MITRE ATT&CKは、「Adversarial Tactics, Techniques, and Common Knowledge」の略であり、特定のサイバー脅威モデルや手法を開発するための基盤として利用できる、攻撃者の戦術と技術に関する公開ナレッジベースです。
目次
このナレッジベースは、次の3つのコンセプトに基づいて開発されました。
攻撃者の視点を保持する
実例に基づき、実際の攻撃活動を追跡する
攻撃側の行動と防御側の対策を橋渡しするために、適切な抽象化レベルを維持する
MITRE ATT&CKは、攻撃者のアプローチを記述する方法を業界内で定義し、標準化するのに役立ちます。一般的な戦術、技術、手順であるTTP(戦術・技術・手順)を収集・分類し、その情報をフレームワークとして体系化します。
3つ目のコンセプト、つまり攻撃手法と防御側で実施可能な対策を橋渡しするための適切な抽象化レベルは、ATT&CKの構造を理解する上で特に重要です。情報は、IPアドレス、URL、マルウェアのシグネチャ情報といった個別・具体的な情報ではなく、抽象度の高い情報として整理されます。
コンセプトの基盤にあるのは、いわゆるTTPに基づいて攻撃を分析することです。主に、技術(Technique)に関する知見を習得し、整理します。
戦術(Tactics):攻撃者の短期的な目標
技術(Techniques):攻撃者が目的を達成するための手段
手順(Procedures):攻撃者が技術を利用するための具体的な方法
このフレームワークは、攻撃者がどのように行動し、何をしようとしているのか、そしてどのようにしてそれを実行しようとしているのかを説明するのに役立ちます。
共通言語とフレームワークを持つことは、脅威の迅速な共有・理解・対処に不可欠です。
MITRE ATT&CKは、サイバーセキュリティ担当者にとって不可欠なナレッジベースとなり、セキュリティ運用の効率化と対処時間の短縮に貢献しています。毎年実施されるMITRE Evaluation(評価)は、業界全体のイノベーションを比較し、進化する脅威環境を検知・対処するために必要なソリューションを提示します。
参考資料はこちら
この種のフレームワークは、情報セキュリティの専門家にとって非常に有用であり、新しい攻撃手法に関する最新情報を入手し、攻撃の発生を未然に防ぐのに役立ちます。
組織はATT&CKを使用して、コミュニティ内での議論、防御テスト、製品およびサービスの評価を標準化します。
MITRE ATT&CK評価
MITRE ATT&CK評価は、お客さまと現実世界の攻撃シナリオに透明性を提供します。これにより、お客さまは、最もニーズの高い分野に基づき、攻撃者による最新の脅威から身を守るためのセキュリティ製品を積極的に評価できます。評価では、攻撃者のエミュレーション(模倣)を用いて、今日の脅威に対処できるよう支援します。ここでは攻撃者の技術、ツール、方法、そして目標を模倣しています。
シミュレーションは、公平かつ正確なテストを保証するために、管理されたラボ環境で実行されます。その後、攻撃者の技術を論理的かつ段階的に使用し、ATT&CKの適用範囲を詳細に調査します。
これらの評価は競合分析ではありません。スコア、ランキング、格付けは存在しません。ATT&CKナレッジベースに基づき、各ベンダが脅威検知にどのように取り組んでいるかを示すものです。
この評価は、サイバーセキュリティソリューションの購入者とお客さまに、最も必要とされている分野に基づき、攻撃者の最新技術に対抗するためのセキュリティ製品を公平に評価する選択肢を提供します。
例えば、2022年の評価では、Wizard SpiderとSandwormの攻撃手法の運用フローを模倣し、これらのグループが実際に使用している攻撃と同様の行動をシミュレートしました。シミュレーション実行後、結果は処理され、使用された手法を含めて公開されました。
MITRE ATT&CKマトリックス
MITRE ATT&CKフレームワークは、サイバー脅威が活動する特定の環境に合わせてカスタマイズされた複数のマトリックスで構成されています。これらのマトリックスは、攻撃者が使用するTTPを分類し、セキュリティチームが防御戦略を強化するのに役立ちます。
エンタープライズマトリックス
