マイターアタックとは何か？

 「MITRE ATT&CK」が分析したサイバー攻撃の類型

ESET/マルウェア情報局（キヤノンマーケティングジャパン）

2021/03/16 14:00「MITRE ATT&CK」が分析したサイバー攻撃の類型 (msn.com)

　本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「MITRE ATT&CKから見えてくるサイバー攻撃の類型」を再編集したものです。

© アスキー 提供

　近年、セキュリティ業界で「MITRE ATT&CK」という言葉をしばしば耳にするようになった。MITRE ATT&CKとは、米国MITRE社が運営しているセキュリティに関するフレームワーク・ナレッジベースのことである。この記事では、そのMITRE ATT&CKの概要と、重要なポイントである「サイバー攻撃の体系化・類型化」に着目して解説する。

 MITREとは

 　MITRE（マイター）は1958年に設立。米国の連邦政府による資金提供のもと、運営される非営利組織である。MITRE社は、R＆Dセンターと官民のパートナーシップを通じた「世界をより安全にするための問題解決」が使命であり、NSEC（National Security Engineering Center）や、FFRDCs（Federally Funded Research and Development Centers）などの傘下組織で構成されている。

　MITRE社が対象にする分野は人工知能、直感的なデータサイエンス、量子情報科学、医療情報学、宇宙安全保障、政策と経済、信頼できる自律性、サイバー脅威の共有、サイバー回復力など幅広く、さまざまな分野で革新的なアイデアを生み出している。

　特に、サイバーセキュリティの分野では、世界中の脆弱性情報に対して番号を付けるCVE（Common Vulnerabilities and Exposures：共通脆弱性識別子） の運用で知られており、サイバーセキュリティ分野における貢献は大きい。

 

MITRE ATT&CKとは

 　MITRE社が運用する「MITER ATT&CK（マイターアタック）」とは、攻撃者の攻撃手法や戦術を分析して作成された、MITERが開発するセキュリティのフレームワーク・ナレッジベースである。

　ATT&CKは「Adversarial Tactics, Techniques, and Common Knowledge」の略であり、直訳すると「敵対的な（脅威における）戦術とテクニック、および（セキュリティの）一般常識」となる。

　戦術については「エンタープライズ向け」と「モバイル向け」で分類されている。モバイル向けというのは、主にスマートフォンを対象とする攻撃である。

 

・エンタープライズ向け

　　　　　　　　　　　　　エンタープライズ向け戦術の名称と概要

　

・モバイル向け

　　　　　　　　　　　　　　　モバイル向け戦術の名称と概要

　

　MITRE ATT&CKには、戦術ごとの個別の攻撃の技術・手法に対する実際の実例、緩和策、検知方法、セキュリティベンダーやホワイトハッカーの調査報告へのリンクなどが掲載されている。すなわち、「サイバー攻撃の戦術やテクニックなどを攻撃のライフサイクル別に整理・体系化し、フレームワークとして定義したもの」がMITRE ATT&CKであり、その知見を集約したナレッジベースでもある。

　MITRE ATT&CKは2013年9月から公開されており、不定期もしくは四半期に一度、最新の脅威情報が追加されている。

 

MITRE ATT&CKが注目される理由

 　MITRE ATT&CKのフレームワークは、多くのセキュリティ製品で採用が進んでいる。2018年後半から急速に普及が進んだ理由は、このフレームワークの革新性が大きい。

　MITRE ATT＆CKの登場以前は、こうした共通的なフレームワークが存在しておらず、例えば、ペネトレーションテスト（システムに対して、様々な技術を駆使して侵入を試みることで、システムにセキュリティ上の脆弱性が存在するかどうかをテストする手法）を実施する際も、現場の担当者の個人的な知見をもとに、テストが実施されていた。そのため、担当者の経験やスキルによって、テストの効果が変わってしまうこともあった。しかし、MITRE ATT&CKのフレームワークを利用することで、担当者の見識に依存しないテストが実施可能となる。

　システム侵入の実現性を検証するペネトレーションテストとは?【前編】

　https://eset-info.canon-its.jp/malware_info/special/detail/200915.html

　また、MITRE ATT&CKの特徴として、攻撃成立後（Post Exploit）の段階にも着目している点が挙げられる。近年、サイバー攻撃が巧妙化している状況を受け、攻撃を防ぎ、予防する対策に加え、一定の攻撃を受けることを前提に、受けた後の被害を最小限に留めるという考え方が主流になってきている。つまり、従来よりもセキュリティ対策の範囲が拡大してきているわけだが、こうした状況もATT&CKの注目度を上げる要因の一つとなっている。

MITRE ATT&CKの考え方

 　MITRE ATT&CKは「Tactics」、「Techniques」、「Group」、「Software」という4つの要素で構成されている。

　・Tactics

　サイバー攻撃における戦術のことであり、使われた技術によって目指すゴール（目的）でもある。例えば、「Credential Access（認証情報へのアクセス）」がそれに該当する。

　・Techniques

　サイバー攻撃に使われる技術（戦法）である。例えば、「Credential Dumping（認証情報のダンプ）が該当する。

 

　・Group

　攻撃者あるいは攻撃グループのことである。例えば、「APT28」が該当する。

　・Software

　サイバー攻撃に使われる攻撃ツールである。例えば、「Mimikatz」が該当する。

 　これら4つの要素をマトリックス形式で整理したものが「Matrices」である。Matricesはエンタープライズとモバイルに大別され、さらにエンタープライズは「プレ」、「Windows」、「Mac OS」、「Linux」、「クラウド」、「ネットワーク」に分類される。モバイルはOS別に「Android」、「iOS」に分類されている。また、エンタープライズの「クラウド」はAWS、Azureなど主要ベンダーごとに分かれている。

　Matricesにより、サイバー攻撃の体系化・類型化が可能になるが、それをより見やすく可視化するためのツールとして「MITRE ATT&CK Navigator」が用意されている。MITRE ATT&CK Navigatorを使うことで、速やかに戦術ごとのテクニックなどを参照し、可視化できる。

　MITRE ATT&CKをセキュリティ対策に活用する際、MITRE ATT&CK Navigatorは強力な助けとなるだろう。

 

MITRE ATT&CKを活用し、セキュリティ対策を強化

 　MITRE ATT&CKは通常、四半期に一度アップデートされるため、定期的に確認することでほぼ最新のサイバー攻撃のトレンドとその対処方法を参照することができる。

　また、ペネトレーションテストなどのセキュリティ対策を評価する際に用いることで、既存のセキュリティ対策と現実の攻撃手法とのギャップを浮かび上がらせることも可能だ。導入検討中のセキュリティ対策ソリューションについて、リスクに対するギャップ分析にも活用できる。

　高度化するサイバー攻撃に対する防御を固めていく際に、各種対策の優先順位を決定することは重要なポイントとなる。その優先順位を決めるための手段として、今回紹介したMITRE ATT&CKを活用することで、強固なセキュリティ対策の確立に大きく寄与することが期待される。

 

■関連サイト

• マルウェア情報局
• 「ウイルス対策のESETセキュリティ ソフトウェアシリーズ」
• キヤノンマーケティングジャパン

動画

暗号化とは何をしているのでしょうか？　マルウェア情報局