サイバー攻撃の手法は巧妙化が進んでおり、これを防ぐことだけでなく攻撃を受けた後の対策が重要視されるようになってきました。今回ご紹介するMITRE ATT&CK®は、侵入された後の対策に使われるナレッジベースであり、セキュリティフレームワークです。サイバー攻撃者の行動を理解し、それを防御に活用することを目的に生まれました。実際の攻撃で使われた戦術や手法を基に考案された方法論と緩和策は、世界中の民間企業や政府機関、そしてサイバーセキュリティ関連コミュニティにおいても、特定の脅威モデルや方法論を開発するための基盤として活用されています。本記事ではこのMITRE ATT&CKの誕生背景や概要、活用法に加え、頻繁に使われている用語などについてもわかりやすく解説します。
- 「敵対者が用いる戦術・技術・手順を体系化したナレッジベース」
- どんなナレッジベース?構成要素と情報構造
- MITRE ATT&CKの特徴
- どのようなニーズから誕生し、発展してきたのか
- サイバーキルチェーンとの違い
- Tactics/戦術
- Techniques/テクニック
- Sub-techniques/サブテクニック
- Procedures/手順
- Groups/グループ
- Software/ソフトウェア
- Mitigation/緩和策
- 各用語の関係性
- Enterprise、Mobile、ICS
- PRE-ATT&CK
- 敵対的エミュレーションのシナリオ作成
- レッドチーミングのプラン作成
- 行動分析の開発
- 防御ギャップの評価
- SOCの成熟度評価
- 脅威インテリジェンスの価値向上
- Silobreaker
- Flashpoint
- Anomali
MITRE ATT&CKとは
「敵対者が用いる戦術・技術・手順を体系化したナレッジベース」
MITRE ATT&CK(マイターアタック)は、共通脆弱性識別子「CVE識別番号(CVE-ID)を管理する米国の非営利組織MITREによって考案されました。「ATT&CK」は「Adversarial Tactics, Techniques, and Common Knowledge」の頭文字を略したもので、直訳すると「敵対的な戦術と技術(テクニック)、共通知識」という意味。その名の通り、ATT&CK内には攻撃者が使用し得るさまざまな戦術やテクニックなどの情報が体系的にまとめられています。
もう少し具体的に説明すると、ATT&CKではサイバー攻撃を「偵察」「リソース開発」「初期アクセス」などの14フェーズ(ATT&CK内での呼称は「戦術」)に分け、それぞれのフェーズで使われるテクニックを細かく説明した上で、各テクニックを検知したり緩和したりするための対策なども提供しています。
ATT&CKは年2回の頻度でアップデート(最新版v15.1は2024年4月23日に更新)されており、MITREのホームページから閲覧できるほか、情報のソースは公開情報、さらに情報提供も可能となっていて、あらゆる個人や組織が無料で利用できます。
どんなナレッジベース?構成要素と情報構造
先ほど少し触れたように、MITRE ATT&CKにはサイバー攻撃のサイクルを構成するさまざまなフェーズ(戦術)と、それぞれに関わる細かなテクニックや攻撃手法・手段などが記載されています。こうした情報はいずれも、敵対者がどんなプラットフォームを標的として狙っているのか、ネットワークをどんな手口でどのツールを使って侵害するのか、侵害後にどのような活動を行うのか、といった「敵対者の行動」を理解する上で役立ちます。
では、MITRE ATT&CKは具体的にどのような要素で構成されているのでしょうか?また、各データはどんな構造で集約されているのでしょうか?
