サイバー攻撃が日々巧妙化し、その件数も増加傾向にある現代において、組織的なセキュリティ対策は不可欠です。そんな中、注目を集めているのが「MITRE ATT&CK®(マイターアタック)」フレームワークです。このフレームワークは、実際に観測されたサイバー攻撃に基づき、攻撃者が使用する戦術や技術を体系的にまとめたナレッジベースであり、世界中のセキュリティ専門家にとって重要なリソースとなっています。
本記事では、MITRE ATT&CKの基本的な概念から、その構成要素、具体的な活用方法、そしてメリットについて、初心者にも分かりやすく解説していきます。サイバーセキュリティ対策を強化したいと考えている方は、ぜひご一読ください。😊
MITRE ATT&CK®とは何か?
MITRE ATT&CKは、米国の非営利団体であるMITRE Corporationによって2013年に開発され、2015年に一般公開されました。ATT&CKは「Adversarial Tactics, Techniques, and Common Knowledge」の略称で、「敵対的な戦術、技術、および共通知識」を意味します。
これは単なる理論ではなく、実際に世界中で発生したサイバー攻撃の事例を分析し、攻撃者がどのような目的(戦術)で、どのような手段(技術)を用いたかを詳細に分類・整理した知識の集合体です。いわば、サイバー攻撃者の「攻撃手順書」や「行動カタログ」のようなものです。
MITRE ATT&CKが注目される主な理由は以下の2点です。
- 動的なナレッジ運用: サイバー攻撃の手法は絶えず進化しています。MITRE ATT&CKは、最新の脅威情報やフォレンジック調査の結果などを基に、頻繁に更新され続けており(通常、年に2回メジャーアップデート)、常に最新の攻撃動向を反映しています。現在の最新バージョンは MITRE ATT&CK v16.1 (2024年10月31日リリース) です。
- 攻撃サイクルの網羅性: 攻撃者が初期の偵察活動から最終的な目的達成(情報窃取やシステム破壊など)に至るまでの一連の行動(サイバーキルチェーン)を網羅的にカバーしています。これにより、攻撃の各段階でどのようなリスクが存在し、どのような対策が有効かを具体的に検討することができます。
- 共通言語の提供: ATT&CKは、攻撃手法や技術に関する世界標準の共通言語を提供します。これにより、組織内や業界全体でセキュリティに関する情報を共有し、連携する際のコミュニケーションを円滑にします。
💡 MITRE Corporationとは?
MITRE Corporationは、米国政府の資金提供を受けて運営されている非営利団体です。連邦政府機関の研究開発センター(FFRDC)を運営し、サイバーセキュリティ、航空交通管制、医療情報学など、多岐にわたる分野で公共の利益のための技術開発や分析を行っています。脆弱性情報データベースであるCVE(Common Vulnerabilities and Exposures)の採番・管理も行っていることで知られています。
MITRE ATT&CK®の構成要素
MITRE ATT&CKは、いくつかの主要な構成要素から成り立っています。これらを理解することが、ATT&CKを効果的に活用するための第一歩となります。
1. 戦術 (Tactics)
戦術は、攻撃者が攻撃を実行する上での短期的な技術的目的、「なぜ」その行動を取るのかを示します。これはサイバー攻撃における「フェーズ」と捉えることもできます。例えば、「初期アクセスを得る」「権限を昇格する」「防御を回避する」などが戦術にあたります。
Enterprise ATT&CKマトリックスでは、現在14の戦術が定義されています。
| 戦術 (ID) | 日本語名 | 目的 |
|---|---|---|
| Reconnaissance (TA0043) | 偵察 | 攻撃計画のための情報収集 |
| Resource Development (TA0042) | リソース開発 | 攻撃に必要なリソース(インフラ、アカウント、能力など)の確立 |
| Initial Access (TA0001) | 初期アクセス | ターゲットネットワークへの侵入 |
| Execution (TA0002) | 実行 | 侵入後のシステムでの悪意のあるコードの実行 |
| Persistence (TA0003) | 永続性 | システム再起動後などもアクセスを維持 |
