サイバー攻撃の「手口」を知ろう! 🕵️ CAPEC入門

用語解説
ATT&CKCAPECサイバー攻撃セキュリティ対策脆弱性

初心者向けにCAPEC(キャペック)をわかりやすく解説します。

🤔 CAPECって何?

CAPEC(Common Attack Pattern Enumeration and Classification)は、日本語に訳すと「共通攻撃パターンの列挙と分類」となります。なんだか難しそうですね?😅 でも、心配いりません!

簡単に言うと、CAPECはサイバー攻撃者がよく使う「手口」や「攻撃パターン」を集めて、整理・分類したカタログのようなものです。このカタログは、セキュリティ専門家だけでなく、ソフトウェア開発者やシステム管理者、教育者など、多くの人が利用できるように公開されています。

CAPECは、CVE(共通脆弱性識別子)の採番やATT&CKフレームワークで知られる米国の非営利団体MITRE社によって運営されています。2007年にアメリカ合衆国国土安全保障省の主導で始まりました。

その主な目的は、「攻撃パターンを理解することで、システムやソフトウェアの弱い部分(脆弱性)を見つけやすくし、より効果的な防御策を立てられるようにすること」です。攻撃者の視点を持つことで、先回りして対策を考えられるようになるんですね!🛡️

📂 CAPECはどんな風に整理されているの?

CAPECには数百もの攻撃パターンが登録されています(2023年1月時点のバージョン3.9では559種)。これらは、いくつかの視点から分類されています。

主な分類方法

CAPECのウェブサイトでは、主に2つの大きな分類方法で攻撃パターンを探すことができます。

分類方法説明具体例
攻撃のメカニズム (Mechanisms of Attack)攻撃が「どのように」行われるか、その手法や仕組みに基づいた分類です。
  • 欺瞞的なやり取り (Engage in Deceptive Interactions):フィッシングなど
  • 既存機能の悪用 (Abuse Existing Functionality)
  • 予期せぬ項目の注入 (Inject Unexpected Items):SQLインジェクション、クロスサイトスクリプティングなど
  • データ構造の操作 (Manipulate Data Structures):バッファオーバーフローなど
  • システムリソースの操作 (Manipulate System Resources)
  • 確率的手法の利用 (Employ Probabilistic Techniques):総当たり攻撃など
  • タイミングと状態の操作 (Manipulate Timing and State)
  • 情報の収集と分析 (Collect and Analyze Information):盗聴など
  • アクセス制御の回避 (Subvert Access Control)
攻撃のドメイン (Domains of Attack)攻撃が「何に対して」行われるか、その対象領域に基づいた分類です。
  • ソフトウェア (Software)
  • ハードウェア (Hardware)
  • 通信 (Communications)
  • サプライチェーン (Supply Chain)
  • ソーシャルエンジニアリング (Social Engineering)
  • 物理セキュリティ (Physical Security)

各攻撃パターンの情報

個々の攻撃パターン(例:CAPEC-66: SQLインジェクション)には、以下のような詳細情報が含まれています。

  • 説明 (Description): 攻撃の概要
  • 実行フロー (Execution Flow): 攻撃がどのように進むかの手順
  • 前提条件 (Prerequisites): 攻撃が成功するために必要な条件
  • 必要なスキルやリソース (Skills or Resources Required): 攻撃者が持つべきスキルレベルや必要なツールなど
  • 影響を受ける可能性のある脆弱性 (Related Weaknesses): 関連するCWE(共通脆弱性タイプ一覧)のID
  • 緩和策 (Mitigations): 攻撃を防ぐための対策方法
  • 関連する攻撃パターン (Related Attack Patterns): 似ている、あるいは関連する他のCAPEC ID
  • 実例 (Examples): 実際の攻撃事例(ただし、具体的な事件名ではなく、どのような状況で使われたかの説明が多い)
このように、CAPECは単に攻撃の名前をリストアップするだけでなく、その手口、必要な条件、対策まで含めて詳しく解説しています。

🤝 他のセキュリティ用語との関係 (CWE, ATT&CK)