MITRE ATT&CKの構成要素
まず、MITRE ATT&CKのコアとなる構成要素は以下の4つです。
- 戦術:敵対者の短期的な戦術的目標および目的。サイバー攻撃の「フェーズ」とも捉えられる。各戦術にはID番号が付与されている【例 Initial Access:初期アクセス(TA0001)、Privilege Escalation:権限昇格(TA0004)など】
- テクニック(技術・攻撃手法):戦術的目標を達成するための手段。各テクニックにはID番号が付与されている【例 Phishing:フィッシング(T1566)、Scheduled Task/Job:予定されたタスク/ジョブ(T1053)など】
- サブテクニック:テクニックよりもさらに具体的な手段。各サブテクニックにはID番号が付与されている【例 Spearphishing Attachment:添付ファイルを使ったスピアフィッシング(T1566.001)、cron(T1548.003)など】
- 手順:実際の攻撃で観測された、敵対者による各テクニックおよびサブテクニックの具体的な活用事例。【例 脅威グループAPT12は、悪意あるMicrosoft Office文書とPDFの添付されたEメールを送付していた、など】
上記のコア要素に加えて、各テクニックおよびサブテクニックのセクションでは以下のような情報も提供されています。
- 緩和策
- 脅威検知手法
- 標的となるプラットフォーム(例:Windows、Google Workspace、Linux、macOSなど)
- 情報提供者
など
MITRE ATT&CKの情報構造
上記の要素はどのような構造でまとめられているのでしょうか?MITRE ATT&CKでは、下図のようなマトリクス形式で戦術が左から右へ、テクニックが上から下へ記されており、それぞれのテクニックの中にサブテクニックが記されています。
細かく見てみると、戦術、テクニック、サブテクニックの関係性は以下のようになっています。
つまり、戦術を構成するテクニックがあり、そのテクニックをさらに細かく分類したサブテクニックがあるわけです。
図の例で説明すると、標的のシステムで「Persistence:永続化」を確立するために使われるテクニックが「Account Manipulation:アカウント操作」や「Boot or Logon Autostart Excecution:ブートまたはログオン時の自動実行」など20件あり、「Account Manipulation:アカウント操作」のサブテクニックが6件あることを示しています。ただし、すべてのテクニックにサブテクニックがあるわけではなく、その数もATT&CKが更新されるたびに変化します。
MITRE ATT&CKの特徴
攻撃する側の視点を採用している
このモデルにまとめられた戦術やテクニックの用語と説明において、敵対者の視点を取り入れていることがMITRE ATT&CKの大きな特徴です。
敵対者の視点から戦術やテクニックを整理することで、敵対者の動機や最終目標に目を向けられるようになります。動機や最終目標といったコンテキスト(背景)が分かれば、セキュリティ機器からアラートが上がった際に、「何が起こったか」を知るだけでなく、「なぜ起こったか」「その前に何が起きたか」や「その後何が起こるか」といった問いを立てられるようになります。こうした問いは、防御のカバレッジ評価や防御戦略の見直しを行う際に参考となります。
実際の攻撃で観測された情報に基づいている
ATT&CKで説明されている活動の多くは、高度持続的脅威グループ(APT)のものとされる行動であり、公に報告されたインシデントに基づいています。これがナレッジベースの基盤になっているため、実際に発生した、または発生する可能性の高い行動が正確に描写されています。使い勝手が悪く、実用性に乏しい理論上の手法ではなく、実世界で遭遇する可能性の高い脅威がベースになっているのです。
また、ATT&CKはインシデントだけではなく、攻撃的な調査によって発見・報告されたテクニック(例えば、現在一般的に用いられる防御策を破るテクニック)にも基づいています。
ATT&CKのテクニックに関する新しい情報は、脅威インテリジェンスレポートやカンファレンスでのプレゼン、ウェビナー、ソーシャルメディア、ブログ、オープンソースのコードリポジトリ、マルウェアのサンプルなどさまざまなソースから集められます。加えて、実際に観測されているテクニックやその緩和策などについては、コミュニティからの情報提供に大きく依存しています。
敵対者の行動を防御策と関連付けやすい程度に抽象化
敵対者の戦術とテクニックの抽象化レベルも、ほかの脅威分析モデルとの大きな違いです。米ロッキード・マーティン社が2011年に提唱した「サイバーキルチェーン」やマイクロソフトの「STRIDE」といった抽象度の高いモデルは、高度化するサイバー攻撃の体系やプロセスを理解し、敵対者の目標を理解するために確かに役立ちます。しかし、敵対者の行動の一つひとつがどのように関連しているのか、その一連の行動が戦術的目標とどのように関連しているのか、そしてデータソースや防御策、構成、プラットフォームとドメインのセキュリティに使われるその他の対策とどのように関連しているのかを伝えるには効果的ではありません。
