X

MITRE ATT&CKとは?

2013年にMITRE社によって開発された「MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledgeの略)」は、2015年に一般公開されました *3。このMITRE ATT&CKは、一般公開されている既知のサイバー攻撃に関する情報を参考に、一連の攻撃サイクルで実行される戦術や技術がマトリクス形式で詳述されているナレッジベースであり、業界内で高く評価されています。

このMITRE ATT&CKでは、実際に攻撃者が用いた戦術や手法についてマトリクス形式で詳述されているので、特にITセキュリティチームの専門家の間で、広く採用が進んでいます。このMITRE ATT&CKの採用が注目されている要因としては、次の2点が考えられます。

動的なナレッジ運用

MITRE ATT&CKは、絶えず巧妙化し続ける脅威に対応できるように、サイバー攻撃の攻撃手法や用いられるテクニックに関する脅威情報や、脅威インテリジェンスによるフォレンジック調査の結果など、様々な情報を基に、日々高頻度で更新され続けています。

攻撃サイクルの網羅性

巧妙化する脅威対策は、多岐にわたる保護面や段階を踏まえて施さなければなりません。 出口・入口対策から、異常の早期発見、インシデント対応など様々な保護面があるなかで、一連の攻撃サイクルにおける各段階での網羅的なリスク評価や、防御策を講じる手助けをするのがMITRE ATT&CKとなります。また、世界標準的なエンサイクロペディアの役割を果たすので、様々な攻撃手法や技術に関する共通語を提供しています。つまり、部門横断的なセキュリティ戦略を策定する際に、より円滑なコミュニケーションを行う手助けもしてくれます。

MITRE ATT&CKマトリクス

MITRE ATT&CKのマトリクスでは、一連の攻撃サイクルが細分化されてまとめられています。中でも、攻撃の段階としては14の「戦略」(Pre-AttackとATT&CK enterpriseにおいて)として定義されています。またその各段階で実行される攻撃手法が「テクニック(約190種)」及び「サブテクニック(約380種)」として紐づけられて詳述されています。ここでは、攻撃サイクルの大枠となる攻撃段階の「戦術」14種について詳しく解説しています。以下のロールプレイでは左側から攻撃サイクルが進んでいきますので、14の「戦術」について段階ごとに詳細をご参照ください。

攻撃の流れをアニメでロールプレイ

ここでは、以下の動画にてMr. Geneという攻撃者による攻撃の流れを、MITRE ATT&CKフレームワークを基にロールプレイしていきます。

あらすじ

Mr. Geneは、狂信的なテディベアのコレクターです。そんなMr. Geneは、幻の「金のテディベア」を手に入れて、コレクションを完結させようとしています。しかし、その「金のテディベア」はこの世に1つしかなく、しかも「デジタル要塞」という所で厳重に保管されています。Mr. Geneはこの「金のテディベア」を奪うことに決めました。

今回は、この「金のテディベア」が、現実世界での機密情報という立ち位置となります。この「金のテディベア」を奪う為に、Mr. Geneがどのような攻撃を「デジタル要塞」に仕掛けてくるのか。攻撃者による攻撃の全体的な流れをつかんでいただければと思います。

ロールプレイ

Mr. Geneが仕掛ける攻撃手法を追いながら、MITRE ATT&CKフレームワークにある、各種「戦術(Tactics)」や「テクニック(Techniques)」について見ていきましょう。

Let's go!

Mr. Geneのような攻撃者は日々、活動を続けています。次に狙われるテディベア(機密情報)は、あなたのデジタル要塞(社内ネットワーク)かもしれません。

MITRE ATT&CK活用場面

MITRE ATT&CKの活用方法としては、以下の4つが挙げれます。  


防御対策の第一手

防御策を講じていく上で、企業規模や関与する担当者によっては、まず何から始めるべきか判断がつかず、対応が後回しになってしまうケースが多いのが現状なのではないでしょうか。

