MITRE ATT&CKとは？他のフレームワークとの違いや活用方法も解説

世界各国で発生したサイバー攻撃事例から集めた知見を、フレームワーク・ナレッジベースとしてまとめた「MITRE ATT&CK」。対象閲覧者や業種、組織規模を限定していないことから、団体・個人の区別なく活用されています。MITRE ATT&CKの概要に加え、活用方法や他のフレームワークとの違いについても解説します。

MITRE ATT&CKとは？1分で簡単に説明すると

「MITRE ATT&CK」とはAdversarial Tactics, Techniques, and Common Knowledgeの略で、MITRE(マイター）が運営しているサイバー攻撃の戦術や技術に関するフレームワーク・ナレッジベースです。日本語では一般的に「マイターアタック」や「アタック」、「アタックフレームワーク」などと呼ばれています。

米国連邦政府が資金提供している非営利組織「MITRE」が、2013年にMITRE ATT&CKを公開、以降運用が続いています。

MITREという組織名を聞いたことがない方でも、脆弱性に対し番号を付与してリスト化した「CVE（Common Vulnerabilities and Exposures）」について、聞いたことがある方、知っている方は多いのではないでしょうか。このCVEを運用しているのもMITREです。

MITRE ATT&CKの主な特長は、サイバー攻撃の戦術および具体的な技術を、整理・体系化して定義していること。そして、世界各国で実際に発生したサイバー攻撃を観察して、蓄積した知見を基に作成されていることです。

また、MITRE ATT&CKは、オープンソースかつ無料で利用できるフレームワークであり、民間・政府系組織または、団体・個人の区別なくあらゆる人が活用できます。

MITRE ATT&CKには、次に説明する主要5機能の他、ITセキュリティに関するブログやトレーニングビデオなど、多くのナレッジが含まれており、いずれも無料で利用できます。

四半期に一度のペースでMITRE ATT@CKが更新される他、役立つコンテンツが定期的に公開されるため、最新情報を得るのに適したナレッジベースと言えます。

MITRE ATT&CKの主要5機能

MITRE ATT&CKには膨大な量のコンテンツが含まれていますが、主要な機能は次の5つです。

「Tactics（戦術）」は、初期アクセス・不正コードの実行・ラテラルムーブメントといった、サイバー攻撃の戦術ついて解説しています。攻撃者の視点での戦術とは攻撃の目的となり、この目的を達成するために、次の「Techniques（技術）」が駆使されます。

「Techniques（技術）」は、マルウェア・DDoS攻撃・カメラでのキャプチャなど、サイバー攻撃に利用される技術や手法について解説しています。攻撃者の視点では、戦術を実現するためのツールとして利用するのが、これらの技術です。

「Mitigation（緩和策）」は、データのバックアップ・機密情報の暗号化・ネットワークトラフィックのフィルタリングなど、サイバー攻撃を防御する側が行うことができる、攻撃を避けるための施策について解説しています。

「Groups（グループ）」は、攻撃者または攻撃グループを列挙しています。例えば、企業機密の収集を目的に日本や台湾のハイテク・製造企業を攻撃対象としていた「DragonOK（ドラゴンオーケー）」や、日本のメディアなどを標的にAPT攻撃を展開した「APT16」などもグループに含まれています。

「Software（ソフトウェア）」は、サイバー攻撃を実行する際に用いられるツールを紹介しています。

巧妙な攻撃メールで国内でも急拡大したマルウェア「Emotet」や、日本の組織を標的としたマルウェア「ChChes」なども含まれています。

戦術・技術・緩和策の各機能は、企業かモバイルかという攻撃対象別に分類した上でまとめられています。

サイバー攻撃の戦術と手法が一覧に

「Tactics（戦術）」とそれを実現するための「Techniques（技術）」とは密接に結びついていますが、それらを一覧でまとめているのが「Matrix（マトリクス）」です。

出典：ATT@CK Matrix for Enterprise

マトリクスの横軸には、戦術が左から右に攻撃のライフサイクルの順で並び、縦軸には技術が列挙されています。

例えば、戦術「Initial Access（初期侵入）」の列を見ていくと、フィッシングやサプライチェーン攻撃など、攻撃を開始する前に、対象とするネットワークへ侵入するための技術だけを一覧できるようになっています。

それぞれの戦術や技術にはリンクが貼られており、クリックするとそれぞれの詳細説明のページへ遷移します。

なお、マトリクスは、Enterprise（企業向け）・Mobile（モバイル向け）・ICS（産業用制御システム向け）の3分野に分けて整理されており、企業向け・モバイル向けはさらに、Windows・macOS・Linux・Office 365・SaaS・Android・iOSなど、OSやサービス別にカテゴライズされています。