セキュリティの世界には、CAPEC以外にも似たような目的を持つ用語やフレームワークがあります。特にCWEとATT&CKはCAPECと密接に関連しています。

用語/フレームワーク簡単な説明CAPECとの関係
CWE (Common Weakness Enumeration)
共通脆弱性タイプ一覧		ソフトウェアやハードウェアにおける脆弱性の「種類」を分類したもの。「どんな弱点があるか」のカタログ。CAPECの攻撃パターンは、特定のCWE(弱点)を悪用する形で実行されることが多いです。CAPECは「どのように攻撃するか」、CWEは「どの弱点を突くか」を示します。多くのCAPECパターンは関連するCWEにリンクされています。
ATT&CK (Adversarial Tactics, Techniques & Common Knowledge)サイバー攻撃者が攻撃キャンペーン全体を通して使う「戦術」や「技術」を体系化したもの。偵察から目的達成までの一連の行動を記述。ネットワーク防御に重点。CAPECは主にアプリケーションセキュリティに焦点を当て、個々の攻撃手口を詳述します。一方、ATT&CKは攻撃者の一連の行動全体を捉えます。CAPECの攻撃パターン(手口)は、ATT&CKのより大きな戦術や技術の一部として使われることがあります。両者は相互に参照し合っており、合わせて使うことでより深く攻撃を理解できます。

例えるなら… 🚗💨

  • CWE: 車のドアロックが壊れやすい (弱点の種類)
  • CAPEC: 特殊な工具を使って壊れたドアロックを開ける方法 (具体的な攻撃手口)
  • ATT&CK: ターゲットの車を偵察し(戦術)、夜間に特殊工具でドアを開け(技術/CAPECの手口を含む)、エンジンをかけて盗み去る(一連の攻撃行動)
CAPECはCWEと連携して「どんな弱点が、どんな手口で狙われるか」を理解するのに役立ち、ATT&CKと連携して「攻撃者が一連の作戦の中で、その手口をどう使うか」を理解するのに役立ちます。

💡 CAPECはどうやって使うの?

CAPECは、様々な場面で活用できます。攻撃者の手口を知ることで、より効果的なセキュリティ対策が可能になります。

  • ソフトウェア/システム開発:
    • 設計段階での脅威分析 (Threat Modeling): 開発するシステムがどのような攻撃パターンに狙われやすいかを事前に洗い出し、設計に反映させることができます。
    • セキュアコーディング教育: 開発者が具体的な攻撃パターンとその原因(関連するCWE)を学ぶことで、脆弱なコードを書いてしまうリスクを減らせます。
  • セキュリティテスト:
    • ペネトレーションテストの計画: 既知の攻撃パターンを参考に、テスト対象に対してどのような攻撃を試みるべきか計画を立てるのに役立ちます。
    • テスト結果の分析: 発見された脆弱性が、どの攻撃パターンにつながる可能性があるかを評価できます。
  • インシデント対応と分析:
    • 発生したインシデントがどの攻撃パターンに該当するかを分類し、理解を深めることができます。
  • セキュリティ教育・啓発:
    • 従業員や関係者に対して、具体的な攻撃の手口(特にソーシャルエンジニアリングなど)を説明し、注意喚起を行う際の教材として利用できます。
  • サプライチェーンリスク管理:
ただし、CAPECだけでは攻撃活動全体の流れや攻撃経路を完全に把握することは難しい場合があります。そのような場合は、ATT&CKなど他のフレームワークと組み合わせて利用することが推奨されます。

まとめ ✨

CAPECは、サイバー攻撃者の「手口」を集めた貴重な知識ベースです。これを活用することで、私たちは攻撃者の視点を持ち、より効果的なセキュリティ対策を計画・実行することができます。

  • ✅ CAPECは攻撃パターンのカタログ
  • MITRE社が運営
  • 攻撃の仕組み攻撃対象で分類されている
  • ✅ 各パターンには詳細な説明、手順、対策が含まれる
  • CWE(弱点の種類)やATT&CK(攻撃者の戦術・技術)と関連付けて理解すると効果的
  • ✅ 開発、テスト、教育など様々な場面で活用できる

セキュリティ対策は難しく感じるかもしれませんが、CAPECのようなツールを使って攻撃を知ることから始めてみましょう! 💪

より詳しく知りたい方は、ぜひ公式のMITRE CAPEC™ 公式サイト(英語)も覗いてみてください。

コメント

タイトルとURLをコピーしました