Written by Aimee
目 次
「MITRE ATT&CK」とは、実際に観測されたサイバー攻撃における戦術や手法をまとめたフレームワークです。
マトリクス、戦術、技術・手法、緩和策、攻撃者グループ、ソフトウェアの6つの要素で構成されており、そのうちの戦術は14フェーズに分類されています。
このMITRE ATT&CKは、具体的に
- ●攻撃の事前検証
- ●レッドチーム演習
- ●セキュリティギャップ分析
- ●攻撃者の行動分析
- ●SOCの評価
などの場面で活用できます。
また、MITRE ATT&CKと同じサイバー攻撃のフレームワークに「サイバーキルチェーン」というものがありますが、両者の違いは、アプローチと詳細度にあります。
サイバーキルチェーンの場合、「高度標的型攻撃(APT攻撃)」から防御することを目的に、攻撃者の行動を7つのフェーズにわけて提示していますが、内容は抽象的であり、攻撃手法や具体的なツールなどの情報は含まれていません。
一方、MITRE ATT&CKは、攻撃者が利用する戦術やツール、手法だけでなく、回避策までかなり詳細に記述されているという点が異なります。
本記事では、MITRE ATT&CKの概要や活用方法などについて解説します。
▼この記事を要約すると
- MITRE ATT&CK(マイターアタック)とは、実際に観測されたサイバー攻撃における戦術や手法をまとめたフレームワーク
- 「マトリクス」「戦術」「技術・手法」「緩和策」「攻撃者グループ」「ソフトウェア」の6つの要素で構成されている
- MITRE ATT&CKでは偵察から最終目的を達成するまでの戦術が14フェーズに分類されている
- サイバーキルチェーンとMITRE ATT&CKの主な違いは、アプローチと詳細度で、MITRE ATT&CKは、攻撃者が利用する戦術や使用されるツール、手法、回避策までかなり詳細に記述されているが、サイバーキルチェーンは攻撃者が目的を達成するまでの行動が構造化されたものであり、内容が抽象的
- MITRE ATT&CKは、「攻撃の事前検証」「レッドチーム演習」「セキュリティギャップ分析」「攻撃者の行動分析」「SOCの評価」といった場面で活用できる
またLANSCOPE サイバープロテクションのAIアンチウイルス「CylancePROTECT」「Deep Instinct」は、ともに MITRE ATT&CKの14のフェーズのうち、「3.初期アクセス」「4.実行」などに対策できるセキュリティソリューションです。過去のMITRE ATT&CKを用いたテスト結果では、ともに高い検知率を誇っています。
MITRE ATT&CKとは
MITRE ATT&CK(マイターアタック / Adversarial Tactics, Techniques, and Common Knowledge)とは、攻撃者が標的を攻撃する際に使用する手法や技術をまとめたもので、実際に発生したサイバー攻撃をもとに作成されています。
MITRE ATT&CKを参考にすることで、サイバー攻撃者の行動を理解し、より具体的な対策を講じることができます。
MITREとは
MITREとは米国政府が支援する非営利組織で、人工知能、医療、宇宙安全保障、サイバーセキュリティなど幅広い分野での研究開発を行っています。
特に、サイバーセキュリティの分野では、CVE(Common Vulnerabilities and Exposures)と呼ばれる情報セキュリティにおける脆弱性やインシデントの情報を収集・識別するデータベースの管理・運用を担当していることで有名です。
また、米国国立標準技術研究所(NIST)の連邦研究開発センターを運営し、官民パートナーシップや、ハブとしての機能も担います。
ATT&CKとは
ATT&CKは「Adversarial Tactics, Techniques and Common Knowledge」の略称で、直訳すると「敵対的な戦術と技術および共通知識」を意味します。
これは、実際に観測されたサイバー攻撃における戦術や手法をまとめたフレームワークで、攻撃者の行動パターンを理解し、それに対する防御策を立てるための重要なツールとして利用されます。
ATT&CKは、マトリクス、戦術、技術・手法、緩和策、攻撃者グループ、ソフトウェアの6つの要素で構成されており、特に戦術は14フェーズに分類されています。
