HC
Admina Team
2025/09/24
サイバー攻撃が巧妙化・複雑化する現代において、攻撃者の戦術や技術を体系的にまとめたMITRE ATT&CKが注目されています。
この記事では、MITRE ATT&CKの基本的な概念から、具体的な構造、実際のビジネスシーンでの活用事例まで分かりやすく解説します。
MITRE ATT&CKとは
MITRE ATT&CKは、世界各地で報告された実際の攻撃事例を分析・集約したデータベースであり、 攻撃者がどのような目的で、具体的にどのような行動をとるのかを体系的に整理したナレッジベースです。米国の非営利団体であるMITRE社によって開発、維持されています。
このフレームワークを参照することで、攻撃者の行動パターンを客観的に把握し、自社のセキュリティ対策に潜む弱点やギャップを特定できます。
MITRE ATT&CKの読み方は「マイター・アタック」で、「Adversarial Tactics, Techniques, and Common Knowledge」の略称です。
ATT&CKフレームワークの構造
ATT&CKが広く利用される理由の一つは、その階層的な構造により攻撃手法を体系的に整理できる点にあります。攻撃者の行動を戦術、技術、手順という階層で整理することで、複雑なサイバー攻撃を分解し、理解しやすくしています。
戦術(Tactics)
戦術は、攻撃者が達成しようとする短期的な目的を表します。偵察、初期アクセス、実行、潜伏、権限昇格などがこれにあたります。これらは攻撃の一連の流れにおける各フェーズと考えることができます。
技術(Techniques)
技術は、戦術を達成するために用いられる具体的な行動や手法です。例えば、初期アクセスという戦術の中には、フィッシングといった技術が存在します。さらに、多くの技術はより具体的なサブテクニックに細分化されており、攻撃手法をさらに詳細に理解するのに役立ちます。
手順(Procedures)
手順は、特定の攻撃グループやマルウェアが、ある技術をどのように使用したかという具体的な実装例を指します。これにより、理論上の技術だけでなく、実際にどのように悪用されているかを知ることができます。
ATT&CKのマトリックス
ATT&CKの最も特徴的な要素はマトリックスです。これは攻撃者の行動を一覧できる巨大な表形式のフレームワークです。
Enterprise Matrixの全体像
ATT&CKの中心となるのが、Enterprise Matrixです。Windows、macOS、Linuxといった企業のIT環境が主な対象で、横軸に戦術、縦軸に各戦術に紐づく技術がマッピングされています。セキュリティ担当者は、このマトリックスに自社の検知・防御能力を重ね合わせることで、対策の穴を視覚的に発見できます。
Enterprise以外のマトリックス
ATT&CKはエンタープライズ環境だけでなく、モバイルデバイスを対象としたMobile Matrixや、産業用制御システムを対象としたICS Matrixも提供しています。これにより、組織が持つ多様な環境に応じたセキュリティ対策の検討が可能になります。
ATT&CKとサイバーキルチェーンの違い
ATT&CKとしばしば比較される概念に、サイバーキルチェーンがあります。
視点の違い
サイバーキルチェーンは、攻撃の一連の流れを7つの段階で捉える高レベルなモデルです。攻撃のフェーズを大まかに把握するのに適しています。
一方、ATT&CKは各フェーズで具体的に何が行われるのかという技術レベルまで深く掘り下げます。サイバーキルチェーンが攻撃のシーケンス、つまり一連の流れを示すのに対し、ATT&CKは攻撃者が各段階で取りうる行動の選択肢を示している点が大きな違いです。
2つのフレームワークを組み合わせた効果的な防御
この2つは対立するものではなく、むしろ相補的な関係にあります。まずサイバーキルチェーンで攻撃全体の流れを大局的に捉え、次にATT&CKを用いて各段階で想定される具体的な攻撃技術を詳細に分析するという使い方が効果的です。
両者を組み合わせることで、戦略レベルの防御計画と、戦術レベルの具体的な対策を連動させることができます。