MITRE ATT&CKはコミュニティベースで運営されています。 MITRE ATT&CKで公開されている既知の攻撃手法や技術は、様々なプラットフォームにて引用されており、 MITRE ATT&CKをベースとした攻撃の分析結果が公開されています。 MITRE ATT&CKと、連携している脅威アナリティクスのプラットフォームを参考にしながら、既知の攻撃が現状の対策レベルで検知できるのかどうかを試験的に実装することで、防御対策を講じる上でのギャップを分析することができます。なお、ギャップ分析に関して、役立つツールのひとつに ATT&CK Navigator というものがあります。これはATT&CKのマトリクスを基に自社のセキュリティ対策レベルで、どの戦術のどのテクニックまでを検知可能なのかを分析してくれます。防御対策を講じるうえで重要な可視化のステップにお役立ていただけます。

因みに、前述したプラットフォームでは、既知の攻撃のシナリオベース(behavior analytics)で、実際にどの様な攻撃手法が使用されたか、また攻撃を検知するために注目すべきアーティファクトの出し方や、対処方法などがまとめられています。以下、該当するプラットフォームの一部を紹介します。

リスク評価と戦略策定

もちろん、すべてのMITRE ATT&CKの項目をカバーして完璧な防御網を張るのは、現実的には不可能です。従って、最も侵害されてはならないリスクがどこに潜んでおり、どのリスクを受容しなければならないのかを判断するためのリスク評価が重要になります。また、そのリスク評価を基に、どのツールの活用や新規での導入が必要なのかを考えなければなりません。

MITRE ATT&CKには、攻撃の戦術で使用された手法以外にも、回避策や検知方法も記載されています。それらを基に、前述のギャップ分析で明らかになったセキュリティ対策の穴や想定されるリスクに対して、優先順位を決めリスクベースで防御策を講じていくことが可能になります。参考までに、MITREが推奨している戦略立ての第一歩に、Windows イベントログの収集が挙げられています。Windowsイベントログの監査ポイントとして注目しておくべきポイントなどがまとめられたシートが、 MITRE ATT&CKの掲載内容と連携して無料公開されています。詳細は こちらです。


脅威インテリジェンスとの能動的な連携

MITRE ATT&CKでは、攻撃で利用された手法や、回避策また検知方法等、既知の攻撃に関する網羅的な情報が纏められています。つまり、完全に脅威インテリジェンスやセキュリティベンダーに対応を丸投げしてしまうのではなく、 MITRE ATT&CKにまとめられている攻撃内容の詳細を基に、クライアントサイドから能動的な連携しよりアクティブな防御体制を敷くことが可能になります。 MITRE ATT&CKという共通言語を通して、防御対策の透明性を脅威インテリジェンスとの間に確立しておくことで、より効果的なセキュリティ戦略を実装できるようになります。

レッドチームによる演習

セキュリティを強化する上で、組織内で専門家チームを募り、演習を行うことは重要な施策の1つとなります。 MITRE ATT&CKには、攻撃グループや使用されたことのあるマルウェア毎の情報が詳細に網羅されています。これらを活用して、疑似攻撃を現行のシステムに行い、セキュリティレベルの強度を効果的にはかることが可能になります。また、前述した通り、 MITRE ATT&CKには、検知方法や回避策も掲載されています。従って、疑似攻撃時に検知出来ておかなければならない動作やアーティファクトを、 MITRE ATT&CKを基に確認することも可能です。

参考までに、それだけの人的リソースがない場合でも、レッドチームツールが存在しており、それらを活用して疑似攻撃を仕掛けることも可能です。以下、該当するツールの一部を紹介します。

Ebook

【第1部】 MITRE ATT&CK ー概要説明編ー

資料ダウンロード

【第2部】 MITRE ATT&CK ーManageEngine Log360で実現する 防御対策編ー

資料ダウンロード

Let's go!

オンデマンドセミナー 『MITRE ATT&CK 活用と実践 ー低価格SIEM「Log360」で実現する セキュリティ強靭化ー』

セミナーを視聴する

© 2023 Zoho Corporation Pvt.Ltd. All rights reserved.