MITRE ATT&CK|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. MITRE ATT&CK
             

MITRE ATT&CK

MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)は、サイバー攻撃者の行動を体系的にまとめた知識ベースであり、攻撃者がシステムを侵害する際の戦術、技術、手順(TTPs)を記録しています。MITREによって開発されたこのフレームワークは、サイバーセキュリティ専門家が攻撃を理解し、防御策を強化するための強力なツールとして活用されています。

ATT&CKは、セキュリティ運用、脅威インテリジェンス、ペネトレーションテスト、セキュリティ評価など、幅広い分野で使用されており、現実世界のサイバー攻撃に基づいて作成されています。

MITRE ATT&CKの目的

  1. 攻撃者の行動理解
    • サイバー攻撃者が利用する具体的な手法を記録し、その行動を体系化します。
  2. 防御策の構築支援
    • 組織が攻撃の全体像を把握し、効果的なセキュリティ対策を講じるためのガイドラインを提供します。
  3. 脅威インテリジェンスの強化
    • セキュリティチームが脅威を分析し、攻撃手法のトレンドを把握できるよう支援します。
  4. 標準的なコミュニケーション基盤
    • サイバー攻撃に関する情報を共有する際の共通言語として機能します。

MITRE ATT&CKの構成要素

1. 戦術(Tactics)

  • 攻撃者の目的やゴールを指します。
  • 例:初期アクセス、権限昇格、情報収集、データの盗難。

2. 技術(Techniques)

  • 戦術を達成するために使用される具体的な方法や手法。
  • 例:フィッシング、ブルートフォース攻撃、メモリ内実行。

3. サブ技術(Sub-Techniques)

  • 各技術をさらに具体的に分類したもの。
  • 例:フィッシングの一種としてスピアフィッシング、ドメイン偽装。

4. 手順(Procedures)

  • 特定の攻撃者やマルウェアが技術をどのように実行するかを示す具体例。

5. 攻撃の環境(Platforms)

  • 攻撃が実行される対象環境を指します。
  • 例:Windows、Linux、macOS、クラウドサービス。

6. マッピング情報

  • セキュリティ製品や防御策をMITRE ATT&CKフレームワークにマッピングすることで、どの技術に対応できているかを可視化。

主なフレームワーク

1. Enterprise ATT&CK

  • 企業環境を対象としたフレームワーク。
  • 主にWindows、macOS、Linux、クラウド、SaaSを含むエコシステムでの攻撃行動を記載。

2. Mobile ATT&CK

  • モバイルデバイス(iOSやAndroid)に対する攻撃手法や防御策をカバー。

3. PRE-ATT&CK

  • 実際の攻撃が始まる前のリコン(情報収集)や初期準備段階の行動を記録。

MITRE ATT&CKの利用方法

1. 脅威ハンティング

  • 組織のネットワークで発生する異常な挙動をMITRE ATT&CKと照らし合わせ、潜在的な脅威を特定。

2. セキュリティギャップの特定

  • 現在のセキュリティ対策をフレームワークにマッピングし、防御の弱点を明らかにする。

3. 攻撃シミュレーション

  • 実際の攻撃を模倣し、組織のセキュリティ能力を評価。

4. 脅威インテリジェンスの向上

  • 攻撃者の行動を理解し、予測可能な攻撃に対する準備を強化。

5. セキュリティ製品の評価

  • セキュリティソリューションがMITRE ATT&CKに基づく攻撃にどれだけ対応可能かを確認。

実例:攻撃の流れとマッピング

  1. 初期アクセス
    • 攻撃者はフィッシングメールを使用してマルウェアを配布。
    • マッピング:T1566(フィッシング)
  2. 権限昇格
    • 権限の低いアカウントから管理者アカウントを乗っ取る。
    • マッピング:T1078(有効なアカウントの悪用)
  3. 横展開
    • ネットワーク内の他のデバイスに侵入。
    • マッピング:T1570(リモートサービスの利用)
  4. データの盗難
    • 攻撃者は機密ファイルをC&Cサーバーに送信。
    • マッピング:T1041(データのエクスフィルトレーション)

MITRE ATT&CKの利点

  1. 実用的な脅威理解
  • 現実の攻撃シナリオを基に作成されており、セキュリティ対策を実践的に構築可能。
  1. 柔軟性と汎用性
  • 企業の規模や環境に応じて、カスタマイズして利用できる。
  1. 業界標準のフレームワーク
  • 多くのセキュリティツールやサービスがMITRE ATT&CKを採用しており、共通基盤として活用可能。
  1. 可視化と評価
  • 組織の防御能力を可視化し、セキュリティギャップを明確化。

MITRE ATT&CKの課題

  1. 実装の複雑さ
  • 組織での完全な活用には、専門知識とリソースが必要。
  1. 継続的な更新が必要
  • サイバー攻撃の進化に伴い、フレームワークも定期的なアップデートが求められる。
  1. 過剰な情報量
  • 膨大なデータが含まれるため、必要な部分を取捨選択するスキルが必要。

まとめ

MITRE ATT&CKは、サイバー攻撃の理解と防御策の構築において不可欠なフレームワークです。その詳細な戦術、技術、手順の記録は、セキュリティチームが攻撃者の行動を予測し、適切な対策を講じるための強力なツールとなります。

セキュリティ評価、脅威インテリジェンス、脅威ハンティングなど、多様な用途で活用されるMITRE ATT&CKは、組織が最新の脅威に対処し、セキュリティ態勢を強化するための基盤として今後ますます重要性を増すでしょう。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。