様々な攻撃手法やテクニックを細分化し、それぞれの段階における攻撃者の行動を明確に示すことにより、企業は自らのセキュリティ戦略を構築し、攻撃に対する迅速な対応を行うことが可能になります。
さらに、2023年時点で技術・手法に関しては、193の攻撃技法と401のサブ技法が掲載されています。
このフレームワークは、不定期もしくは4半期に一度のペースで最新の脅威情報が追加され、サイバーセキュリティの専門家や組織が攻撃手法に対する理解を深め、適切な対策を講じるのに役立ちます。
MITRE ATT&CKの構成
MITRE ATT&CKは、サイバー攻撃に関する包括的な知識を提供するべく、以下のような要素で構成されています。
- ●マトリクス
- ●戦術
- ●技術・手法
- ●緩和策
- ●攻撃者グループ
- ●ソフトウェア
マトリクス
マトリクスは、Enterprise(企業向け)、Mobile(モバイル向け)、ICS(産業用制御システム向け)の3つの分野に分かれています。
| 対象 | |
|---|---|
| Enterprise(企業向け) | Windows, macOS, AWS, Azure, Office 365, SaaS |
| Mobile(モバイル向け) | Android, iOS |
| ICS(産業用制御システム向け) | 産業用制御システム |
戦術
戦術は、攻撃者が標的を攻撃するために使用する戦略や目的を表します。ATT&CKでは、14フェーズに分類されており、攻撃の進行状況や手法の分析に役立ちます。
技術・手法
実際の攻撃で使用される「具体的な技術や手法」を示しており、2023年時点で193の攻撃技法と401のサブ技法が掲載されています。
具体的な例として、ソーシャルエンジニアリング、マルウェアの使用、コマンド&コントロールの確立などが技術・手法に該当します。
緩和策
緩和策とは、サイバー攻撃による被害を最小限にとどめるための方法です。
侵入検知システムや多要素認証の導入などが含まれます。
攻撃者グループ
攻撃者グループは、特定の攻撃者や攻撃グループが使用する手法やインフラ、攻撃活動のパターンなどに関する情報を提供します。これにより、組織は特定の脅威アクターに対する警戒を高め、より効果的な対策を講じることができます。
ソフトウェア
ソフトウェアは、特定の攻撃に使用されるツールやマルウェア、コマンドなどの情報を提供する項目です。これにより、組織は攻撃活動を特定し、適切な対策を講じることができます。
MITRE ATT&CKの14フェーズ
先ほども述べたように、MITRE ATT&CKでは偵察から最終目的を達成するまでの戦術が14フェーズに分類されています。
それぞれのフェーズについて簡単に解説します。
1.偵察
まず攻撃者は、ソーシャルメディアや企業のWebサイトから標的に関する情報を収集したり、ポートスキャンを行ってシステムに侵入できる場所を調査したりします。
※ポートスキャン…ポート一つひとつにデータを送信し、その応答から稼働状況を確認するもの
攻撃者は攻撃の成功率を上げるためにも、偵察を念入りに行います。
2.リソース開発
偵察の結果をもとに、攻撃者は攻撃に必要なリソースの準備を行います。
具体的には
- ●マルウェア
- ●エクスプロイト
- ●攻撃に使うメールアドレスやアカウント
などが該当します。
これらのリソースは、攻撃者自らが開発する場合もありますが、RaaSを利用したり、偵察の段階で標的から窃取したりする場合もあります。
※RaaS…マルウェアの一種であるランサムウェアを提供するサービスモデル。
3.初期アクセス
攻撃者は準備したリソースを使用し、システム内に足がかりを構築します。
初期アクセスに使用される手段としては
- ●Webサイトや公開サーバーの脆弱性
- ●不正プログラムを仕掛けたWebサイト
- ●メールの添付ファイル
などが挙げられます。
また、ソーシャルエンジニアリングによるアカウント情報の収集や、通信経路上に割り込んで通信内容を盗聴する中間者攻撃を仕掛けることもあります。
4.実行
攻撃者は自身の目的達成のために、標的環境で悪意のあるコードやプログラムを実行し、攻撃を開始します。
5.永続化
攻撃者は標的環境に侵入するための足がかりを構築した後、それを維持する必要があります。
そのため、バックドアを仕掛けてシステムへの再侵入を可能にしたり、資格情報を変更して正規のユーザーがネットワークにアクセスできないようにしたりします。