対照的に、エクスプロイトデータベースとそのモデルには、悪用可能なソフトウェアの具体例が説明されており、多くのケースでコード例が利用可能になっています。しかし、各エクスプロイトを使える状況や、使うべき状況、使いにくさとの関係性は極めて極めて希薄です。同じくマルウェアデータベースもありますが、こちらはマルウェアが誰によってどう使われるかについての説明が足りず、正規のソフトウェアが有害な目的でどのように使われる可能性があるかについても考慮されていません。
こういったさまざまな要素を結びつけるために必要なのが、MITRE ATT&CKのような中間レベルの敵対者モデルであると、MITREは指摘しています。ATT&CKは、敵対者の「プロセス」や「目標」といった抽象度の高い要素と、「エクスプロイト」や「悪意あるソフトウェア」といった抽象度の低い要素を互いに結びつけることで、各要素を防御に役立てやすい形に可視化するのです。
どのようなニーズから誕生し、発展してきたのか
MITREは自らの研究プロジェクト「FMX(Fort Meade Experiment)」で使うことを目的に、APTがMicrosoft Windowsシステムを侵害した後に用いる一般的な戦術・技術・手順(Tactics, Techniques, Procedures : TTP)を文書化するため、2013年9月からMITRE ATT&CKの開発に着手しました。
2010年に始まったFMXの目標は、端末のテレメトリデータや解析結果の活用法を調査することを通じ、敵対者の企業ネットワークへの侵入後(post-compromise)における検知を改善することでした。
この目標を達成するため、FMXでは複数回のレッドチーム演習が繰り返されましたが、演習の中でATT&CKは、敵対的エミュレーションのシナリオを作成する際の枠組みとして用いられました。このシナリオを用いて、現実の攻撃にヒントを得た活動を、演習環境内で模倣(エミュレーション)し、設置されたセンサーなどが敵対的行動を検知できているかを検証したのです。MITREによれば、ATT&CKを用いた結果、検知の能力が急速に、それも規則的かつ反復可能な形で向上したとのことです。
オリジナルのATT&CKは2015年5月に一般公開され、2017年からはLinuxとmacOSがカバーされたほか、企業向けのATT&CKを「ATT&CK for Enterprise」として整理し、侵害前の行動に焦点を当てた「PRE-ATT&CK」も追加(2020年に「Enterprise」と統合)されました。その後はモバイルデバイス(2017年)やクラウドベースのシステム(2019年)、産業用制御システム(2020年)といった領域が加わり、現在では「Enterprise」とモバイル機器向けの「Mobile」、さらに産業用制御システム向けの戦術とテクニックをまとめた「ICS」が提供されています。また内容は「Enterprise」がOSまたはプラットフォーム別に、「Mobile」がOS別にまとめられています。
サイバーキルチェーンとの違い
サイバー空間での犯罪や攻撃を特定・阻止するために使われる概念として、MITRE ATT&CKと同様に広く知られているのがサイバーキルチェーンです。サイバーキルチェーンは攻撃の手順を7ステップに分け、各フェーズに応じてどのような対策をとるべきかを理解する指針として活用されていますが、これをさらに細かく分け、より進化させたものがMITRE ATT&CKと言っていいでしょう。
下図の通り「偵察」「武器化(リソース開発)」までは両方に共通していますが、MITRE ATT&CKでは「配送」以降のフェーズを12段階に細分化。各フェーズを敵対者の「戦術」とみなし、それぞれで使われるテクニック・攻撃手法はもちろん、サブテクニックや緩和策、検知方法も細かく記載しています。
MITRE ATT&CKの主なコンセプト、用語
Tactics/戦術
使われたテクニックやサブテクニックで達成する「目標」を指し、敵対者が行動を起こす「理由」を指します。例えば「Reconnaissance:偵察」を行うために「Active Scanning:アクティブスキャン」「Gather Victim Host Information:被害者のホストに関する情報収集」「Scanning IP Blocks:IPブロックのスキャン」「Vulnerability Scanning:脆弱性のスキャン」といった手法が選択されます。
Techniques/テクニック
攻撃に使われる技術・手法で、敵対者が「どのような行動」で戦術的目標を達成するかを表します。例えば「Credential Access:認証情報アクセス」を行うためのテクニックには「Adversary-in-the-Middle:AiTM攻撃」や「Brute Force:ブルートフォース」のほか、「Credentials from Password Stores:パスワードストアの認証情報」「OS Credential Dumping:OSクレデンシャルダンピング」などがあります。
Sub-techniques/サブテクニック