| Privilege Escalation (TA0004) | 権限昇格 | より高いレベルの権限(管理者権限など)の獲得 |
| Defense Evasion (TA0005) | 防御回避 | 検知メカニズムの回避 |
| Credential Access (TA0006) | 認証情報アクセス | アカウント名やパスワードなどの認証情報の窃取 |
| Discovery (TA0007) | 探索 | 内部ネットワーク環境の把握(システム、設定、接続など) |
| Lateral Movement (TA0008) | 水平展開 | ネットワーク内の他のシステムへのアクセス拡大 |
| Collection (TA0009) | 情報収集 | 攻撃目標に関連するデータの収集 |
| Command and Control (TA0011) | コマンド&コントロール (C2) | 侵害したシステムとの通信・制御 |
| Exfiltration (TA0010) | 持ち出し | ネットワークからのデータ窃取 |
| Impact (TA0040) | 影響 | システムの可用性や完全性の妨害、破壊、操作 |
2. 技術 (Techniques)
技術は、攻撃者が特定の戦術目標を達成するために用いる具体的な手段、「どのように」目的を達成するかを示します。各技術には一意のIDが付与されています(例: T1566 – Phishing)。
例えば、「初期アクセス」という戦術を達成するための技術としては、「フィッシング (T1566)」、「外部向けアプリケーションの悪用 (T1190)」、「有効なアカウントの利用 (T1078)」などがあります。Enterprise ATT&CKには現在190以上の技術が存在します (バージョン16.1時点)。
3. サブテクニック (Sub-techniques)
サブテクニックは、技術をさらに具体化した手段です。すべての技術にサブテクニックがあるわけではありませんが、より詳細な攻撃行動を表現するために導入されました。技術IDの後にドットと番号が付きます(例: T1566.001 – Spearphishing Attachment)。
例えば、「フィッシング (T1566)」という技術には、「スピアフィッシング添付ファイル (T1566.001)」、「スピアフィッシングリンク (T1566.002)」、「スピアフィッシング Voice (T1566.003)」といったサブテクニックが存在します。Enterprise ATT&CKには400以上のサブテクニックがあります (バージョン16.1時点)。
4. 手順 (Procedures)
手順は、特定の攻撃者グループ(APTグループなど)やマルウェアが、実際に技術やサブテクニックをどのように使用したかの具体的な事例を示します。「APT28はT1566.001(スピアフィッシング添付ファイル)を使用してマルウェアを配布した」といった記述が手順にあたります。これにより、技術が実際にどのように悪用されるかを理解することができます。
5. 緩和策 (Mitigations)
緩和策は、特定の技術やサブテクニックの実行を阻止または影響を軽減するためのセキュリティ対策や設定です。これらは具体的な製品ではなく、セキュリティの概念やクラスを示します(例: M1049 – Antivirus/Antimalware、M1053 – Data Backup、M1026 – Privileged Account Management)。各技術ページには、関連する緩和策がリストアップされています。
6. グループ (Groups)
グループは、特定の攻撃活動を行う攻撃者集団(APTグループなど)や、攻撃キャンペーンを指します。各グループページには、そのグループが使用すると観測されている戦術、技術、ソフトウェアなどが記載されています(例: G0007 – APT28)。現在、100以上のグループ情報が登録されています。
7. ソフトウェア (Software)
ソフトウェアは、攻撃者が攻撃活動で使用するツール、マルウェア、その他のユーティリティを指します。これには、カスタムメイドのマルウェア(例: S0002 – Mimikatz)だけでなく、正規のツールが悪用されるケース(例: S0357 – PsExec)も含まれます。各ソフトウェアページには、関連する技術やグループが記載されています。