6.権限昇格
攻撃者は、標的環境での権限を昇格させ、より広範囲な操作を行うための権限を取得します。
通常、一般のユーザーが実行できるタスクは制限されているため、攻撃者が目的を達成するにはより高い権限の取得が必要です。
そのため、攻撃者はシステムの脆弱性や設定・構成のミスを利用したり、ユーザー認証に使われるクレデンシャル情報(既存アカウントが持つIDやパスワードなど)を取得したりして、権限昇格を試みます。
7.防衛回避
攻撃者は、検出や防御を回避するための手法を使用します。
具体的には
- ●セキュリティソフトの無効化
- ●隠しファイルやフォルダの作成
- ●コマンド履歴の削除
などの手段を用いて、自身の存在を隠匿します。
8.認証情報アクセス
社内でも一部の人しか閲覧できないような重要データにアクセスするには、アクセス権をもっているユーザーの認証情報が必要です。
この認証情報を取得するために、ネットワークを流れるパケットを盗み見たり、キーロガーを使用してIDやパスワードを盗んだりします。
※キーロガー…ユーザーの 「キーボード入力」を記録・監視 するソフトウェア。
9.探索
攻撃者はシステム内部の環境を探索し、重要な情報やリソースを特定します。これには、ファイルシステムの探索、ネットワーク内の移動、機密情報の収集などが含まれます。
10.水平展開
攻撃者は最終目標にアクセスするため、侵入したシステムと隣接する、他のシステムやネットワークへ侵入します。
このように、ネットワーク内を水平方向に移動しながら、侵害範囲を徐々に拡大していく手法を「ラテラルムーブメント」と言います。
▼ラテラルムーブメントのイメージ
11.収集
攻撃者は、標的環境から自身の目的に関連する有益な情報やデータを収集します。
12.C&C
攻撃者は、C&Cサーバー(コマンド&コントロールサーバー)を使用して攻撃を管理し、標的環境内での操作を維持します。
C&Cサーバーとは、攻撃者がマルウェアに感染した端末に指令を出すためのサーバーです。
C&Cサーバーによって、攻撃者は窃取した情報を受け取ったり、マルウェアを送り込んだりすることが可能です。
13.持ち出し
攻撃者は、標的環境からデータや情報を持ち出します。
このとき、攻撃者はデータを暗号化もしくは圧縮することで検出を逃れようとします。
14.影響
攻撃者は、標的環境に影響を与えるために、データの破壊、システムの停止、サービスの妨害などの操作を行います。
これらの戦術フェーズは、攻撃者が標的を攻撃する際の一般的な手法を理解し、適切な対策を講じるための重要な情報源となります。
MITRE ATT&CKとサイバーキルチェーンとの違い
MITRE ATT&CKと同じサイバー攻撃のフレームワークに「サイバーキルチェーン」というものがあります。サイバーキルチェーンは、攻撃者がサイバー攻撃を計画し、目的を達成するまでの一連の手順を構造化したものです。「高度標的型攻撃(APT攻撃)」から防御することを目的に、攻撃者の行動を7つのフェーズにわけて提示しています。
▼7つのフェーズ
- 1. 偵察(Reconnaissance): 標的に関する情報を収集する。
- 2. 武器化(Weaponization): 攻撃のためのマルウェアを作成する。
- 3. 配布(Delivery): マルウェアを標的に送る。
- 4. エクスプロイト(Exploitation): マルウェアが標的の脆弱性を利用して実行される。
- 5. インストール(Installation): マルウェアがシステムにインストールされる。
- 6. コマンド&コントロール(Command and Control, C2): 攻撃者がマルウェアを通じて標的システムと通信する。
- 7. 目的の達成(Actions on Objectives): 攻撃者が最終的な目的(データの盗難、破壊など)を達成する。
ただし攻撃手法や具体的なツール情報は含まれていません。
一方のMITRE ATT&CKは、攻撃者が利用する戦術や使用されるツール、手法などが詳細に記述しています。特定の攻撃手法やツールが使用された場合の具体的な挙動、対策まで記載されており、セキュリティプロフェッショナルが具体的な対策を講じるための重要なリソースとなっています。
- ●サイバーキルチェーン…攻撃の全体的なプロセスを理解し、各フェーズでの防御策を設計するためのフレームワーク
