攻撃者の「行動の周期表」

サイバー攻撃で使われるマルウェアのコードやC2インフラは日々入れ替わります。ところが、「攻撃者がシステム内で何を達成しようとしているか(戦術)」「そのためにどんな手段を使うか(技術)」 という行動パターンは、そう簡単には変わりません。ツールを捨てても、人間の思考プロセスは残るからです。

MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge) は、現実世界で観測された攻撃者の行動(TTPs)を体系化したナレッジベースです。脅威インテリジェンスベンダーからSIEM/EDR製品まで、セキュリティアナリストが日常的に使う「共通言語」として定着しています。ベンダーが違っても、ATT&CKのテクニックIDを挙げれば即座に文脈が共有できる——これがこのフレームワークの本質的な価値です。

TTPs:ピラミッドの頂点を可視化する

ATT&CKは攻撃者の行動を「TTPs」という3階層で整理しています。セキュリティの世界には「痛みのピラミッド(Pyramid of Pain)」という概念があり、IPアドレスやハッシュ値はすぐ変えられるが、TTPs(行動パターン)を変えることは攻撃者にとって最もコストが高いとされます。ATT&CKはまさにその頂点を狙い撃ちするフレームワークです。

階層意味MITRE ATT&CK での具体例
Tactics(戦術)「なぜ(Why)」
攻撃者の短期的な目的		 TA0008 横展開 — 他のサーバーへ移動したい
Techniques(技術)「どうやって(How)」
目的を達成する手段		T1021.002 — SMB/Windows管理共有(PsExec等)を使って移動する
Procedures(手順)「具体的に(What)」
特定のAPTの実行手順		ロシア系APT29は、正規の認証情報とWindowsの標準管理ツール(WMI)を組み合わせて、EDRの検知を回避しながら横展開を行う。

14のタクティクス(Enterprise ATT&CK)

エンタープライズ環境(Windows, macOS, Linux, クラウド, コンテナ, ネットワーク機器)を対象としたマトリクスは、攻撃のライフサイクルに沿って14のタクティクス(列)に分類されています。左から右へ読むと、一般的な侵害キャンペーンの流れが見えてきます。

  1. TA0043 偵察 (Reconnaissance) — LinkedIn、Shodan、whois等を駆使した標的情報の収集
  2. TA0042 リソース開発 (Resource Development) — マルウェアや匿名化されたC2インフラの準備
  3. TA0001 初期アクセス (Initial Access) フィッシングや公開サービスの脆弱性悪用による足場の確立
  4. TA0002 実行 (Execution) — PowerShellやLOLBin(環境に存在する正規ツールの悪用)によるコード実行
  5. TA0003 永続化 (Persistence) — 再起動後もアクセスを維持するためのレジストリ改ざんやスケジュールタスク登録
  6. TA0004 権限昇格 (Privilege Escalation) — SYSTEM/root権限の奪取
  7. TA0005 防御回避 (Defense Evasion) — アンチウイルスやEDRの無効化、プロセスインジェクションによる隠蔽
  8. TA0006 認証情報アクセス (Credential Access) — LSASSのメモリダンプによるパスワードハッシュの抽出
  9. TA0007 探索 (Discovery) — ドメイン構造、内部IP帯域、ファイルサーバーの場所の調査
  10. TA0008 横展開 (Lateral Movement) — 窃取した認証情報を使った他端末への侵攻
  11. TA0009 収集 (Collection) — 持ち出す目標データの特定と圧縮・パッキング
  12. TA0011 コマンド&コントロール (Command and Control) — HTTPSやDNSに偽装した攻撃者サーバーとのバックドア通信
  13. TA0010 持ち出し (Exfiltration) — データの外部送信(二重恐喝型ランサムウェアの準備段階)
  14. TA0040 インパクト (Impact) — データ破壊・ランサムウェアによる暗号化・サービス妨害

現場での実務的な活用法(Operationalizing ATT&CK)

ATT&CKを「用語辞書」で終わらせず、SOCの実業務に組み込むことが重要です。以下の3つが現場でよく使われるアプローチです。

1. 検知ギャップの可視化

MITREが無償提供する「ATT&CK Navigator」を使うと、自社のSIEMやEDRで確実に検知できるテクニックを色付きで可視化できます。「初期アクセスの検知は充実しているが、横展開(Lateral Movement)の検知ルールが空白だ」という防御の穴が一目瞭然になります。この「どこが見えていないか」を把握することが、予算投資の根拠を経営層に説明する際にも有効です。

2. インテリジェンス主導の脅威ハンティング

業界向け脅威レポートを読み解き、「金融機関を狙うFIN7グループは最近 T1105(Ingress Tool Transfer)とT1059.001(PowerShell)を多用している」というTTPsを特定します。そのうえで自社のログ基盤を検索し、同様の痕跡がないか能動的に探す——これが脅威ハンティングの基本サイクルです。

3. パープルチーム演習

レッドチーム(攻撃役)が特定のATT&CKテクニックを実際に実行し、ブルーチーム(防御役)のSIEMが正しくアラートを発報できるか確認する「パープルチーム演習」のシナリオ設計にATT&CKは欠かせません。「T1003.001でLSASSダンプを試みる」という具体的な言語があるからこそ、攻撃と防御の対話が成立します。

最新バージョンへの追従(Detection Strategies)

ATT&CKは数か月ごとにアップデートされます。最近のバージョンでは、テクニックのカタログにとどまらず、**「Detection Strategies(検知のための高レベル戦略)」「Analytics(具体的なSIEMクエリ例)」**という防御側のオブジェクトが大幅に充実しています。また、ESXi(ハイパーバイザー)への直接攻撃やクラウド・コンテナ環境特有のTTPsも網羅されており、オンプレミスからクラウドネイティブまで現代のITインフラ全体をカバーしています。

理解度チェック

【確認問題】MITRE ATT&CKフレームワークにおいて、攻撃者が標的環境内で「SYSTEM権限やroot権限を奪取しようとする行為」は、14のTactics(タクティクス)のうちどれに分類されますか?