MITRE ATT&CK とは
MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge) は、実際の攻撃事例から体系化された、攻撃者の戦術・技術の知識ベースです。MITRE社が2013年から開発・公開しており、世界中のセキュリティ組織が標準的な共通言語として活用しています。
ATT&CKの読み方
「アタック」と読みます。Enterprise、Mobile、ICS(産業制御システム)の3つのマトリクスがあり、最も広く使われるのがEnterprise ATT&CKです。
TTP — 脅威の3階層
ATT&CKは攻撃者の行動を3つの階層で表現します。
| 用語 | 意味 | 例 |
|---|---|---|
| Tactics(タクティクス) | 攻撃の「目的・目標」 | 偵察、初期アクセス、横展開 |
| Techniques(テクニック) | 目的を達成する「方法」 | フィッシング、パスワードスプレー |
| Procedures(プロシージャ) | 特定グループの具体的手順 | APT29のSpearphishingの手順 |
14のタクティクス
Enterprise ATT&CKには14のタクティクスがあります(攻撃フェーズ順):
- TA0043 偵察 — 標的情報の収集
- TA0042 リソース開発 — インフラ・ツールの準備
- TA0001 初期アクセス — 標的ネットワークへの侵入
- TA0002 実行 — 悪意のあるコードの実行
- TA0003 永続化 — アクセスの維持
- TA0004 権限昇格 — より高い権限の取得
- TA0005 防御回避 — セキュリティ対策の回避
- TA0006 認証情報アクセス — パスワード・トークンの窃取
- TA0007 探索 — 環境の調査
- TA0008 横展開 — 他システムへの移動
- TA0009 収集 — 目的データの収集
- TA0011 C2通信 — 攻撃者とのバックチャネル
- TA0010 持ち出し — データの外部流出
- TA0040 インパクト — システムの破壊・妨害
ATT&CK の実務活用
脅威インテリジェンス
ISAC や脅威レポートを ATT&CK の TTP に対応付けることで、「自社がどの手法で狙われているか」を構造化できます。
検知ギャップ分析
SIEMのルールや EDR の検知カバレッジを ATT&CK マトリクスにマッピングし、検知できていないテクニックを可視化します。
レッドチーム演習
ペネトレーションテストの計画を ATT&CK テクニックで定義することで、現実的な攻撃シナリオを標準化できます。
ATT&CK Navigator
MITREが提供するATT&CK Navigator(無料Webツール)では、マトリクス上に色付きでカバレッジを可視化できます。防御側・攻撃側の両方で活用されています。
他フレームワークとの関係
| フレームワーク | 用途 | ATT&CKとの関係 |
|---|---|---|
| NIST CSF | リスク管理・ガバナンス | ATT&CK をDetect/Respond層に組み込める |
| Cyber Kill Chain | 攻撃フェーズの把握 | ATT&CKより粗い粒度だが入門に最適 |
| D3FEND | 防御手法の分類 | ATT&CKテクニックに対応する防御策を提供 |
| SIGMA | 検知ルール記述言語 | ATT&CKタグ付きルールが多数存在 |
理解度チェック
MITRE ATT&CKにおける「Tactics(タクティクス)」が表すものはどれですか?
解説: タクティクスは攻撃者が「何を達成しようとしているか」という目的・目標を表します。偵察、初期アクセス、権限昇格など14のタクティクスがあります。具体的な方法がテクニック、実際の手順がプロシージャです。