を生み出したグループの名称です。

2015年に無料で公開されて以来、多くの業界のセキュリティチームが、既存および新たな脅威から事業をより守るために活用しています。かつてはWindowsの企業向けシステムだけが対象でしたが、現在ではLinux、モバイル、macOS、ICSにも対応しています。

‍

誰がMITRE ATT&Kを利用し、どのような理由で利用するのか?

攻撃者や競合の役割を担う「レッドチーム」から、脅威ハンター、セキュリティ改善エンジニア、脅威インテリジェンスチーム、リスク管理の専門家まで、多くのITおよびセキュリティ専門家がその業務でATT&CKマトリックスを活用しています。

MITRE ATT&CKの考え方を指針とすることで、レッドチームは企業のシステムやデバイスの攻撃対象と脆弱性を把握し、攻撃後の対策立案に役立てることができます。攻撃者がどのように侵入し、ネットワーク内でどこを移動し、いかに検知を逃れているのかは重要な要素です。このツール群を用いることで、企業は自社のセキュリティ状況を理解し、防御の弱点を見つけ、リスクの度合いに応じた対策の優先順位を付けることが可能になります。

この形式は、エンドポイントやネットワーク境界に対する攻撃の見え方を脅威ハンターが捉え、攻撃者が利用する具体的な手法間の関連性を明らかにする助けとなります。

サイバー攻撃のライフサイクル全体で、セキュリティプラットフォームの開発者や技術者が、自社の対策の有効性を評価し、未知の脆弱性を発見し、攻撃時のシステムの挙動を模擬するために活用しています

4つの基本的なATT&CKマトリックス

現在、この体系は4つの主要なマトリックスで構成されています。Pre-ATT&CK と ATT&CK for Enterprise は、企業ネットワークへの侵入に焦点を当てています。

1. PRE-ATT&CK

悪意ある攻撃者が行う偵察やリソース準備などの事前攻撃手法は、組織の目に触れない場所で実施されることが多いです。サイバー攻撃者は、公開情報や他社とのつながりなどを利用して侵入します。PRE-ATT&CKは、ネットワーク境界を越えた事前攻撃の動きを捉える手助けをします.

2. Mobile ATT&CK

iOSおよびAndroidのモバイルデバイスは、モバイルMitre ATT&CKマトリックスで説明される手法で侵害される可能性があります。NISTのMobile Threat Catalogueを基に、ATT&CK for Mobileでは100を超える手法と12種類以上の戦術が記録され、モバイルデバイスへの侵入や攻撃者の目的達成に利用されています。物理的アクセスが不要なネットワーク経由の影響も記載されています.

3. Enterprise ATT&CK

企業ネットワークへの侵入や内部での活動を企図するサイバー犯罪者は、ATT&CK for Enterpriseが提供するモデルを活用できます。このマトリックスには、Windows、macOS、Linux、Azure Active Directory、Office 365、Google Workspace、SaaS、IaaS、ネットワーク、コンテナといった多様な環境に対応するプラットフォーム別の戦略や手法が含まれています。PRE-ATT&CKも企業インフラの破壊を対象としているため、元々はATT&CK for Enterpriseに組み込まれていました。Enterpriseフレームワークは、各企業にとって最も深刻な脅威に対する対策を促します.

4. ICS ATT&CK

最新の産業制御システム（ICS）向けMITRE ATT&CKマトリックスは、Enterprise ATT&CKに類似していますが、電力網、工場、製粉所、そしてネットワーク化された機械やデバイス、センサーを使用する産業向けに焦点を当てています.

各マトリックスは、攻撃のライフサイクルに沿った各手法の実践的な仕様、対象となる資産やシステム、対策方法、計画検知のための分析手法、実際の運用例などを詳細に示しています.

このマトリックスは、MITRE ATT&CKの戦術を、偵察で始まりデータの持ち出しやランサムウェアなどの有害な行動で締めくくる線形パターンで表現しています.

戦術と手法

MITRE ATT&CK評価の戦術は、その評価の根拠や構成要素を説明しています。攻撃者が行動を起こす目的や狙いは、攻撃戦略の一環として示されています。例えば、敵は有効な身分証明書の入手に関心を持つ場合があります。以下はその一例です。

各手法は複数のグループに分類でき、各グループはハッカーが目的を達成するための一連の脅威分析や手順を示しています.

マルウェアや脅威組織が、MITRE ATT&CKの各手法を用いて企業ネットワークに侵入しようとした例は記録されています。これらの手法は、いわばプレイブックとして、攻撃に備える側に対抗のヒントを与えます。攻撃者はどのような手法でシステムに侵入し、どのようにして発見を逃れているのでしょうか。また、ネットワーク内での動きをどのように捉えることができるのでしょうか。

さらに、より微細な手法であるサブアプローチも存在します。手法が敵の大まかな戦略を示すのに対し、サブ手法はその細部を説明します。例えば、フィッシング手法は3つのサブ手法に分かれ、サイバー犯罪者がフィッシングメールを使ってネットワークに侵入する方法を詳しく示しています.

ATT&CKフレームワーク内の手法は日々拡充しており、現在では先述の14戦術に整理された150を超える手法と270のサブ手法が含まれています.

‍

MITRE ATT&CKフレームワークの手順とは?

各手法やサブ手法が、特定の攻撃者の行動に対してどのように実施されたかが、手順として詳しく記述されています。例えば、「APT1はMimikatzを用いて認証情報のダンプを行う」といった具合です。どの脅威組織がその手法を採用し、いつ実施され、どのツールが使われたかが記されています。こうした情報は、攻撃者の模倣や実際の発生を検知する際に役立ちます。ただし、一部の手順例は攻撃者の模倣を正確に表現するには広すぎる場合があります.