テクニックに定義されている行動をさらに細分化し、敵対者が目的を達成するために採用するアクションをより具体的に説明しています。前述の「OS Credential Dumping:OSクレデンシャルダンピング」には「LSASS Memory:LSASSメモリ」や「Security Account Manager:セキュリティアカウントマネージャー」など、現時点で8つのサブテクニックがあります。
Procedures/手順
敵対者がテクニックやサブテクニックを具体的にどんな風に取り入れているのか、または実際の攻撃でどう使用しているのかを示す情報です。それぞれのテクニックおよびサブテクニックのページには、「Procedure Examples」として手順の具体例が記載されています。例えば「Spearphishing Link:リンクを使ったスピアフィッシング」というサブテクニックに関しては、以下のような手順例があります。
- スピアフィッシングによって送られるリンク経由で、AppleJeus(マルウェアの一種)が配布されている
- 脅威グループAPT1は、悪意あるファイルへ繋がるハイパーリンクの含まれたスピアフィッシングメールを送付していた
- サイバースパイグループElderwoodは、悪意あるコンテンツへ繋がるリンクを含んだ標的型Eメールを通じて、被害者へゼロデイエクスプロイトとマルウェアを配布していた
など
Groups/グループ
敵対者または脅威アクターの集まりだけでなく、持続的標的型攻撃を行う脅威グループや脅威アクティビティのキャンペーンを指す場合もあります。MITRE ATT&CKではAPTに主な焦点が当てられていますが、経済的動機を持つ攻撃者などその他の脅威グループも含まれます。テクニックを直接使うことも、テクニックを実装したソフトウェアを使うこともあります。
Software/ソフトウェア
敵対者が侵入の際に使用するソフトウェアを指します。テクニックやサブテクニックを実装したものとも捉えられます。大きく分けてツールとマルウェアがあり、前者には防御者やペンテスター、レッドチームまたはアドバイザーが使用できる商用、オープンソース、組み込み型あるいは一般的に利用可能なソフトウェア(例:PsExec、Metasploit、Mimikatz、Windowsの各種ユーティリティなど)が含まれ、後者には敵対者による悪用を目的とした商用またはカスタムメイド、クローズド/オープンソースのソフトウェア(例:PlugX、CHOPSTICKなど)が含まれます。
Mitigation/緩和策
攻撃に対する緩和策を指します。テクニックまたはサブテクニックが正常に実行されることを防ぐために使用できるセキュリティ概念やテクノロジーを意味し、アプリケーションの分離やサンドボックス化、データのバックアップ、実行防止、ネットワークセグメンテーションなどが含まれます。
各用語の関係性
一例として、APT28がWindows LSASSプロセスメモリのクレデンシャルダンピングにMimikatzを使うケースを図4に当てはめると、以下のようになります。
Enterprise、Mobile、ICS
敵対者が活動するエコシステムを指し、MITRE ATT&CKが構成される一連のテクノロジードメインを意味します。現時点で以下の3つのテクノロジードメインがあります。
- Enterprise:従来の企業ネットワークとクラウドテクノロジー
- Mobile:モバイル通信機器
- ICS (Industrial Control Systems): 産業用制御システム
PRE-ATT&CK
侵害前の偵察など攻撃の準備段階を理解するための補完的フレームワークで、2017年に公開されました。2020年にはMITRE ATT&CK for Enterpriseに統合され、「Reconnaissance:偵察」と「Resource Develpment:リソース開発」に置き換わっています。
MITRE ATT&CKの活用例
MITREは以下のような活用例を想定しています。
敵対的エミュレーションのシナリオ作成
敵対的エミュレーションとは、あるテクノロジー領域のセキュリティを評価するプロセスであり、特定の敵対者やその作戦に関する脅威インテリジェンスを用いて、当該脅威を模倣することによって行われます。敵対的エミュレーションで焦点となるのは、防御側が敵対者の活動を、攻撃ライフサイクルにおけるあらゆる地点で検知または緩和できるかを検証する能力です。
ATT&CKは、敵対的エミュレーションのシナリオ作成のためのツールとして利用できます。ATT&CK内に記された情報をもとに、特定の敵対者グループのプロファイルを構築することが可能です。
レッドチーミングのプラン作成
レッドチーミングとは、既知の攻撃手法にとらわれず敵対者の視点で擬似攻撃を行い、既存の防御力をテストするプロセスです。
ATT&CKは、ネットワーク内に導入されていると思われる特定の防御策を回避するよう、レッドチームプランを作成し、作戦を準備するためのツールとして利用できます。また、一般的な防御策に検知されない活動を実施する新たな方法を開発するための、調査ロードマップとしても利用可能です。
行動分析の開発
環境内の敵対行動を検出する行動分析を構築・テストするツールとしても、ATT&CKは使用できます。既知の侵害指標(IoC)や有害なアクティビティの痕跡にとどまらない行動を検出・分析することにより、敵対者のツールや指標に関する事前知識に依存せずに、システムまたはネットワーク内で想定される有害なアクティビティを特定できます。
