近年、セキュリティ業界で「MITRE ATT&CK」という言葉をしばしば耳にするようになった。MITRE ATT&CKとは、米国MITRE社が運営しているセキュリティに関するフレームワーク・ナレッジベースのことである。この記事では、そのMITRE ATT&CKの概要と、重要なポイントである「サイバー攻撃の体系化・類型化」に着目して解説する。
MITREとは
MITRE(マイター)は1958年に設立。米国の連邦政府による資金提供のもと、運営される非営利組織である。MITRE社は、R&Dセンターと官民のパートナーシップを通じた「世界をより安全にするための問題解決」が使命であり、NSEC(National Security Engineering Center)や、FFRDCs(Federally Funded Research and Development Centers)などの傘下組織で構成されている。
MITRE社が対象にする分野は人工知能、直感的なデータサイエンス、量子情報科学、医療情報学、宇宙安全保障、政策と経済、信頼できる自律性、サイバー脅威の共有、サイバー回復力など幅広く、さまざまな分野で革新的なアイデアを生み出している。
特に、サイバーセキュリティの分野では、世界中の脆弱性情報に対して番号を付けるCVE(Common Vulnerabilities and Exposures:共通脆弱性識別子) の運用で知られており、サイバーセキュリティ分野における貢献は大きい。
MITRE ATT&CKとは
MITRE社が運用する「MITER ATT&CK(マイターアタック)」とは、攻撃者の攻撃手法や戦術を分析して作成された、MITERが開発するセキュリティのフレームワーク・ナレッジベースである。
ATT&CKは「Adversarial Tactics, Techniques, and Common Knowledge」の略であり、直訳すると「敵対的な(脅威における)戦術とテクニック、および(セキュリティの)一般常識」となる。
戦術については「エンタープライズ向け」と「モバイル向け」で分類されている。モバイル向けというのは、主にスマートフォンを対象とする攻撃である。
エンタープライズ向け
| 戦術の名称 | 概要 |
|---|---|
| Reconnaissance(偵察) | 今後の作戦を計画時に使用する価値ある情報の収集。 |
| Resource Development(資源開発) | 作戦実行時に利用可能なリソースの確立。 |
| Initial Access(初期アクセス) | 攻撃対象のネットワークへの侵入。 |
| Execution(実行) | 悪意のあるコードの実行。 |
| Persistence(永続性) | 確立したリソースの維持。 |
| Privilege Escalation(特権の昇格) | より高いレベルの権限の取得。 |
| Defense Evasion(防衛回避) | (セキュリティソフトなどの)検出・検知からの回避。 |
| Credential Access(ID情報へのアクセス) | アカウント名とパスワードの窃取。 |
| Discovery(発見) | 攻撃対象の環境の掌握。 |
| Lateral Movement(横方向の動き) | 攻撃対象の環境の移動。 |
| Collection(コレクション) | 攻撃目標に関連するデータの収集。 |
| Command and Control(コマンドと制御) | C&C(指令)サーバーとの通信による攻撃対象の制御。 |
| Exfiltration(浸透) | 攻撃対象のデータの窃取。 |
| Impact(影響) | システムとデータの操作、中断、または破壊。 |
エンタープライズ向け戦術の名称と概要
モバイル向け
| 戦術の名称 | 概要 |
|---|---|
| Initial Access(初期アクセス) | 攻撃対象のデバイスへの侵入。 |
| Execution(実行) | 悪意のあるコードの実行。 |
| Persistence(永続性) | 確立したデバイス侵入状態の維持。 |
| Privilege Escalation(特権の昇格) | より高いレベルの権限の取得。 |
| Defense Evasion(防衛回避) | (セキュリティソフトなどの)検出・検知からの回避。 |
| Credential Access(ID情報へのアクセス) | アカウント名とパスワード、その他情報の窃取。 |
| Discovery(発見) | 攻撃対象の環境の掌握。 |
| Lateral Movement(横方向の動き) | 攻撃対象の環境の移動。 |
| Collection(コレクション) | 攻撃目標に関連するデータの収集。 |
| Command and Control(コマンドと制御) | C&C(指令)サーバーとの通信による攻撃対象の制御。 |
| Exfiltration(浸透) | 攻撃対象のデータの窃取。 |
