MITRE ATT&CK まいたーあたっく
攻撃フレームワークTTPタクティクステクニックサイバー攻撃SOC
MITRE ATT&CKについて教えて
簡単に言うとこんな感じ!
世界中の実際の攻撃事例をもとに「攻撃者はどんな手口を使うか」をカタログ化したフレームワークだよ。セキュリティ対策の「穴」がどこにあるかを確認するための共通の物差しとして世界中で使われてるんだ!
MITRE ATT&CKとは
MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge) は、実際のサイバー攻撃で観測された攻撃者の戦術・技術・手順(TTP)を体系的に分類したナレッジベースです。米国の非営利研究機関MITRE社が2013年から開発・公開しており、無償で利用できます。
「ATT&CK」は「Attack」のもじりであり、攻撃者の視点で整理されているのが最大の特徴です。防御側(企業・SOC)はこのフレームワークを使って「自社はどの攻撃手法に対応できているか」「検知できていないギャップはどこか」を評価します。
現在は Enterprise(Windows/Linux/macOS/クラウド)、Mobile(Android/iOS)、ICS(産業制御システム)の3つのマトリクスが提供されています。
フレームワークの構成
| 階層 | 名称 | 例 |
|---|---|---|
| Tactic(戦術) | 攻撃者の目的・ゴール | 偵察、初期アクセス、権限昇格、横断移動など14種 |
| Technique(テクニック) | 目的を達成するための具体的な手法 | フィッシング、パスワードスプレー攻撃など |
| Sub-technique(サブテクニック) | テクニックをさらに細分化した手法 | スピアフィッシング(添付ファイル)、スピアフィッシング(リンク)など |
| Procedure(手順) | 実際の攻撃グループが使った具体的な実装 | APT29が使ったツール・コマンドなど |
2024年時点で 200以上のテクニック、400以上のサブテクニックが登録されています。
歴史と背景
- 2013年:MITREがFort Meade実験プロジェクトとして内部利用を開始
- 2015年:ATT&CK for Enterprise(Windows)として一般公開
- 2017年:PRE-ATT&CK(攻撃前の偵察フェーズ)を追加
- 2018年:ATT&CK for MobileとATT&CK for ICSを追加
- 2019年〜:MITRE CTID(Center for Threat-Informed Defense)が企業と連携しコンテンツ拡充
- 現在:世界中のSIEM、EDR、SOC運用の標準フレームワークとして採用
ATT&CKマトリクスのイメージ(一部)
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| MITRE ATT&CK v15 | 最新版のEnterprise/Mobile/ICSマトリクス |
| NIST SP 800-53 | セキュリティコントロールとATT&CKのマッピング |
| D3FEND | ATT&CKに対応する防御策のナレッジベース(MITREが開発) |
関連用語
- 脅威インテリジェンス・IOC — ATT&CKのTTPsと組み合わせる脅威情報
- ラテラルムーブメント — ATT&CKのTA0008に分類される攻撃手法
- ネットワークフォレンジック — ATT&CKを使って攻撃手法を分類する際に活用