マイターアタック(MITRE ATT&CK)とは?サイバー攻撃の戦術や技術を網羅したフレームワーク|サイバーセキュリティ.com

マイターアタック(MITRE ATT&CK)とは?サイバー攻撃の戦術や技術を網羅したフレームワーク|サイバーセキュリティ.com

マイターアタック(MITRE ATT&CK)とは?サイバー攻撃の戦術や技術を網羅したフレームワーク



近年、「マイターアタック(MITRE ATT&CK)」がセキュリティ対策のフレームワークとして注目を集めています。マイターアタックとは、サイバー攻撃の目的や具体的な使用技術が体系的にまとめられたデータベースです。この記事では、マイターアタックについて詳しく解説します。

マイターアタック(MITRE ATT&CK)とは

マイターアタック(MITRE ATT&CK)は、サイバー攻撃の戦術や技術をまとめたフレームワークを意味します。非営利組織「MITRE」がWeb上に公開しており、ATT&CKとは「Adversarial Tactics, Techniques, and Common Knowledge(敵対的な戦術と技術、共通知識)」の略称です。マイターアタックでは、攻撃者の目的や行動を「戦術(Tactics)」、戦術を実行する際の具体的な手法やツールを「技術(Techniques)」に分類しています。

その他の要素

マイターアタックは「戦術(Tactics)」と「技術・手法(Techniques)」のほか、サイバー攻撃に関する以下の要素も含まれます。

  • 「緩和策(Mitigation):サイバー攻撃を防ぐための施策
  • 「攻撃グループ(Groups):サイバー攻撃を行う団体の情報
  • 「ソフトウェア(Software)」:攻撃者が用いるツールやマルウェア

マイターアタックの情報は不定期または四半期ごとに更新され、サイバー攻撃対策の基盤として多くのセキュリティ製品やサービスに活用されています。

そもそもMITREとは

マイターアタックを提供している「MITRE」とは、アメリカの非営利組織です。政府の資金提供を受け、サイバーセキュリティや航空、AI、医療といった幅広い分野の研究開発を行っています。サイバーセキュリティ分野では「CVE(共通脆弱性識別子)」を管理しており、セキュリティベンダー間の脆弱性情報の共有に貢献しています。

マイターアタック(MITRE ATT&CK)の戦術と技術・手法

マイターアタック(MITRE ATT&CK)の中でも、戦術(Tactics)と技術(Techniques)は、一覧表が公開されています。対象やOSごとに種類が存在し、ここでは「企業向け」と「スマートフォン向け」の一覧表を紹介します。

企業向け

企業向け(Enterprise)は、企業に対して行われるサイバー攻撃の戦術と、戦術に使われる技術をまとめた一覧表です。さらに、技術は「サブテクニック(Sub-Technique)」として細分化されています。

戦術(Tactics) 技術(Techniques)の概要
偵察(Reconnaissance) 攻撃計画を立てるための情報収集
リソース開発(Resource Development) 攻撃実行に必要なリソースの開発
初期アクセス(Initial Access) 標的ネットワークへの不正侵入
実行(Execution) 攻撃者が実行するコード
永続化(Persistence) 不正アクセスの持続手段
権限昇格(Privilege Escalation) 高度なアクセス権限の不正取得
防御回避(Defense Evasion) セキュリティ対策製品による検知などの回避手段
認証情報へのアクセス(Credential Access) 認証情報の不正取得
発見(Discovery) 標的のシステムやアプリ、アカウントなどの情報を把握
水平展開(Lateral Movement) 標的のシステムやネットワーク内を移動
収集(Collection) 標的に関する情報収集
コマンド&コントロール(Command and Control) コマンド&コントロール(C&C)サーバーによる不正制御
流出(Exfiltration) 標的データの盗窃
影響(Impact) 考えられる被害(データの削除、破壊、暗号化など)

MITRE ATT&CK Enterprise Matrixより作成)

スマートフォン向け

スマートフォン向け(Mobile)では、AndroidとiOS端末に対する情報を一覧化しています。

初期アクセス(Initial Access) 標的端末への不正侵入
実行(Execution) 攻撃者が実行するコード
永続化(Persistence) 不正侵入の持続手段
権限昇格(Privilege Escalation) 高度なアクセス権限の不正取得
防御回避(Defense Evasion) セキュリティ対策製品による検知などの回避手段
認証情報へのアクセス(Credential Access) 認証情報の不正取得
発見(Discovery) 端末のシステムや位置情報、ネットワークなどの情報収集
水平展開(Lateral Movement) 端末やネットワーク内の移動
収集(Collection) 端末やネットワーク内の情報収集
コマンド&コントロール(Command and Control) コマンド&コントロール(C&C)サーバーによる不正制御
流出(Exfiltration) 標的データの盗窃
影響(Impact) 考えられる被害(データの削除、破壊、暗号化など)

MITRE ATT&CK Mobile Matrixより作成)

マイターアタック(MITRE ATT&CK)の利用方法

マイターアタック(MITRE ATT&CK)はセキュリティ対策製品やサービスの開発のほか、多くの場面で活用されています。活用例の1つが、ペネトレーションテストです。ペネトレーションテストとは、攻撃者が実際に使うツールを使い、企業のシステムやネットワークへの不正進入を試みるテストです。依頼企業のセキュリティ対策の耐性や課題を発見するために行われます。

マイターアタックは、攻撃者の目的や具体的な手段を体系的に記しています。そのため、ペネトレーションテストにおける攻撃役の戦術や使用ツールの指標として、マイターアタックは効果的です。

また、企業のセキュリティツールが取得しているログから、これまで防いできた攻撃手段がわかる場合もあるかと思います。マイターアタックは攻撃手段に対する有効な対策も記しているので、現在実施している対策の評価や改善にも活用可能です。

マイターアタック(MITRE ATT&CK)が活用されている理由

マイターアタック(MITRE ATT&CK)は2013年の公開以来、網羅性の高さからセキュリティベンダーや一般企業に広く活用されています。マイターアタックの特長は、攻撃計画時から攻撃による影響までのプロセスが段階的に分けられている点です。さらに、各段階ごとに攻撃者の行動や使用ツール、防御側の対策が記されています。企業のセキュリティ体制を評価する際の指標に適しているため、多くの企業で利用されているわけです。

まとめ

マイターアタック(MITRE ATT&CK)はすでに多くのセキュリティベンダーで活用されており、ペネとレーションテストの指標として導入されています。また、一般企業もマイターアタック(MITRE ATT&CK)を利用することで、組織のセキュリティ対策の課題の発見が可能になります。自社の脆弱性を可視化できるため、適切なセキュリティ対策の策定に役立つでしょう。


SNSでもご購読できます。