MITRE ATT&CK フレームワーク

MITRE ATT&CK フレームワークとは?

MITREは政府が支援する非営利団体で、政府機関や国防請負業者を含むあらゆる部門の防御的ITセキュリティを支援するため、連邦政府資金によるサイバーセキュリティ研究を実施している。 

MITREATT&CK®(AdversarialTactics, Techniques, and Common Knowledge)は、2018年に初めて公開されたサイバーセキュリティ情報のフリーでオープンな知識ベースです。ATT&CKは、サイバーセキュリティアナリストなどがサイバー防衛プログラムの計画や設計のためにサイバー脅威インテリジェンス(CTI)の知見を得るのを支援し、共通の参照語彙を提供することでコミュニケーションを促進するように設計されています。 

MITRE ATT&CK タクティクス

MITRE ATT&CK マトリックス

MITRE の ATT&CK フレームワーク一式は、3 つの主なバリエーションに分岐しており、それぞれが特定のターゲット IT 環境に適用される TTP のサブセットを含んでいます。各バリアントは"マトリックス "として知られている。 

ATT&CKフレームワークの3つの主要なマトリックスは、エンタープライズマトリックス、モバイルマトリックス、ICS(産業制御システム)マトリックスである。エンタープライズマトリクスとモバイルマトリクスは、それぞれの環境に関連する戦術、技術、手順(TTP)のみを含むようにフィルタリングされたサブマトリクスにさらに細分化される。

エンタープライズATT&CKマトリックス

エンタープライズATT&CKマトリックスには、企業のインフラに対するサイバー攻撃に適用される14の戦術が含まれています。エンタープライズマトリックスは、さらに 7 つのサブマトリックスに限定することができます。これらのサブマトリックスは、攻撃前の活動(PRE マトリックス)、特定の OS に対する攻撃(Windows、Linux、macOS マトリックス)、ネットワークインフラに対する攻撃(ネットワークマトリックス)、クラウドインフラに対する攻撃(クラウドマトリックス)、コンテナに対する攻撃(コンテナマトリックス)に焦点を当てています。

モバイルATT&CKマトリックス

モバイル ATT&CK マトリックスには 14 の戦術が含まれるが、エンタープライズ・マトリックスと は若干異なり、"偵察 "と "資源開発 "の戦術が "ネットワーク効果 "と "リモートサービス 効果 "に置き換えられている。モバイルマトリックスでは、ターゲットとなるモバイル OS(iOS、Android)に焦点を当てている。モバイルに特化した戦術が追加されたことで、WiFi 接続を介して転送中のデータを傍受して改ざんする可能性や、モバイルアプリやサービスを侵害することで目的を達成する能力が強調されています。

産業制御システム(ICS)ATT&CKマトリックス

ICS ATT&CK マトリクスには、ICS に対するサイバー攻撃に適用可能な 12 の戦術が含まれている。このマトリックスには、「クレデンシャルアクセス」または「流出」戦術は含まれないが、その代わりに、エンタープライズマトリックスやモバイルマトリックスにはない 2 つの独自の戦術が含まれている:"応答機能の阻害 "と "プロセス制御の阻害 "である。独自の ICS 戦術には、安全、保護、品質保証、またはオペレータの介入機能を阻害する、あるいは設定パ ラメータやファームウェアを変更してプロセス制御を損ない、物理的なインフラに損害を与える、といった敵対 的な活動が含まれる。

ATT&CK 戦術、技術、手順

完全な攻撃的サイバーキャンペーンはいくつかの段階から構成され、目標を達成するためには複数の戦術を組み合わせる必要がある。MITRE ATT&CK は、TTP の視点を使用して、サイバーセキュリティの知識を階層的なフレームワークに整理しています。戦術は、ATT&CK 階層における最上位のカテゴリであり、攻撃のさまざまな段階で攻撃者が達成しようとする具体的な目標に対応します。 

ATT&CK戦術

  • 偵察(エンタープライズ、ICS)
  • リソース開発(エンタープライズ、ICS)
  • 初期アクセス
  • 実行
  • 永続性
  • 特権のエスカレーション
  • 防御回避
  • クレデンシャル・アクセス(エンタープライズ、モバイル)
  • ディスカバリー
  • 横の動き
  • コレクション
  • 指揮統制
  • 流出(エンタープライズ、モバイル)
  • インパクト 
  • ネットワーク効果(モバイルのみ)
  • ネットワークサービス効果(モバイルのみ)
  • 反応抑制機能(ICSのみ)
  • プロセス制御を損なう(ICSのみ)
各戦術には複数のテクニックが含まれ、それぞれが戦術目標を達成するための戦略的手法を定義しています。ATT&CK フレームワークの最も低い階層レベルには、ツール、プロトコル、実際のサイバー攻撃で観測されたマルウェアの系統など、各テクニックの詳細な手順が含まれています。最下層の ATT&CK 情報には、各テクニックを使用することが知られている敵対グループなど、その他の共通知識も含まれます。

MITRE D3FEND

MITRE D3FENDは、MITRE が「知識グラフ」と定義する知識ベースで、防御的なサイバーセキュリティ対策、コンポーネント、およびそれらの関連性と能力のライブラリを提供します。これは、サイバー犯罪者の戦術、技術、手順(TTP)のMITRE ATT&CKフレームワークを補完するものです。