‍

MITRE ATT&CKフレームワーク利用の利点と課題

MITRE ATT&CKフレームワークの利点

ATT&CKの大きな利点は、サイバー攻撃者の習性を学び、侵入、調査、情報窃盗の手口を予測できる点にあります。これにより、攻撃者の視点から物事を捉え、狙いや戦略を深く理解することが可能です。攻撃の兆候をいち早く察知し迅速に対処することで、企業のセキュリティを強化できます。サイバーセキュリティでは、攻撃側の戦術を知ることが、ネットワークやエンドポイント、利用者を守る上で重要な要素です.

さらに、セキュリティ人材が不足する現代において、フレームワークは新人や中堅のセキュリティ担当者に、各脅威に速やかに対応するための知識や分析ツールを提供する助けとなります.

MITRE ATT&CKフレームワーク利用上の課題

マトリックスの規模と種類が増加するにつれ、その複雑性も高まっています。網羅的であるにもかかわらず、膨大な情報量は把握が難しいことがあります.

例えば、ATT&CK for Enterpriseに記載された14の戦術は400を超える手法や攻撃パターンを含み、さらに多くの戦術が専用のサブ手法を持つため、可能な組み合わせは非常に多くなります。しかし、この膨大なデータを既存のセキュリティシステムへ組み込むことは、多くの企業にとって大きな課題となっています.

ネットワークイベントと特定のセキュリティ対策を結びつけるためにフレームワークは広く採用されていますが、UCバークレーの調査では、推奨されるセキュリティポリシーの変更を自動化している企業は半数に満たないとの結果が出ています.

また、モバイルデバイスやエンドポイントのイベントと、クラウドやオンプレミスのイベントを関連付ける際にも課題が生じます.

‍

MITRE ATT&CKとCyber Kill Chainの比較

サイバー攻撃者の行動を分析するもう一つの有名な手法として、ロッキード・マーティンのCyber Kill Chainが挙げられます。モデルは、以下の要素で構成されています:

• 偵察 - 会議情報やメールアドレスなどのデータを収集する.
• 武器化 - 脆弱性利用のコードとバックドアを組み合わせ、攻撃可能なペイロードを作成する.
• 展開 - 電子メール、オンライン、USBなどを通じて攻撃パッケージを送付する.
• 悪用 - 脆弱性を利用して被害者の機器上でコードを実行する.
• マルウェアのインストール - 対象資産に悪意あるソフトを配置する.
• 指揮統制（C2） - 遠隔操作のための指令チャネルを確保する.
• 実行 - キーボードを操作してアクセスを得たハッカーが、本来の目的を果たす.

ユースケース

様々な場面で利用でき、その代表的な用途は以下の通りです.

• 攻撃者模倣 - ATT&CKを用いて、防御対策のテストや評価のための攻撃者模倣シナリオを作成する.
• レッドチーミング - ネットワーク内の防御策を回避するためのレッドチーム作戦の立案と運用に活用する.
• 行動分析の開発 - 特定環境での悪意ある活動を検知するための行動分析を構築・評価する.
• 防御の穴分析 - 組織内の既存防御のツール、監視、対策を評価するための行動重視の標準モデルとして利用する.
• SOCの成熟度評価 - ATT&CKは、SOCの有効性（侵入の検知、解析、対応）を評価するための指標のひとつとなる.
• サイバー脅威インテリジェンスの強化 - 機器に依存しない行動視点から、敵対集団の理解や評価に役立てる.

‍

Mitre ATT&CKの使い方

既知の戦術と手法は、このマトリックス上に視覚的に整理されています。上部で各攻撃手法を確認し、下にスクロールすると詳細が見られます.

Enterprise ATT&CKマトリックスでは、各戦術に対して一つの手法が必要とされ、分類は左から右へ、「Initial Access」（初期アクセス：指揮統制）から始まります。一つの戦術に対しては複数の手法が採用される場合もあります。例えば、スピアフィッシング攻撃では、添付ファイルとリンク先ウェブサイトの両方が試されます.

効果的な攻撃を行うために、マトリックス上部に記載された11の戦術すべてを用いる必要はなく、効率を追求し検知リスクを低減するため、目標達成に必要な最小限の手法が選ばれます.

‍

MITRE ATT&CKフレームワークのツール

このフレームワークは、以下のツールや機能を活用して利用できます.

• ATT&CK Navigator

この便利なオンラインツールを利用すれば、最新のATT&CK手法に合わせてセキュリティ対策を柔軟に調整できます。検知と防御の対策を実施でき、複数レベルの行動分析も可能です。ブラウザ上で直接シンプルな模擬試験ができるほか、より恒久的な環境用にローカルへ移して利用することも可能です.

• MITRE Cyber Analytics Repository (CAR)

MITREは、分析関連のデータベースを公開しています。検査が行われる環境（ホスト、ネットワークなど）を定義するデータ群、具体的なATT&CK TTPへの参照、そして解析手法を示す疑似コードなど、大規模なデータセットが提供されています.

• Red Canary Atomic Red Team

MITRE ATT&CKフレームワークに基づくこの無料ソフトは、悪意ある活動を模擬することができます。セキュリティチームが対策の有効性を検証するための小規模なテストスイートで、必要最小限の構成要素で設計され、自動化ツールにも利用しやすい仕様となっています.

‍

結論

要するに、このフレームワークはサイバー脅威と攻撃に関する情報を整理・理解するためのものです。攻撃者の戦術、手法、手順（TTP）を記述・分析する共通の言語として機能し、企業が脅威検知と対応力を向上させるのに寄与します。これを利用することで、企業はセキュリティ体制を強化し、直面する脅威をより深く理解できるようになります.