// シス担のミカタ
セキュリティフレームワーク・モデル

MITRE ATT&CK まいたー あたっく

サイバー攻撃脅威インテリジェンスTTPsレッドチームインシデント対応セキュリティ評価
MITRE ATT&CKについて教えて

簡単に言うとこんな感じ!

ハッカーが「どんな手口で攻撃するか」を図鑑みたいにまとめたデータベースだよ!「敵の戦術を知れば対策できる」という発想で、実際の攻撃事例から作られた”攻撃者の行動カタログ”なんだ。セキュリティのプロが世界中で使ってる共通語みたいなものだよ!

MITRE ATT&CKとは

MITRE ATT&CK(マイター・アタック)は、米国の非営利研究機関 MITRE Corporation が開発・公開している、サイバー攻撃者の戦術・技術・手順(TTPs: Tactics, Techniques, and Procedures)を体系化した知識ベースです。実際に観測された攻撃キャンペーンや脅威グループの行動をもとに作られており、「攻撃者はどのフェーズで、どんな手口を使うか」を網羅的に整理しています。

ATT&CK は Adversarial Tactics, Techniques & Common Knowledge の略で、2013年に内部プロジェクトとして始まり、現在は無償で公開されています。企業のセキュリティチームがこれを使うことで、「自社はどの攻撃手法に対して対策できているか」「どこに穴があるか」を客観的に評価できるようになります。たとえば製品を発注する際も「このセキュリティ製品はATT&CKのどの技術をカバーしているか」という基準で比較できるため、調達・評価の共通言語としても活用されています。

MITRE ATT&CKの構造

ATT&CKは「マトリクス(Matrix)」と呼ばれる表形式で公開されています。横軸に戦術(Tactic)、縦軸に技術(Technique)が並び、攻撃の流れを一覧できます。

要素説明
Tactic(戦術)攻撃者の目的・フェーズ初期アクセス・権限昇格・情報収集 など
Technique(技術)目的を達成するための手法フィッシング・パスワードスプレー など
Sub-technique(サブ技術)技術をさらに細分化したものスピアフィッシング添付ファイル など
Procedure(手順)実際の攻撃グループが使った具体的な実装APT28 が使ったマクロ付きWordファイル など
Mitigation(対策)その技術への推奨対策多要素認証・マクロ無効化 など
Detection(検知どうすれば検知できるかログ監視・EDRシグネチャ など

14の戦術フェーズ(Enterprise Matrix)

ATT&CKのEnterpriseマトリクスは攻撃の流れを14のフェーズに分けています。

[偵察] → [リソース開発] → [初期アクセス] → [実行] → [永続化]
  → [権限昇格] → [防御回避] → [認証情報アクセス] → [探索]
  → [横展開] → [収集] → [C2通信] → [持ち出し] → [インパクト]

3種類のマトリクス

マトリクス対象環境
EnterpriseWindows/Linux/macOS・クラウド・コンテナ
MobileAndroid・iOS
ICS産業制御システム(工場・インフラ)

歴史と背景

  • 2013年 — MITRE社が内部の脅威シミュレーション(レッドチーム演習)のために「ATT&CK」を考案
  • 2015年 — 一般公開。Windows企業環境向けのマトリクスとしてスタート
  • 2017年 — PRE-ATT&CK(偵察フェーズ)とモバイル版を追加
  • 2018年 — クラウド環境・Linux・macOSへと対象を拡大
  • 2020年 — ICS(産業制御システム)向けマトリクスを正式追加
  • 2022年以降 — バージョン12以降は年2回ペースで更新。技術数は700以上に成長
  • 現在 — 世界中のSOC(セキュリティ運用センター)・CISA・FBI・各国政府機関が参照する事実上の標準となっている

ATT&CKを使うシーン

ATT&CKは「使い方」によって活躍する場面が変わります。

MITRE ATT&CK の主な活用シーン

レッドチーム演習 ATT&CKの技術を参照して 現実的な攻撃シナリオを設計 SOC・インシデント対応 攻撃者の行動を技術IDで 分類・共有・記録する MITRE ATT&CK 共通の攻撃カタログ ギャップ分析 自社の対策状況をマトリクスに マッピングして弱点を可視化 製品・ツール評価 EDRやSIEMが何の技術を カバーするか比較検討 脅威インテリジェンス 攻撃グループの手口を ATT&CK IDで共有・比較 技術ID(例: T1566 フィッシング / T1078 有効なアカウント)を使うことで 組織をまたいだ攻撃情報の共有・比較が正確にできるようになる

ATT&CK Navigator(ナビゲーター)

MITRE が提供する無料のウェブツール「ATT&CK Navigator」を使えば、マトリクスに色を塗って自社のカバー状況を視覚化できます。「どこが赤(未対策)でどこが緑(対策済み)か」を一目で確認できるため、経営層への報告資料にも活用されています。

よく比較される他のフレームワーク

フレームワーク主な目的ATT&CKとの関係
MITRE ATT&CK攻撃者の戦術・技術カタログ本体
Cyber Kill Chain攻撃の7段階フェーズモデルATT&CKより大まかな粒度
NIST CSFセキュリティ管理の全体フレームワークATT&CKと組み合わせて使う
D3FEND防御技術のカタログ(ATT&CKの防御版)MITREが同様に公開
STIX/TAXII脅威情報の共有フォーマットATT&CKのデータをSTIX形式で配布

ATT&CK vs Cyber Kill Chain(粒度の違い)

Cyber Kill Chain(7段階・大まか)
  [偵察] [武器化] [配送] [攻撃実行] [インストール] [C2] [目的実行]
      ↓ より細かく分解・詳細化したのが
MITRE ATT&CK(14戦術・700以上の技術・さらにサブ技術)

Cyber Kill Chain が「地図の県境」なら、ATT&CKは「番地まで書いた住宅地図」のイメージです。

関連用語

  • サイバーキルチェーン — 攻撃を7フェーズに分けた攻撃モデル
  • EDR — エンドポイントでの脅威検知・対応ツール(ATT&CKのカバレッジ評価対象)
  • SOC — セキュリティ運用センター。ATT&CKをインシデント分類に活用
  • 脅威インテリジェンス — 攻撃者・手口の情報収集・分析
  • SIEM — ログ収集・分析基盤。ATT&CKと連携してアラートを分類
  • ゼロトラスト — 信頼しない前提のセキュリティ設計モデル
  • NIST CSF — 米国標準のサイバーセキュリティ管理フレームワーク
  • ペネトレーションテスト — 実際に攻撃してセキュリティを検証するテスト手法