MITRE ATT&CK vs サイバー・キルチェーン

Cyber Kill Chain®は、ロッキード・マーチン社が2011年に発表したサイバー攻撃のフレームワークです。MITRE ATT&CKと同様に、Cyber Kill Chainはすべてのサイバー攻撃行動を連続的な戦術に分類しています。

サイバー・キルチェーンの7つの段階

  1. 偵察
  2. 兵器化
  3. 配送 
  4. 搾取
  5. インストール
  6. 指揮統制
  7. 目標に対する行動

サイバーキルチェーンは、MITREのATT&CKフレームワークとは根本的に異なり、すべてのサイバー攻撃が成功するためには特定の一連の戦術に従わなければならないと主張しています。2つのフレームワークのもう1つの違いは、サイバーキルチェーンは本質的にサイバー攻撃を構成する一連の段階であり、「キルチェーン」のいずれかの段階を「破る」ことで攻撃者が目的を成功裏に達成することを阻止し、防御者に保護を与えるという一般的な防御セキュリティの公理と組み合わされていることです。 

MITRE ATT&CK は攻撃戦術のシーケンス以上のものです。これは、特定の敵対グループへの帰属など、戦術、技術、手順、その他の共通知識の階層に沿って環境固有のサイバーセキュリティ情報を関連付ける深い知識ベースです。

MITRE ATT&CK フレームワークの使用方法

ATT&CKには、広範でハイレベルな視点と、粒度の細かいローレベルな情報が含まれているため、セキュリティチームはこれを使用して、明確なサイバー攻撃の目的とローレベルな情報との間の知識のギャップを埋めることができます。このため、サイバーセキュリティ教育や企業のセキュリティ・プログラムを計画するための強力なツールとなります。

MITRE ATT&CK ユースケース

脅威ハンター、レッドチーマー、防御者は、ATT&CKをサイバー攻撃に対する洞察や、企業のサイバーセキュリティ・プログラムを策定する際に関係者間のコミュニケーションの参照として使用できる標準的な分類システムのために使用する。

ATT&CKはサイバー攻撃情報の包括的な知識ベースであるため、攻撃の目標と方法論のチェックリストとして機能する。このチェックリストを使用して、セキュリティ対策を実施することを正当化し、実際のサイバー攻撃を構成するすべての要素に対して包括的である程度の防御を提供できるようにすることができます。

ATT&CKはまた、侵入テスト担当者、レッドチーム、セキュリティ製品テスト担当者が、現実的なサイバー攻撃をエミュレートするために使用することもできます。ATT&CKは、模擬敵対者が攻撃の状況を理解し、現実の攻撃者と同じ戦術やテクニックを適用することを可能にします。

よくあるご質問

MITRE ATT&CKとは?

ATT&CKとは、Adversarial Tactics, Techniques, and Common Knowledgeの略。

MITRE ATT&CK フレームワークとは?

MITRE ATT&CKは、サイバーセキュリティアナリストやその他の関係者がサイバー脅威インテリジェンス(CTI)の見識を深め、攻めと守りのサイバーセキュリティに関するコミュニケーションを円滑にするために設計された、サイバー攻撃戦略と関連情報のフリーでオープンな知識ベースです。

MITRE ATT&CKマトリックスとは?

MITRE ATT&CK マトリクスは、サイバー犯罪者の個々の目標と戦略を構成する攻撃戦術とテクニックの階層的なフレームワークです。ATT&CKマトリックスには3つの主要なものがあり、それぞれ異なる環境に対応しています:エンタープライズ、モバイル、産業制御システムです。

BlackBerry MITRE ATT&CK エミュレーションでサイバーセキュリティが100%有効であることが証明される

BlackBerryの一連のサイバーセキュリティ・ソリューション(Cylance )は、MITRE ATT&CKの2022年評価において、Wizard SpiderとSandwormの両攻撃のエミュレーションを、被害が発生する前の非常に早い段階で100%防ぐことに成功した。 

BlackBerry's CylancePROTECT®CylanceOPTICS®のソリューションは、個々の攻撃テクニックを高い信頼性で包括的に検出し、誤検出を追うために費やされる無駄なリソースの削減に貢献しました。

さらに詳しく

関連リソース

リソース・アイコン データ損失防止(DLP) リソース・アイコン エンドポイントセキュリティ リソース・アイコン エンドポイント・プロテクション・プラットフォーム(EPP) リソース・アイコン エンドポイント検出と応答(EDR) リソース・アイコン エクステンデッド・ディテクション&レスポンス(XDR) リソース・アイコン アイデンティティとアクセス管理(IAM) リソース・アイコン マネージド・ディテクション&レスポンス リソース・アイコン マネージドXDR リソース・アイコン MITRE ATT&CK フレームワーク リソース・アイコン モバイル脅威防御(MTD) リソース・アイコン ユーザーとエンティティの行動分析(UEBA) リソース・アイコン ゼロ・トラスト・アーキテクチャ リソース・アイコン ゼロ・トラスト・ネットワーク・アクセス(ZTNA) リソース・アイコン ゼロ・トラスト・セキュリティ リソース・アイコン セキュリティ情報・イベント管理(SIEM) リソース・アイコン セキュアアクセスサービスエッジ(SASE)
その他のリソース