| Impact(影響) | システムとデータの操作、中断、または破壊。 |
| Network Effects(ネットワーク効果) | 攻撃対象のデバイスのトラフィックを傍受または操作。 |
| Remote Service Effects(リモートサービス効果) | リモートサービスを使用したデバイスの制御または監視。 |
モバイル向け戦術の名称と概要
MITRE ATT&CKには、戦術ごとの個別の攻撃の技術・手法に対する実際の実例、緩和策、検知方法、セキュリティベンダーやホワイトハッカーの調査報告へのリンクなどが掲載されている。すなわち、「サイバー攻撃の戦術やテクニックなどを攻撃のライフサイクル別に整理・体系化し、フレームワークとして定義したもの」がMITRE ATT&CKであり、その知見を集約したナレッジベースでもある。
MITRE ATT&CKは2013年9月から公開されており、不定期もしくは四半期に一度、最新の脅威情報が追加されている。
MITRE ATT&CKが注目される理由
MITRE ATT&CKのフレームワークは、多くのセキュリティ製品で採用が進んでいる。2018年後半から急速に普及が進んだ理由は、このフレームワークの革新性が大きい。
MITRE ATT&CKの登場以前は、こうした共通的なフレームワークが存在しておらず、例えば、ペネトレーションテスト(システムに対して、様々な技術を駆使して侵入を試みることで、システムにセキュリティ上の脆弱性が存在するかどうかをテストする手法)を実施する際も、現場の担当者の個人的な知見をもとに、テストが実施されていた。そのため、担当者の経験やスキルによって、テストの効果が変わってしまうこともあった。しかし、MITRE ATT&CKのフレームワークを利用することで、担当者の見識に依存しないテストが実施可能となる。
また、MITRE ATT&CKの特徴として、攻撃成立後(Post Exploit)の段階にも着目している点が挙げられる。近年、サイバー攻撃が巧妙化している状況を受け、攻撃を防ぎ、予防する対策に加え、一定の攻撃を受けることを前提に、受けた後の被害を最小限に留めるという考え方が主流になってきている。つまり、従来よりもセキュリティ対策の範囲が拡大してきているわけだが、こうした状況もATT&CKの注目度を上げる要因の一つとなっている。
MITRE ATT&CKの考え方
MITRE ATT&CKは「Tactics」、「Techniques」、「Group」、「Software」という4つの要素で構成されている。
Tactics
サイバー攻撃における戦術のことであり、使われた技術によって目指すゴール(目的)でもある。例えば、「Credential Access(認証情報へのアクセス)」がそれに該当する。
Techniques
サイバー攻撃に使われる技術(戦法)である。例えば、「Credential Dumping(認証情報のダンプ)が該当する。
Group
攻撃者あるいは攻撃グループのことである。例えば、「APT28」が該当する。
Software
サイバー攻撃に使われる攻撃ツールである。例えば、「Mimikatz」が該当する。
これら4つの要素をマトリックス形式で整理したものが「Matrices」である。Matricesはエンタープライズとモバイルに大別され、さらにエンタープライズは「プレ」、「Windows」、「Mac OS」、「Linux」、「クラウド」、「ネットワーク」に分類される。モバイルはOS別に「Android」、「iOS」に分類されている。また、エンタープライズの「クラウド」はAWS、Azureなど主要ベンダーごとに分かれている。
Matricesにより、サイバー攻撃の体系化・類型化が可能になるが、それをより見やすく可視化するためのツールとして「MITRE ATT&CK Navigator」が用意されている。MITRE ATT&CK Navigatorを使うことで、速やかに戦術ごとのテクニックなどを参照し、可視化できる。
MITRE ATT&CKをセキュリティ対策に活用する際、MITRE ATT&CK Navigatorは強力な助けとなるだろう。
MITRE ATT&CKを活用し、セキュリティ対策を強化
MITRE ATT&CKは通常、四半期に一度アップデートされるため、定期的に確認することでほぼ最新のサイバー攻撃のトレンドとその対処方法を参照することができる。
また、ペネトレーションテストなどのセキュリティ対策を評価する際に用いることで、既存のセキュリティ対策と現実の攻撃手法とのギャップを浮かび上がらせることも可能だ。導入検討中のセキュリティ対策ソリューションについて、リスクに対するギャップ分析にも活用できる。
高度化するサイバー攻撃に対する防御を固めていく際に、各種対策の優先順位を決定することは重要なポイントとなる。その優先順位を決めるための手段として、今回紹介したMITRE ATT&CKを活用することで、強固なセキュリティ対策の確立に大きく寄与することが期待される。