Windows、macOS、Linux、クラウド環境における脅威を網羅した、最も包括的なマトリックスです。権限昇格、ラテラルムーブメント(横展開)、データ窃取といった手法も網羅しています。
モバイルマトリックス
iOSおよびAndroidデバイスを標的とする脅威に焦点を当てています。このマトリックスでは、認証情報の窃取、ネットワークの悪用、モバイルマルウェアの永続化といった攻撃手法について詳しく説明しています。
ICS(産業用制御システム)マトリックス
SCADAシステムなどの産業環境に特有のサイバー脅威に対処します。不正なコマンド実行やファームウェア操作など、重要なインフラを妨害するために使用される手法に焦点を当てています。
MITRE ATT&CK戦術
ATT&CKの基本は、攻撃者が目標を達成するための行動を表す一連の技術(テクニック)です。目標は戦術に分類されます。
戦術は技術の「なぜ」を表します。つまり、攻撃者がその行動を実行する理由です。技術は、攻撃者が行動を実行することで目標を達成するための「手段」です。また、攻撃者が「何」を獲得するかを表します。
エンタープライズのドメインを例にとると、戦術は次のようになります。
実行:コマンドライン実行、スクリプト、クライアント実行の悪用など、システム上で不正なコードを実行する手法
永続化:新しいユーザアカウントの作成、レジストリの変更、タスクスケジューラへの登録など、最初の侵害後にアクセスを維持するために攻撃者が使用する方法
権限昇格:脆弱性の悪用、認証情報のダンプ、アクセストークンの操作など、攻撃者がより高いレベルの権限を取得する方法
防御回避:セキュリティツールの無効化、ファイルの難読化、プロセスインジェクションなどのセキュリティ対策を回避する手法
認証情報アクセス:キーロギング、ブルートフォース攻撃、認証情報のダンプなど、認証情報を盗む方法
探索:ネットワークスキャンやアカウント列挙など、システムまたはネットワークに関する情報を収集するために使用される戦術
ラテラルムーブメント(横展開):RDP(Remote Desktop Protocol)やパスザハッシュ攻撃など、システム間を移動する手法
収集:画面キャプチャ、キーロギング、ローカルデータベースからのデータなど、機密情報を収集する方法
情報送出:暗号化されたデータの送出やクラウドストレージの不正使用など、盗まれたデータをネットワーク外に転送する方法
影響:ランサムウェアの展開、データ破壊、サービス拒否攻撃(DoS)など、業務の妨害を目的とした手法
MITRE ATT&CK技術
MITRE ATT&CKフレームワークは、サイバー攻撃全般で使用される攻撃手法を分類しています。主な手法には以下が含まれます。
初期アクセス:フィッシングや公開アプリケーションを悪用して侵入する方法
実行:コマンドラインまたはスクリプトを介して不正なコードを実行
永続化:レジストリの変更またはタスクスケジューラを通じてアクセスを維持
権限昇格:エクスプロイト(脆弱性悪用)や認証情報のダンプを使用してより高い権限を取得
防御回避:難読化やツールの無効化によってセキュリティ対策を回避
ラテラルムーブメント(横展開):RDPまたはパスザハッシュを介してネットワーク内へ侵害を拡大
情報の窃取:クラウドの不正利用や暗号化された転送を使用してデータを盗む
これらの手法を理解することで、組織はセキュリティ防御を強化できます。
MITRE ATT&CKフレームワークの構造
戦術とは、攻撃者が何を達成しようとしているのかを説明するものです。
戦術は本の章に似ています。CISOは、攻撃で使用された高レベルの戦術を用いて伝えたいストーリーの概要を説明し、その後、攻撃がどのように実行されたかを、その手法を用いてさらに詳細な情報で説明することができます。
事例:共通言語で攻撃ストーリーを構築する
攻撃者の目的はネットワークへの初期アクセス権を取得することでした。攻撃者は、標的型フィッシングリンクを用いたドライブバイ攻撃と信頼関係を悪用し、この手法で初期アクセス権を獲得しました。
注:フレームワークには、攻撃者が初期アクセスを取得できる既知の方法がすべてリストされています。
サイバーセキュリティソリューションはどのように役立ちますか?