MITRE ATT&CKの具体的な活用事例
ATT&CKは理論的なフレームワークにとどまらず、実際のセキュリティ業務の様々な場面で実践的に活用されています。ここでは、代表的な活用事例を3つ紹介します。
セキュリティ製品・SOCの評価
自社が導入しているセキュリティ製品や、SOC(Security Operation Center)のサービスが、どの攻撃技術を検知・防御できるのかをATT&CKのマトリックスに照らして評価できます。これにより、「ウイルス対策ソフトは導入しているが、ファイルレス攻撃には弱い」といった具体的な弱点を発見できます。製品選定やサービス契約の際に、ATT&CKへの対応度を客観的な判断基準として活用する企業の事例が報告されています。
脅威インテリジェンスの分析
日々報告される新たなサイバー攻撃の情報を、ATT&CKのフレームワークを使って整理・分析できます。例えば「Aという攻撃グループは、初期アクセスのためにT1566(フィッシング)を、権限昇格のためにT1055(プロセスインジェクション)を多用する」といった形で脅威情報を構造化できます。これにより、単なる情報の収集にとどまらず、自組織にとって特に注意すべき攻撃手法を特定し、優先的に対策を講じることが可能になります。
インシデント対応と分析の高度化
万が一セキュリティインシデントが発生した際、観測された事象がATT&CKのどの技術に該当するかを特定することで、インシデントの全体像を迅速に把握できます。例えば、特定のマルウェアの活動が、T1059(コマンドラインインターフェイス)とT1071(標準アプリケーション層プロトコル)にマッピングされた場合、攻撃者がコマンドで不正な通信を行っている可能性が高いと推測できます。これにより、より的確な封じ込めや復旧作業へと繋げられます。
レッドチーム演習やペネトレーションテストの計画
攻撃者の視点でシステムの脆弱性を評価するレッドチーム演習やペネトレーションテストにおいて、ATT&CKは攻撃シナリオを作成するための宝庫となります。現実に観測されている攻撃技術をベースにシナリオを構築することで、より実践的で効果的なテストが実施できます。
セキュリティ人材の育成と共通言語の確立
ATT&CKは、セキュリティチーム内や、経営層を含む他部署とのコミュニケーションにおいて、サイバー攻撃に関する共通言語として機能します。チームメンバーがATT&CKを基準に議論することで、認識の齟齬が減り、スキルアップにも繋がります。
ATT&CKを日本語で学ぶ方法
ATT&CKは英語圏で生まれたフレームワークですが、幸いなことに日本語で学べるリソースも充実してきています。
公式サイトの日本語情報
MITRE ATT&CKの公式サイトには、一部日本語化されたコンテンツが公開されています。トップページや概要説明など、基本的な情報を日本語で確認できるため、最初のステップとして最適です。常に最新の情報が反映される公式サイトを起点に情報を追うことが重要です。
国内セキュリティ機関の資料
日本のセキュリティを支えるIPA(情報処理推進機構) やJPCERT/CCといった公的機関も、ATT&CKに関する解説資料や翻訳ドキュメントを公開しています。これらの資料は日本のセキュリティ事情に合わせて解説されている場合もあり、より実践的な知識を得るのに役立ちます。
まとめ
MITRE ATT&CKは、サイバーセキュリティ対策を語る上で欠かせない世界共通の言語です。攻撃者の行動を戦術と技術の組み合わせで理解するこのフレームワークは、セキュリティ製品の評価、脅威インテリジェンスの分析、そしてインシデント対応の高度化など、多岐にわたる場面でその真価を発揮します。
サイバーキルチェーンのような高レベルなモデルと組み合わせることで、より重層的で効果の高い防御戦略を構築できます。まずは公式サイトや国内機関の資料を手がかりに、自社のセキュリティ対策とATT&CKのマトリックスを照らし合わせることから始めてみてください。攻撃者の視点を持つことが、自組織を守るための最も確実な一歩となるでしょう。
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