防御ギャップの評価
一般的に敵対者が採用すると思われる攻撃モデルとして使用することで、既存の防御体制のどこに問題があり、脆弱なのかを判断するだけでなく、潜在的な盲点を評価することができます。特定されたギャップは、セキュリティプログラム改善に向けた投資の優先順位付けに役立ちます。
SOCの成熟度評価
ネットワークに対する脅威を継続的に監視するセキュリティオペレーションセンター(SOC)は、多くの中〜大規模エンタープライズネットワークに欠かせない重要な要素です。SOCの有効性を判断する測定値として、その成熟度と対応能力を理解・評価するためにATT&CKを活用できます。
脅威インテリジェンスの価値向上
ATT&CKは、脅威インテリジェンスの価値を向上させるために使用することが可能です。脅威インテリジェンスには、マルウェアやツール、TTP、トレードクラフト、行動動作、脅威関連の他の指標に関する情報が含まれます。
ATT&CKは、敵対的グループのプロファイルを、グループが使うツールにとらわれない、行動という観点から理解し記述するのに有用です。インテリジェンスアナリストや防御者は、多くのグループに共通する行動をより深く理解し、そうしたグループに対する防御策をより効果的にマッピングし、「敵対的グループAPT3に対する、うちの防御体制はどうなっている」といった問いを立てることができます。複数グループが同一のテクニック、行動を用いることを理解すれば、アナリストは多くのタイプの脅威にまたがる効果的な防御策に集中できます(下画像)。ATT&CKの構造化されたフォーマット(“T1595”などのID)は、標準的な指標だけでなく行動をカテゴライズすることで、脅威レポーティングにさらなる価値を付与することができます。
また、米CISA(サイバーセキュリティ・インフラストラクチャ・セキュリティ庁)の「Decider」は、MITRE ATT&CKによる脅威レポートでのマッピングを支援するツールの1つです。
その他の活用例としては
- 脅威インテリジェンスの収集と統合
- EDR(エンドポイントの検知と対応)
- 脅威ハンティング能力の向上
などが挙げられます。また、MITREはほかのテクノロジードメインにおける敵対的行動の分類に役立つ可能性も指摘しています。
最後に
MITRE ATT&CKはサイバー防御に関わるさまざまな取り組みに活用できる、完成度の高いフレームワークです。先ほど活用例の1つとして挙げたサイバー脅威インテリジェンスのプロセスにおいては、MITRE ATT&CKのデータが統合されたツールを併用することで、質の高いインテリジェンスを生成することができます。
株式会社マキナレコードでも、MITRE ATT&CKに対応したSilobreakerやFlashpoint、Anomaliといったインテリジェンスツールを提供しております。詳しくは弊社ホームページをご覧ください。
製品紹介
Silobreaker
Silobreakerはサーフェスウェブからデータを集積し、ダッシュボード上に可視化するOSINTツールです。世界中のニュースや、セキュリティ機関のアドバイザリ、ベンダーのホワイトペーパー、セキュリティ研究者のブログ記事、ソーシャルメディアなど、18か国語のソースからデータを自動収集し、傾向把握がしやすいグラフやマップなどの形式に処理した上で表示します。
例えば、以下の画像のように、オープンソースで特定期間に報告された脅威グループのTTPを、MITRE ATT&CK上にマッピングすることが可能です。複数の脅威グループのTTP情報をまとめてマッピングすることも可能であり、関心対象のグループに共通して用いられるTTPを、現行の防御策の評価に活用しやすい形で可視化することができます。
Flashpoint
Deep & DarkWeb(DDW)に特化した検索・分析ツールです。米国司法機関等を経て経験を積んだアナリストが、30以上の言語を対象としたサイバー犯罪や物理的なテロ脅威など多岐にわたり分析します。
一般的な脅威インテリジェンスレポートと同様、Flashpointのアナリストによるレポートの多くにはATT&CK IDが付与されており、他のThreat Intelligenceサービスとの連携にも対応しています。
Anomali
上記のような脅威インテリジェンスツールなど、さまざまなソースからの情報を1か所に集約します。集約した情報を自社のセキュリティシステム(SIEMやファイアウォールなど)と連携させて、サイバー脅威への自動対応を行うことも可能です。
ATT&CKフレームワークをインテグレートしており、セキュリティギャップの可視化などが可能です。
詳しい機能と活用事例については、関連記事(Anomaliにできること 活用事例)でご紹介しています。
Writer
米国留学後、まず翻訳会社で進行管理・渉外を担当し、その後はパン職人など異業種を経てフリーランスの翻訳家に転身。ヨーロッパのサッカーを中心に、各種スポーツや現代美術、ゲームといった分野で長らく英日翻訳に携わる。2023年夏、サイバーセキュリティをめぐる昨今の状況に危機感を覚え、その実状を幅広い読者に伝えたいという思いでマキナレコードの翻訳チームへ。