MITRE ATT&CKはどのように使用する？

フレームワーク・ナレッジベース「MITRE ATT&CK」の使用例や活用例を紹介します。

防御手法のギャップ分析と評価

MITRE ATT&CKは、組織で実施済みのセキュリティ施策や防御手法のギャップ評価に活用できます。また、セキュリティ施策の脆弱性の可視化や残存リスクの発見にもMITRE ATT&CKを活用でき、効果的な改善策を練るために役立ちます。

実際、自社サービスの評価基準として、MITRE ATT&CKを採用しているITセキュリティ関連企業もあり、得られた評価結果を自社サービスの優位性を示すための根拠として利用しています。

攻撃者の戦術手法・事前の技術検証

攻撃者が用いると考えられる戦術や技術をMITRE ATT&CKから抽出すれば、それらを事前に検証できます。

また、攻撃者の行動を検知する技術や、攻撃を受けた場合の対処の検討にもMITRE ATT&CKを役立てられます。

例えば、MITRE ATT&CKから攻撃手法・技術を1つ選定し、その技術へ対処できるかの防御テストを実施。次に、防御が適切だったかを検証した上で改善する、というサイクルを繰り返すことで、効果的なセキュリティ対策を施せます。

Red Teaming演習

組織・企業のセキュリティ対策の実効性を検証するため、サイバー攻撃に知見のある専門家らで攻撃チームを作り、顧客企業に対して様々な攻撃を仕掛けるサービスが「Red Teaming演習」です。

現実に発生したサイバー攻撃における戦術や技術、攻撃者グループの情報を網羅したMITRE ATT&CKは、演習用の攻撃シナリオ作成に利用できます。

例えば、MITRE ATT&CKの「Groups（グループ）」にまとめられた攻撃者グループに関する情報を活用して、セキュリティテスト用の仮想攻撃者グループのプロファイルを作ることが可能です。

行動分析検知手法の開発

パターンマッチング方式など、既知の攻撃からの知見をベースとした検知技術は、これまで一度も行われたことのない未知の攻撃に対しては無力です。

サイバー犯罪者らは日々、誰も気がついていないネットワークの脆弱性や抜け穴を探し、未知の攻撃を行う方法を研究しています。

MITRE ATT&CKは、攻撃者が攻撃ツールを操作中に、システムとどのように対話するかに着目して作成されています。MITRE ATT&CKを活用して、自社のネットワーク環境下における攻撃者の行動を探る行動分析を行えば、未知の手法による攻撃を検知することが可能です。

NISTやISO　他のフレームワークとの違い

有名なセキュリティフレームワークは、MITRE ATT&CK以外にも複数存在します。それらのフレームワークとMITRE ATT&CKの違いについて説明します。

NISTサイバーセキュリティフレームワーク

アメリカのNIST（国立標準技術研究所）が作成した、汎用的なセキュリティフレームワークが、「NIST サイバーセキュリティフレームワーク（Cyber Security Framework）」です。サイバー攻撃を、攻撃の特定・防御・検知・対応・復旧の5段階のプロセスに分類して解説しています。

NIST サイバーセキュリティフレームワークの正式名称、「重要インフラのサイバーセキュリティを向上させるためのフレームワーク」の通り、主な想定読者は重要インフラの運用者です。

一方、MITRE ATT&CKは、業種や規模など防御側の属性ではなく、プラットフォーム（Windowsなど）や企業・モバイルなど攻撃対象別に情報を分類し、あらゆる組織・個人を想定読者としている点が大きく異なります。

NISTサイバーセキュリティフレームワークは、指示書やノウハウ集ではなく、利用方法が各組織に委ねられている点では、MITRE ATT&CKと共通点があります。

ISO 27000シリーズ

ISO (国際標準化機構)とIEC (国際電気標準会議)が策定した情報セキュリティマネジメントシステムに関する規格群が、ISO 27000シリーズです。

ISO 27000シリーズは、「マネジメントシステム」の名のとおり、情報セキュリティに関する管理の仕組みを規定した文書です。情報セキュリティ方針を定めてリスクアセスメントを実施することや、情報セキュリティ目標を定めて内部監査を行うことなど、セキュリティ対策のPDCAを回すために必ず行うべきことを規定する目的で作成されました。

一方、MITRE ATT&CKは、使用例や活用例を紹介しているものの、基本的には使用目的を限定しないナレッジベースとして作成されています。

まとめ

世界各国からの情報を集約したMITRE ATT&CKは、無料で公開されていることもあり、ITセキュリティに関するナレッジベースとして各方面で活用が進むと見られています。

2013年の公開以降、MITRE ATT&CKは、定期的に更新を繰り返しながら進化し続けています。セキュリティベンダの中には、MITREとの連携によりATT@CKに役立つ情報/技術提供を行うようなベンダも増えています。

https://prtimes.jp/main/html/rd/p/000000008.000064764.html

紹介した機能以外にも、プレゼンテーション資料やリサーチペーパーの公開、セキュリティ専門家らが執筆したブログなど、ITセキュリティ対策に役立つコンテンツが多数掲載されているため、一度目を通しておくべきナレッジベースです。