MITRE ATT&CK（Adversarial Tactics, Techniques, and Common Knowledge）とは、米国内のサイバーセキュリティ分野で行政をサポートする非営利組織のMITREが公開しているナレッジベース（知見を集約したデータベース）だ。MITRE ATT&CKでは、脆弱性を悪用したサイバー攻撃を、戦術と技術・手法の観点で分類しており、戦術ごとに個々の攻撃の技術・手法に対して、実際の事例や検知方法、対応策、セキュリティベンダーなどに関するレポートへのリンクなどが記載されている。

サイバー攻撃の一連の流れと手法を体系化したフレームワークとして捉えられており、MITRE ATT&CKは、四半期に一度、または不定期に更新が行われている。この更新によって、最新の脅威情報についての記述が追加されるため、定期的に確認することでサイバー攻撃のトレンドとその対処方法を確認できる。

MITREのモデル

MITREでは、一連のサイバー攻撃の流れをPRE-ATT&CKとATT&CKの2つに分類しており、PRE-ATT&CKは侵入までのフェーズにおける戦術、ATT&CKは侵入以降の戦術を対象としている。さらにATT&CKでは、エンタープライズ向け、モバイル向け、産業用制御システム向けの3つの分野に分け、戦術や攻撃の技術・手法を整理している。

例えば、エンタープライズ向けでは「Reconnaissance（偵察）」、「Resource Development（リソース開発）」、「Initial Access（初期アクセス）」、「Execution（実行）」、「Persistence（永続化）」、「Privilege Escalation（特権の昇格）」、「Defense Evasion（防衛回避）」、「Credential Access（ID情報へのアクセス）」、「Discovery（探索）」、「Lateral Movement（横方向の動き）」、「Collection（収集）」、「Command and Control（コマンドと制御）」、「Exfiltration（持ち出し）」、「Impact（影響）」という14の戦術が提示されている。

これら戦術はサイバー攻撃における一連の攻撃サイクルであり、MITRE ATT&CKでは、それぞれの戦術に関して、マトリクス形式にて複数の攻撃に関する技術・手法が示されている。