MITRE ATT&CK®(マイターアタック)とは

MITRE ATT&CK(マイターアタック)とは
2024.8.28

サイバー攻撃の脅威が日々高まる中、MITRE ATT&CK®が注目を集めています。
MITRE ATT&CKは非常に奥が深く、説明は容易ではないないため、 本コラムでは、まずは前段として、MITRE ATT&CKの概念や基本事項を中心に解説していきます。

セキュリティ無料相談

目次

MITRE ATT&CKとは

MITRE ATT&CK※1は、実世界の観察に基づくサイバー攻撃者がとる戦術(Tactics)とテクニック(Techniques)をモデル化し、それらを検出する方法や緩和策を示したナレッジベースで、米国に本部を置く非営利団体「The MITRE Corporation(以下、MITREとする)」によって作成されました。
ATT&CKは、サイバー攻撃者がコンピュータネットワーク内でどのように侵害し、活動するかについて焦点を当てています。ATT&CKは、民間企業、政府機関など、多くの組織で活用され、また、サイバーセキュリティ製品やサービスを開発する際にも活用されています。

※1:"Adversarial Tactics, Techniques, and Common Knowledge"の頭文字で、直訳すると「攻撃者の戦術、技術、そして共通知識」となる

ATT&CKの歴史

ATT&CKは、MITREの研究プロジェクトにおいてサイバー攻撃者の行動を体系的に分類・整理する必要性から生まれました。
最初のATT&CKモデルは2013年9月に作成され、主にWindowsのエンタープライズ環境に焦点を充てていました。ATT&CKは、研究開発を通じてさらに改良され、その後、2015年5月に96個のテクニックを9つの戦術に整理して一般公開されました。
2017年にはMacOSやLinuxにも対応できるよう拡充され、また同年にはモバイル版、2019年にクラウド版、2020年にICS(産業用制御システム)版、2020年にサブテクニックが追加されるなど、年々進化を遂げています。2024年8月23日現在、ATT&CK v15.1がリリースされています。

ATT&CKの構成要素

ATT&CKを構成する主な要素は以下のとおりです。

Tactics(戦術)

 サイバー攻撃者の戦術的な目的、すなわち行動を実行する「理由」を表します。


Techniques(テクニック)

 サイバー攻撃者がある行動を実行することによって戦術的な目標を達成する「方法」を表します。


Sub-techniques(サブテクニック)

 サイバー攻撃者が使用する、より具体的なテクニックを示します。


Procedures(手順)

 サイバー攻撃者がテクニックを使用する手順を示します。

この他にも、サイバー攻撃者グループの情報、サイバー攻撃者が使用するソフトウェアの情報、サイバー攻撃者の行動を検知するための方法、攻撃に対する緩和策など、サイバー攻撃に係る様々な情報が体系的・網羅的に整理されています。

ATT&CKマトリクスとテクノロジードメイン(技術領域)

ATT&CKは、横軸に戦術、縦軸にテクニックおよびサブテクニックを配置したマトリクス構造によって視覚化されています。また、ATT&CKは、WindowsやMacOSに関わるエンタープライズ、スマートフォンなどのモバイル、産業用制御システムのICSの3つの大枠のグループが用意されており、それぞれのグループの戦術とテクニックを視覚化したものは、エンタープライズマトリクス、モバイルマトリクス、ICSマトリクスと呼ばれています。

mitermatrix
出典:(Matrix - Enterprise | MITRE ATT&CK®)https://attack.mitre.org/matrices/enterprise/



それぞれのグループが対応する技術領域は以下の通りです。

エンタープライズ

 Windows, macOS, Linux, Azure AD, Office 365, Google Workspace, SaaS, IaaS, Network, Containers


モバイル

 Android, iOS


ICS

 Basic Process Control Systems, Safety Instrumented System and Protection Systems, Engineering and Maintenance Systems

ATT&CKの活用方法

ATT&CKは様々な組織・分野で活用されていますが、ここではMITREが公表している活用方法をご紹介します。※2

※2: MITRE ATT&CK: Design and Philosophy
https://attack.mitre.org/docs/ATTACK_Design_and_Philosophy_March_2020.pdf

サイバー攻撃者のエミュレーション(手口の模倣)

ATT&CKは、一般的な攻撃に対する防御をテストし検証するために、サイバー攻撃者の攻撃シナリオの作成ツールとして活用することができます。また、ATT&CKに記述されている情報から、特定のサイバー攻撃者グループのプロファイルを構築することができます。

レッドチーム

ATT&CKは、レッドチーム(※3)の計画を作成し、ネットワーク内に導入されている防御手段を回避するための手法を編成するためのツールとして活用できます。また、一般的な防御では検知されにくい新しい攻撃方法を開発するためのツールとしても活用できます。

※3 組織のセキュリティの脆弱性を検証するためなどの目的で設置されたチームのことで、対象組織に対してサイバー攻撃をしかける役割を担う

行動分析機能の開発

ATT&CKは、サイバー攻撃者のふるまいを検出するための行動分析機能を構築およびテストするためのツールとして活用できます。

防御ギャップアセスメント

防御ギャップアセスメントにより、組織のどの部分に防御や可視性が欠けているかを判断することが出来ますが、ATT&CKは、組織内の既存の防御ツール、モニタリング、および緩和策を評価するための一般的なサイバー攻撃者モデルとして活用することができます。

SOC成熟度評価

ATT&CKは、組織に設置されたセキュリティオペレーションセンターの検知、分析、対応能力の有効性(SOCの成熟度)を評価するための1つの指標として活用できます。

サイバー脅威インテリジェンスの強化

ATT&CKは、サイバー脅威とサイバー攻撃者グループに関する情報を網羅しているために、サイバー攻撃者グループのプロファイルを理解するのに役立ちます。また、複数のサイバー攻撃者グループが同じテクニックをどのように使用しているかを理解することで、効果的な防御策を選択し集中させることができます。

まとめ

ここまで、前段として、MITRE ATT&CKに関する概念や基本事項を中心に解説してきました。読者の皆様の中には、MITRE ATT&CKを自組織で活用してみたいと思われた方も多いのではないでしょうか。MITRE ATT&CKは、様々な組織や分野で活用できる非常に優れたフレームワークです。是非、自組織のセキュリティ対策など、様々な場面でご活用ください。

MITRE ATT&CKおよびATT&CKは、The MITRE Corporationの登録商標です。

セキュリティ無料相談