MITRE ATT&CK
定義
MITRE ATT&CKは実際の攻撃事例から収集した攻撃者のTTP(戦術・技術・手順)を体系的にまとめたナレッジベースで、MITREが2013年から公開・維持管理しています。14のタクティクス(偵察・リソース開発・初期侵入・実行・永続化・権限昇格・防御回避・認証情報アクセス・探索・ラテラルムーブメント・収集・C2・持ち出し・インパクト)と200以上のテクニック・サブテクニックで構成されています。SOCはアラートをATT&CKのIDにマッピングすることで攻撃の段階・目的を即座に把握でき、ATT&CK Navigatorで自組織の検知カバレッジをヒートマップで可視化して優先的に強化すべきフェーズを特定できます。レッドチームはATT&CKに沿って攻撃シナリオを設計し、ブルーチームはその結果をもとに検知・防御ルールを改善するPurple Teamingが特に有効です。脅威インテリジェンスプロバイダーも各APTグループが使うテクニックをATT&CKにマッピングして提供しており、脅威インテリジェンスと防御設計の共通言語として機能しています。
詳細解説
ATT&CKはTactics(戦術 = 攻撃者の目的)・Techniques(技術 = 達成方法)・Sub-techniques(サブ技術)の階層で体系化されています。SOCのアラートをATT&CKのIDにマッピングすることで攻撃のフェーズを即座に把握できます。ATT&CK Navigatorで自組織の検知カバレッジを可視化し、防御の優先度付けに活用できます。
ポイント
- 14タクティクス:偵察・リソース開発・初期侵入・実行・永続化・権限昇格など
- ATT&CK Navigatorで自組織の検知カバレッジをヒートマップで可視化できる
- SIGMA規則・YARA・Snortルールと組み合わせて検知を実装に落とし込む
- D3FEND(防御版ATT&CK)と対応させて防御策の網羅性を確認できる
関連用語
同じカテゴリの用語(フレームワーク)
脆弱性に付与される一意の識別番号。「CVE-2024-12345」の形式。MITRE Corporationが管理し、N…
脆弱性の深刻度を0〜10のスコアで表す業界標準指標。基本値・現状値・環境値の3つのスコアで構成。9以上が「緊急(Crit…
情報セキュリティ管理システム(ISMS)の国際規格。リスクベースのアプローチで情報資産を保護する管理体制を構築・運用・評…
NIST(米国標準技術研究所)が発行するサイバーセキュリティの管理フレームワーク。バージョン2.0では「統治・特定・防御…
Open Web Application Security Projectが発行するWebアプリの最重要脆弱性Top 1…
Lockheed Martinが提唱する攻撃フェーズモデル。偵察→武器化→配送→エクスプロイト→インストール→C2→目的…