MITRE ATT&CK（マイターアタック）とは？ 「今のサイバー攻撃って何してくるの？」が分かる6つの利用方法：MITRE ATT&CKで始める脅威ベースのセキュリティ対策入門（1）

ここ数年一気に注目度が高まり進化した「脅威ベースのセキュリティ対策」。その実現を支援する「MITRE ATT&CK」（マイターアタック）について解説する連載。初回は、概要や6つ使用方法について、具体例を挙げて解説する。

[戸田勝之, 永澤貢平，NTTデータ先端技術株式会社]

　サイバー攻撃は日々進化もしくは変化し続けており、近年ではランサムウェアやオープンソースソフトウェア（OSS）の脆弱（ぜいじゃく）性を突いた攻撃など、全く新しい手法というよりも、従来の手法の発展形といった形態が見られます。こういった攻撃への対策として世の中にはセキュリティ対策の基準やフレームワークが存在しますが、それらを用いて網羅的に対応しようとすると膨大な投資が必要となります。

　そこでここ数年一気に注目度が高まって進化してきたのが、脅威ベースアプローチであり、その実現を支援する「MITRE ATT&CK」（マイターアタック、以下、ATT&CK）です。本連載では、5回にわたってATT&CKの概要や使用方法について、具体例を挙げて解説します。

MITRE ATT&CKとは？

MITREとは？

　MITRE（The MITRE Corporation）は、米国連邦政府が資金提供している非営利組織です。官民のパートナーシップを通じて米国の安全性、安定性、福祉に関する事項に取り組んでおり、その対象分野はAI、直感的なデータサイエンス、量子情報科学、医療情報学、宇宙安全保障、政策と経済、信頼できる自律性、サイバー脅威の共有、サイバーレジリエンスなどです。

　サイバーセキュリティの分野では有名なCVE（共通脆弱性識別子）を運用しており、NIST（米国国立標準技術研究所）の連邦研究開発センターを運営して官民パートナーシップおよびハブとしての機能も提供しています。

ATT&CKの概要

　ATT&CKはAdversarial Tactics, Techniques, and Common Knowledgeの略で、直訳すると「敵対的な戦術とテクニックおよび共通知識」です。ATT&CKはCVEを基に、脆弱性を悪用した攻撃を戦術とテクニックの観点で分類したナレッジベースであり、サイバー攻撃の流れと手法を体系化したフレームワークです。サイバー攻撃のテクニックだけでなく、それらに対する防御策（緩和策）や検知策なども登録されています。

　ATT&CKは、不定期もしくは4半期に一度、アップデートされ、常に最新の脅威情報や防御策などが追加されています。2022年4月25日に、バージョン11に更新されました。

　MITREでは、脅威ベースアプローチによってATT&CKを開発およびアップデートしています。この脅威ベースアプローチにおける5つの原則は、ATT&CKを利用する一般企業のセキュリティの考え方としても参考になる観点です。

脅威ベースセキュリティの5つの原則

• 原則1：侵害後の検知も含めること

　侵入されることを前提とし、防御策だけでなく検知策も考えることを意味します。

• 原則2：行動にフォーカスすること

　攻撃者の行動に着目することを意味します。

• 原則3：脅威ベースのモデルを使うこと

　攻撃者の行動をモデル化して活用することを意味します。

• 原則4：設計により反復すること

　攻撃者の行動分析を繰り返して対策を見直すことを意味します。

• 原則5：現実的な環境で開発やテストを行うこと

　できるだけ現実に近いシステム環境でテストすることを意味します。

ATT&CKの脅威モデルおよび戦術　〜サイバーキルチェーンとの関係

　ATT&CKと並ぶサイバー攻撃のフレームワークとしては、他に「Cyber Kill Chain（サイバーキルチェーン）」が有名です。これは、Lockheed MartinのEric M. Hutchins氏らが発表した論文（*1）に記載されている「Intrusion Kill Chain」のことです。この論文では、攻撃者の行動について偵察から目的の実行までを7つのプロセスで分類、モデル化しています。

*1：Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains（PDF）

　一方、ATT&CKは偵察から影響までを14のプロセスで分類、モデル化しています。ATT&CKの最初の2つのプロセス（偵察、リソース開発）まではCyber Kill Chainのプロセスとほぼ同じですが、3つ目の初期アクセス以降はもう少し細かく分類されています。

　なお、ATT&CKの最初の2つのプロセスは、以前は「PRE-ATT&CK」という独立したドメインに位置付けられていましたが、ATT&CK バージョン8（2020年10月）でATT&CKの中に統合されました。

図1　Cyber Kill ChainとMITRE ATT&CKとの関係

　ATT&CKでは、これら14のプロセスを「戦術（Tactics）」と表現しています。攻撃者は、最初は偵察（Reconnaissance）によって攻撃対象の情報を収集し、やがて初期アクセス（Initial Access）で攻撃対象に侵入して次の戦術に移り、攻撃を進めていきます。そして攻撃者は、最後の影響（Impact）まで進め、最終目的を達成します。

　場合によっては、戦術の途中の段階で目的が達成されれば、そこで中断することもあります。例えば、攻撃し侵入したサーバで次の攻撃先を探索し、水平展開して、次のサーバに攻撃を移すこともあります。

　14の戦術の概要を表1に示します。

戦術（Tactics）	概要
偵察（Reconnaissance）	攻撃者が攻撃に必要な情報を収集しようとしている
リソース開発（Resource Development）	攻撃者が攻撃に必要なツールや環境を作成しようとしている
初期アクセス（Initial Access）	攻撃者がネットワークに侵入しようとしている
実行（Execution）	攻撃者が悪意のあるコードを実行しようとしている
永続化（Persistence）	攻撃者が不正アクセスする環境を確保しようとしている
権限昇格（Privilege Escalation）	攻撃者がより高いレベルの権限を取得しようとしている
防衛回避（Defense Evasion）	攻撃者が検知されないようにしている
認証情報アクセス（Credential Access）	攻撃者がアカウントやパスワードを盗もうとしている
探索（Discovery）	攻撃者がアクセス先の環境を理解しようとしている
水平展開（Lateral Movement）	攻撃者がアクセス先の環境を移動しようとしている
収集（Collection）	攻撃者が目標に関心のあるデータを収集しようとしている
C&C（Command and Control）	攻撃者が侵害されたシステムと通信して制御しようとしている
持ち出し（Exfiltration）	攻撃者がデータを盗もうとしている
影響（Impact）	攻撃者がシステムとデータを操作、中断、または破壊しようとしている
表1　ATT&CKの戦術およびその概要

ATT&CKが持つデータ／ナレッジ