8. データソース (Data Sources) / コンポーネント (Components)
データソースは、攻撃者の技術を検知するために監視すべきログやイベントの種類を示します(例: Process: Process Creation、Network Traffic: Network Connection Creation)。データソースコンポーネントは、データソース内のより具体的な情報フィールドを指します(例: Process CreationのCommand-Line Parameters)。これにより、どのログを収集・分析すれば特定の攻撃技術を検知できるかの指針となります。
9. マトリクス (Matrices)
マトリクスは、上記の戦術と技術(およびサブテクニック)を視覚的に整理した表です。縦軸に戦術、横軸に技術が配置され、攻撃者が取りうる行動全体を俯瞰することができます。MITRE ATT&CKには、対象とするプラットフォームに応じて複数のマトリクスが存在します。
- Enterprise Matrix: Windows, macOS, Linux, PRE (攻撃準備段階), Network, Containers, Cloud (Azure AD, Office 365, Google Workspace, SaaS, IaaS) など、企業環境全体を対象とします。これが最も広く利用されているマトリクスです。
- Mobile Matrix: Android, iOS など、モバイルデバイスを対象とします。デバイスへの直接アクセスだけでなく、ネットワークベースの攻撃も含まれます。
- ICS Matrix: 産業制御システム (Industrial Control Systems) や運用技術 (Operational Technology, OT) 環境を対象とします。電力網や製造プラントなど、重要インフラへの脅威に焦点を当てています。
これらのマトリクスは MITRE ATT&CK公式サイト でインタラクティブに閲覧できます。🖱️
MITRE ATT&CK®の活用方法
MITRE ATT&CKは、単なる知識ベースではなく、様々なセキュリティ活動において実践的に活用できる強力なツールです。以下に主な活用方法を挙げます。
1. 脅威インテリジェンス (Threat Intelligence) 🕵️♀️
特定の攻撃者グループ(APTなど)やマルウェアに関するレポートを読む際、ATT&CKのTTP(戦術、技術、手順)にマッピングすることで、攻撃者の行動パターンを構造的に理解できます。自組織に関連性の高い脅威グループがどのようなTTPを用いるかを把握し、対策の優先順位付けに役立てます。ATT&CKは脅威情報を共有する際の共通言語としても機能します。
2. 検知と分析 (Detection and Analytics) 📊
ATT&CKの技術とデータソース情報を利用して、セキュリティ監視・検知ルールの開発や改善を行います。「どの技術を検知したいか」「そのためにはどのデータソースが必要か」「どのような分析ロジックを組むべきか」を具体的に検討できます。SIEMやEDRのルール作成、脅威ハンティングの仮説立案などに活用されます。
3. 敵対的エミュレーションとレッドチーミング (Adversary Emulation and Red Teaming) ⚔️
レッドチーム(攻撃シミュレーションを行うチーム)が、特定の攻撃者グループのTTPを模倣した攻撃シナリオを作成・実行する際の指針としてATT&CKを利用します。これにより、現実的な脅威に対する自組織の防御・検知・対応能力を実践的にテストし、弱点を特定できます。ATT&CKにマッピングされたオープンソースのテストツール(例: Atomic Red Team, Caldera)も存在します。
4. ギャップ分析とセキュリティ評価 (Assessment and Engineering) 🧐
自組織のセキュリティ対策(導入済みツール、設定、プロセスなど)が、ATT&CKマトリックス上のどのTTPをカバーできているか(あるいはできていないか)を評価します。これにより、セキュリティ対策の抜け漏れ(ギャップ)を特定し、投資や改善の優先順位を決定できます。SOC(Security Operation Center)の成熟度評価にも利用されます。
5. 脅威ハンティング (Threat Hunting) 🏹