- ●MITRE ATT&CK…攻撃者の具体的な行動や技術に焦点を当て、それに対する詳細な防御策を設計するための知識ベース
MITRE ATT&CKの活用方法
MITRE ATT&CKの活用方法としては、以下が挙げられます。
- 1. 攻撃の事前検証として活用
- 2. レッドチーム演習での指標として活用
- 3. セキュリティギャップ分析に活用
- 4. 攻撃者の行動分析に活用
- 5. SOCの評価に活用
1. 攻撃の事前検証として活用
MITRE ATT&CKは攻撃の事前検証に活用できます。
具体的には、まず自社のセキュリティ状況から、どういったサイバー攻撃を受ける可能性があるのか洗い出します。
次にMITRE ATT&CKから該当する攻撃を抽出し、その攻撃で使用される戦術や手法に対処できるか防御テストを行うことで、攻撃の事前検証が可能です。
2. レッドチーム演習での指標として活用
レッドチームとは、サーバーやクライアント端末などに疑似攻撃を仕掛けるチームです。
MITRE ATT&CKには攻撃者が利用する戦術やソフトウェアが記載されているため、より本物のサイバー攻撃に近い状態で演習を行うことができます。
3. セキュリティギャップ分析に活用
MITRE ATT&CKには、戦術や攻撃手法だけでなく、攻撃の回避策や検知方法も記載されています。
そのため、自社のセキュリティ対策と比較し、現在実施されている対策とのギャップを分析することが可能です。
4. 攻撃者の行動分析に活用
MITRE ATT&CKに掲載されている情報はあくまで既知の攻撃情報です。
攻撃者は未知の攻撃を仕掛ける可能性もありますが、MITRE ATT&CKをもとに自社のネットワーク環境下で攻撃者の行動を分析すれば、未知の攻撃を検知することができます。
5. SOCの評価に活用
「SOC(Security Operation Center)」とは、24時間365日体制でネットワークの監視を行い、リアルタイムで脅威を検知・対処する役割を担う、サイバーセキュリティの専門組織・部門です。
このSOCの評価にMITRE ATT&CKを活用することが可能です。
MITRE ATT&CKでは、攻撃の段階ごとに使用される手法やツールが記載されているので、攻撃の検知や分析、対応の有効性を評価することができます。
戦術や技術、攻撃の手順などをSOCが理解することで、潜在的な脅威も素早く検出することができるようになります。
MITRE ATT&CKに準拠した次世代アンチウイルス「LANSCOPEサイバープロテクション」
MOTEX(エムオーテックス)が提供する次世代アンチウイルス「LANSCOPEサイバープロテクション」は、4半期に一度のペースで更新されるMITRE ATT&CKに準拠していることから、最新の脅威にも対応可能です。
「LANSCOPE サイバープロテクション」では、新種・未知のマルウェア対策に強みを持つ、2種類のAIアンチウイルスを提供しています。
▼2種類のアンチウイルスソリューション
- 1. アンチウイルス✕EDR✕監視サービス(MDR)をセットで利用できる「CylanceMDR」
- 2. 各種ファイル・端末に対策できる次世代型アンチウイルス「Deep Instinct」
1. アンチウイルス✕EDR✕監視サービス(MDR)をセットで利用可能な「Cylanceシリーズ」
アンチウイルスは、EDRと掛け合わせることで、より強固なエンドポイントセキュリティ体制を確立できます。
※EDR(Endpoint Detection and Response)…エンドポイントにおけるセキュリティイベントをリアルタイムで監視し、早期検出と対応を支援するセキュリティソリューション
しかし、実際は「EDRによるセキュリティ監視に手が回らない」というお客様の声も多く、アンチウイルスとEDRの併用が、機能していないケースが少なくありません。
- ●アンチウイルスとEDRを併用したい
- ●なるべく安価に両機能を導入したい
- ●しかし運用面に不安がある
そういった方におすすめしたいのが、アンチウイルスを中心に3つのサービスを提供する「Cylanceシリーズ」です。
- 1. 最新のアンチウイルス「CylancePROTECT」
- 2. EDR「CylanceOPTICS」
- 3. EDRを用いた運用監視サービス「CylanceMDR」
