MITRE ATT&CK®（マイターアタック）とは?概要と活用事例

近年、サイバー攻撃が高度化・多様化する中、MITRE ATT&CK®（マイターアタック）が注目を集めています。本コラムでは、MITRE ATT&CKの概要、構成要素、活用事例など、基本事項を中心に初心者にもわかりやすく解説します。

MITRE ATT&CKとは

MITRE ATT&CK（マイターアタック）※１は、実際に発生したサイバー攻撃の事例を基に、攻撃者の戦術（Tactics）とテクニック（Techniques）をモデル化し、それらを検出する方法や緩和策※２を示したナレッジベース※３です。米国に本部を置く非営利団体「The MITRE Corporation」によって作成されました。簡単に言うと、MITRE ATT&CKは、攻撃者の攻撃手法と、それに対する防御手法が体系的に整理されたものです。これにより、どのような攻撃が行われるか、そしてそれに対してどのように防御すればよいかがわかります。ATT&CKは、攻撃者によるコンピュータネットワーク内での活動に焦点を当てています。ATT&CKは、民間企業、政府機関など、多くの組織で活用され、また、サイバーセキュリティ製品やサービスを開発する際にも活用されています。

※１：ATT&CK（アタック）とは、"Adversarial Tactics, Techniques, and Common Knowledge"の頭文字で、「攻撃者の戦術、テクニック、共通知識」のことです。
※２：緩和策とは、サイバー攻撃の影響を減らすための具体的な対策のことです。
※３：ナレッジベースとは、特定の分野に関する情報や知識を体系的に整理・集約したデータベースのことです。

ATT&CKの歴史

ATT&CKの最初のモデルは2013年9月に作成され、主に企業や組織で使用されるWindows環境に焦点を充てていました。ATT&CKは、研究開発を通じてさらに改良され、その後、2015年5月に96個のテクニックを9つの戦術に整理して一般公開されました。2017年にはMacOSやLinuxにも対応できるよう拡充され、また同年にはモバイル版、2019年にクラウド版、2020年にICS（産業用制御システム）版、2020年にサブテクニックが追加されるなど、年々進化を遂げています。2025年3月19日現在、ATT&CK v16.1がリリースされています。

ATT&CKの構成要素

ATT&CKを構成する主な要素は以下のとおりです。

Tactics（タクティクス：戦術）

攻撃者の戦術的な目標

Techniques（テクニック）

攻撃者が戦術的な目標を達成するために取りうる方法

Sub-techniques（サブテクニック）

攻撃者が使用する、より具体的なテクニック

Procedures（プロシジャー：手順）

攻撃者がテクニックを使用する手順

この他にも、攻撃者グループの情報、攻撃者が使用するソフトウェアの情報、攻撃者の行動を検知するための方法、攻撃に対する緩和策など、サイバー攻撃に係る様々な情報が体系的・網羅的に整理されています。

ATT&CKマトリクスと技術領域（テクノロジードメイン）

ATT&CKは、横軸に戦術、縦軸にテクニックを配置したマトリクス構造によって視覚化されています。また、テクニックはサブテクニックによってさらに細分化されています。さらに、ATT&CKは、WindowsやMacOSに関わる「エンタープライズ」、スマートフォンなどの「モバイル」、産業用制御システムの「ICS」の３つの技術領域が用意されており、それぞれの技術領域の戦術とテクニックを視覚化したものは、エンタープライズマトリクス、モバイルマトリクス、ICSマトリクスと呼ばれています。
それぞれの技術領域に対応するOSやアプリケーションなどのプラットフォームは以下の通りです。

・エンタープライズ：Windows, macOS, Linux, PRE, Office Suite, Identity Provider, SaaS, IaaS, Network, Containers.
・モバイル：Android, iOS
・ICS（Industrial Control Systems：産業用制御システム）：Basic Process Control Systems, Safety Instrumented System and Protection Systems, Engineering and Maintenance Systems

出典：（Matrix - Enterprise | MITRE ATT&CK®）https://attack.mitre.org/matrices/enterprise/

ATT&CKの活用事例

ATT&CKは民間企業、政府機関、サイバーセキュリティ製品・サービスの開発ベンダーなど、様々な組織で活用されていますが、ここではMITREが公表している活用事例をご紹介します。※４

※４: MITRE ATT&CK: Design and Philosophy
https://attack.mitre.org/docs/ATTACK_Design_and_Philosophy_March_2020.pdf

攻撃者のエミュレーション（手口の模倣）

ATT&CKは、サイバー攻撃に対する防御策のテストと効果の確認に活用することができます。具体的には、攻撃者がどのように攻撃を行うかをシナリオとして作成し、それに対する防御策を試すことができます。また、ATT&CKに記載されている情報を使って、特定の攻撃者グループの特徴や行動パターンを理解することができます。

レッドチーム※５

ATT&CKは、レッドチームの計画を作成し、ネットワーク内に導入されている防御手段を回避するための手法を編成するためのツールとして活用できます。また、一般的な防御では検知されにくい新しい攻撃方法を開発するためのツールとしても活用できます。

※５ レッドチームとは、組織のセキュリティの脆弱性を検証するためなどの目的で設置されたチームのことで、対象組織に対してサイバー攻撃をしかける役割を担います。

行動分析機能の開発

ATT&CKは、攻撃者のふるまいを検出するための行動分析機能を構築およびテストするためのツールとして活用できます。

防御ギャップアセスメント

防御ギャップアセスメントにより、組織のどの部分に防御や可視性が欠けているかを判断することが出来ますが、ATT&CKは、組織内の既存の防御ツール、モニタリング、および緩和策を評価するための一般的な攻撃者モデルとして活用することができます。

SOC成熟度評価

ATT&CKは、組織に設置されたセキュリティオペレーションセンター（SOC）の検知、分析、対応能力の有効性（SOCの成熟度）を評価するための1つの指標として活用できます。

サイバー脅威インテリジェンスの強化

ATT&CKは、サイバー脅威と攻撃者グループに関する情報を使って、攻撃者グループの特徴や行動パターンを理解することができます。また、複数の攻撃者グループが同じテクニックをどのように使用しているかを理解することで、効果的な防御策を選択し集中させることができます。

まとめ

MITRE ATT&CKおよびATT&CKは、The MITRE Corporationの登録商標です。