このソリューションは、ATT&CKフレームワークに製品をマッピングし、検知に関する戦術と手法を示して、脅威の検知と対処の課題解決を当社がどのように支援できるかを示します。
予防についてはどうでしょうか?
予防的管理は、脅威軽減戦略において重要な要素であり、攻撃を受けた際の回復力を高めます。最新のラウンドでは、予防的管理が早期にリスクを回避し、組織がより困難なセキュリティ問題の解決に時間を費やせるようになることが検証されました。
MITRE ATT&CKとサイバーキルチェーンの比較
MITRE ATT&CKは、サイバーキルチェーンから一歩進んで、攻撃中に何が起こるかをより詳細なレベルで記述するように設計されています。
サイバーキルチェーンには7つのステップがあります。
偵察
侵入
エクスプロイト(脆弱性悪用)
特権実行
横方向移動
難読化/フォレンジック対策
サービス拒否
情報漏えい
MITRE ATT&CKのユースケース
MITRE ATT&CKは、攻撃者の視点から技術を整理し、防御側の対策を参照できるツールです。主なユースケースは以下の通りです。
攻撃者のエミュレーション
データベース内のグループから、特定の攻撃者が使用する技術や攻撃シナリオを抽出し、一連の攻撃を検知できるか、それらの攻撃に対する防御策の有無を検証します。
レッドチーム
サイバー演習用の攻撃シナリオを作成します。レッドチームは攻撃者、ブルーチームは防御者、ホワイトチームは制御と判断の役割を担います。
行動分析の開発
IoC(Indicator of Compromise)や既知の脅威情報ではなく、ATT&CKのナレッジベースを活用し、未知の手法や行動パターンを分析して新たな対策を開発します。
防御ギャップの評価
組織の既存の対策に何が不足しているかを特定し、投資の優先順位を決定します。
SOC成熟度の評価
SOC(Security Operation Center)による検知、分析、対処がどれだけ効果的であるかを判断します。
サイバー脅威インテリジェンスの強化
アナリストは攻撃者グループの行動を深く理解し、報告することができます。データベースから情報を取得することで、特定のグループがどのようなツール、技術、手順で攻撃を開始したかを明確に特定することが可能です。
専門的な領域ではありますが、MITRE ATT&CKのWebサイトでは、ATT&CK Navigatorというアプリケーションも提供されており、これを使うと、上記のような目的に応じたマトリックスを作成することができます。
MITRE ATT&CK 2024 エンタープライズセキュリティの結果
2024年、MITRE Engenuityは、これまでで最も現実的な最新の攻撃手法をシミュレートし、そのレベルをさらに引き上げました。トレンドマイクロがこの課題において圧倒的な成果を上げたと言っても過言ではありません。
2024年のMITRE Engenuity ATT&CK評価における驚異的なパフォーマンスは、当社が5回連続で参加して実証したものであり、一部の項目ではベンダ史上最高スコアを記録しています。
2023年には1,610億件を超える脅威をブロックしました。これは2022年と比較して10%の増加であり、最も高度な攻撃であっても積極的に阻止するためには、リスクの可視性を高めることが不可欠であることを示しています。
今回の評価は、最も高度かつ危険なランサムウェアの脅威であるDPRK(北朝鮮)、CL0P、LockBitのTTPに重点を置きました。
Jon Clayは、29年以上にわたってサイバーセキュリティ分野の経験を持ちます。Jonは業界での知見を活かして、トレンドマイクロが外部に公開する脅威調査とインテリジェンスに関する教育と情報共有を担っています。