ATT&CKのTTPを基に、「もしこの攻撃技術が使われたら、どのような痕跡が残るはずか?」という仮説を立て、能動的にネットワークやエンドポイント内の脅威を探す活動(脅威ハンティング)のガイドとして利用します。これにより、従来の受動的なアラート監視では見逃してしまう可能性のある脅威を発見することが期待できます。
6. セキュリティベンダー評価
セキュリティ製品やサービスが、どのATT&CK技術に対応しているかを評価する基準として利用できます。MITRE自身も、ATT&CK Evaluationsというプログラムを通じて、主要なセキュリティベンダーの製品が特定のAPTグループの攻撃をどの程度検知・防御できるかを評価し、その結果を公開しています。
MITRE ATT&CK®と他のフレームワークとの違い
サイバーセキュリティの分野には、MITRE ATT&CK以外にもいくつかの有名なフレームワークが存在します。代表的なものとの違いを見てみましょう。
サイバーキルチェーン (Cyber Kill Chain)
ロッキード・マーティン社によって提唱されたモデルで、攻撃を7つの段階(偵察、武器化、配送、攻撃、インストール、C2、目的の実行)に分けて捉えます。攻撃全体の流れを大まかに理解するには有効ですが、各段階での具体的な攻撃手法やツールに関する情報はATT&CKほど詳細ではありません。ATT&CKは、特にキルチェーンの「配送」以降のフェーズをより細分化し、具体的な技術レベルまで掘り下げています。ATT&CKはキルチェーンを包含し、さらに発展させたものと捉えることができます。
NIST サイバーセキュリティフレームワーク (CSF)
米国国立標準技術研究所(NIST)が発行しているフレームワークで、「特定」「防御」「検知」「対応」「復旧」という5つのコア機能に基づき、組織がサイバーセキュリティリスクを管理するためのベストプラクティスや標準を提示します。CSFはリスク管理と組織全体のセキュリティプログラム構築に焦点を当てているのに対し、ATT&CKは攻撃者の具体的な行動(TTP)に焦点を当てています。両者は補完関係にあり、組み合わせて活用されることも多いです。
ISO/IEC 27000シリーズ
情報セキュリティマネジメントシステム(ISMS)に関する国際標準規格群です。組織が情報セキュリティを確立、導入、運用、監視、レビュー、維持、改善するための要件やガイドラインを提供します。NIST CSFと同様に、組織的な管理体制やプロセスに重点を置いており、ATT&CKのような具体的な攻撃技術の詳細には触れません。
🔑 要点:
ATT&CKは、他のフレームワークと比較して、攻撃者の具体的な「戦術」と「技術」に深く焦点を当てている点が最大の特徴です。これにより、より実践的な脅威分析、検知ルール作成、防御策の評価などが可能になります。
MITRE ATT&CK®を活用するメリット
- 脅威ベースの防御戦略: 実際に観測された攻撃者の行動に基づいて対策を立てるため、より効果的で現実的な防御戦略を策定できます。
- セキュリティ投資の最適化: 自組織にとってリスクの高いTTPを特定し、それに対する防御や検知能力を強化することで、限られたリソースを効果的に配分できます。
- 共通言語による連携強化: 組織内外のセキュリティ担当者間での情報共有や連携がスムーズになります。
- セキュリティ成熟度の向上: ATT&CKを基準に自組織の能力を評価し、継続的に改善していくことで、セキュリティ対策全体のレベルアップにつながります。
- 網羅的なリスク分析: 既知の攻撃手法を網羅的にリストアップしているため、自社のセキュリティ対策との比較により、潜在的な脆弱性や対策の漏れを発見しやすくなります。
まとめ
MITRE ATT&CKは、現代の複雑化するサイバー脅威に対抗するための強力な武器となるフレームワークです。攻撃者の戦術と技術を深く理解し、それを自組織のセキュリティ対策に活かすことで、よりプロアクティブで効果的な防御体制を構築することが可能になります。🚀
最初は情報量の多さに圧倒されるかもしれませんが、まずは自組織に関連性の高い脅威や関心のある分野から少しずつ触れていくことをお勧めします。公式サイトには豊富な情報やツールが用意されていますので、ぜひ活用してみてください。継続的に情報を収集し、ATT&CKを使いこなすことで、組織のサイバーレジリエンス向上に大きく貢献できるでしょう。💪
より詳細な情報や最新情報については、MITRE ATT&CK® 公式サイト を参照してください。
コメント