の3つをお客様の予算やご希望条件に応じて提供します。高精度なアンチウイルス・EDRを併用できる上、セキュリティのプロが24時間365日監視を行うため、より確実にマルウェアの侵入からお客様のエンドポイントを保護することが可能です。
またEDR「CylanceOPTICS」が提供するルールベースの自動検出機能は、あらかじめ情報をまとめたルールとして配布され、エンドポイント上で継続的に監視し、ルールに抵触する挙動を検知します。疑わしい挙動を検知した場合は、管理者が操作しなくてもルールごとにカスタマイズしたアクション(ファイルの削除やプロセスの停止、ユーザーのログオフなど)を自動で実行することができます。
このとき提供されるルールはBlackBerry社があらかじめ用意するプリセットのルールだけでなく、AIにより生成されたルールと「MITRE ATT&CK」のルールも提供され、最新の攻撃に対してもいち早く対応することができます。
アンチウイルスのみ、アンチウイルス+EDRのみ導入するなど、柔軟な提案も可能です。侵入前・侵入後のマルウェア対策を両立することで、お客様の大切な情報資産を守りましょう。
2. 各種ファイル・端末に対策できるNGAV「Deep Instinct(ディープインスティンクト)」
- ●AIを駆使したアンチウイルスで、未知のマルウェアも検知したい
- ●実行ファイル以外の様々なファイルにも、対応できる 製品が良い
- ●手頃な価格で「高性能なアンチウイルス」を導入したい
そういった方には、AIによるディープラーニング機能で、未知のマルウェアを高精度にブロックする、次世代型アンチウイルス「Deep Instinct(ディープインスティンクト)」がおすすめです。
近年の攻撃者は、セキュリティ製品の検知を逃れるため、実行ファイルだけでなくExcelやPDF・zipなど、多様な形式のマルウェアを生み出します。 しかしファイル形式を問わず対処する「Deep Instinct」であれば、これらのマルウェアも高い精度で検知・防御が可能です。
実際、Deep Instinctの検知エンジンは年々精度が向上しており、2022年のMITRE評価では検知率70%であったのに対し、2023年には90%と飛躍的に向上しました。
また1台あたり月額300円(税抜)から利用できる手ごろな価格設定も魅力です。ぜひ以下の製品ページよりご覧ください。
万が一サイバー攻撃を受けてしまったら?インシデント対応パッケージにお任せください
「マルウェアに感染してしまったかも」
「システムへ不正アクセスされた痕跡がある」
このようにサイバー攻撃を受けた”事後”に、いち早く復旧するためのサポートを受けたい場合は、プロがお客様に代わって脅威に対処する「インシデント対応パッケージ」の利用がおすすめです。
フォレンジック調査のスペシャリストがお客様の環境を調査し、感染状況と影響範囲を特定。ランサムウェアの封じ込めをはじめとした復旧支援に加え、今後どのように対策すべきかのアドバイスまで支援いたします。
「自社で復旧作業を行うのが難しい」「マルウェアの感染経路や影響範囲の特定をプロに任せたい」というお客様は、是非ご検討ください。
まとめ
本記事では「MITRE ATT&CK」をテーマに、その概要や対策について解説しました。
▼本記事のまとめ
- MITRE ATT&CK(マイターアタック)とは、実際に観測されたサイバー攻撃における戦術や手法をまとめたフレームワーク
- 「マトリクス」「戦術」「技術・手法」「緩和策」「攻撃者グループ」「ソフトウェア」の6つの要素で構成されている
- MITRE ATT&CKでは偵察から最終目的を達成するまでの戦術が14フェーズに分類されている
- サイバーキルチェーンとMITRE ATT&CKの主な違いは、アプローチと詳細度で、MITRE ATT&CKは、攻撃者が利用する戦術や使用されるツール、手法、回避策までかなり詳細に記述されているが、サイバーキルチェーンは攻撃者が目的を達成するまでの行動が構造化されたものであり、内容が抽象的
- MITRE ATT&CKは、「攻撃の事前検証」「レッドチーム演習」「セキュリティギャップ分析」「攻撃者の行動分析」「SOCの評価」といった場面で活用できる
企業はMITRE ATT&CKを効果的に活用することで攻撃手法を理解し、それに対する適切なセキュリティ防御策を構築しましょう。
おすすめ記事
