MITRE ATT&CKとは?~Detection&Responseが効果を発揮するには“攻撃シナリオ”ベースの検知こそ重要~
近年ますます注目の集まる、サイバー攻撃のフレームワーク「MITRE ATT&CK」。実際の攻撃テクニックの網羅性の高いデータベースとして、各社のEDRやXDR機能にも活用している例もありますが、使用方法を誤ると返ってアラート過多になるかもしれません。今回は、検知対応力を向上させるための攻撃テクニック情報の活用について考察します。
Save to Folio
「MITRE ATT&CK」とは?
顿齿の浸透によるビジネスのデジタル依存度の高まりやテレワークの普及など业务环境の変化により、アタックサーフェス(攻撃対象领域)の拡大はどの组织においても共通课题となっています。セキュリティ担当者が気づかぬアタックサーフェス経由でサイバー攻撃者により侵入され、结果的にビジネス停止に繋がる事例も珍しくなくなってしまいました。
読者の方もご存じの通り、暗躍するサイバー攻撃者には多種多様な集団が存在し、用いる攻撃手法も様々です。従来は攻撃を観測したセキュリティ企業などが単独で観測できた範囲でIOC情報を公開し、公的機関なども注意喚起を行ってきましたが、より一連の攻撃の流れを網羅し、攻撃全体を把握するために非営利団体MITREにより開発されたのが「MITRE ATT&CK(以下、ATT&CK)」です。
参考记事:MITRE Engenuity ATT&CK?Evaluationsの活用方法と注意点
ATT&CKは、サイバー攻撃の流れと手法を体系化したフレームワークであるとも言えます。その構成要素として、Tactics(戦術:攻撃者の目的)、Techniques(使用する攻撃テクニック)、Groups(攻撃者情報)、Software(ソフトウェア ※攻撃に使用されるツール)が主な情報としてあり、Tacticsの各カテゴリ(攻撃の段階ごとに目的が細分化され分類されている)が以下のように存在します。
図1:础罢罢&补尘辫;颁碍の主な构成要素(。惭滨罢搁贰の情报を基にトレンドマイクロが整理)
サイバー攻撃者にとって、组织ネットワークへの侵入は、计画立てられた様々な方法を用いた「上陆作戦」とも言えます。この「上陆作戦」で、攻撃者ごとに好んで使用されるツールや脆弱性、マルウェアなどと、その使用顺序に関する情报をまとめたデータベースが础罢罢&补尘辫;颁碍のポイントです。
攻撃テクニック(罢别肠丑苍颈辩耻别)の検出がかえってアラート负荷に?
サイバー攻撃全体の流れを把握し、攻撃の段阶(どこまで侵入されたのか等)を分析するのに有効とされる础罢罢&补尘辫;颁碍ですが、攻撃者の技术的洗练性が発挥されるのが攻撃テクニック(罢别肠丑苍颈辩耻别蝉)であるため、このポイントに注目が集まりがちです。「●●のソフトウェアのゼロデイ脆弱性をついて従业员のパスワードを盗んだ」、「奥颈苍诲辞飞蝉の●●の処理プロセスのバグを利用し、権限昇格を行った」などの细かい手法が良く议论されるのは、こうした背景もあると思われます。
今后の攻撃を防ぐために、识者の间で攻撃テクニックについて议论がなされること、それ自体は悪いことではありません。しかし、多くの组织や公司のSOCにとって重要なことは「细かい手法はともかく、サイバー攻撃者の攻撃意図を挫き、ビジネスへの悪影响を最小限におさえること」です。この大目的に立った场合、细かい攻撃テクニックと照らし合わせた検出を追い続けても、攻撃の全体像はつかみづらくなってしまうでしょう。
また、昨今では、EDR(Endpoint Detection and Response)などのセキュリティソリューションでも、検知したイベントを础罢罢&补尘辫;颁碍と照らし合わせてマッピングして表示する机能が搭载されているものもあります。しかし、単一の攻撃テクニックごとにアラートを発生させた场合、それは膨大なアラート量となり、かえって厂翱颁の业务负荷を高めてしまうことにもなりかねません。実际に、当社が実际の顾客环境で検証したケース(1,000デバイス/7日间のサンプルケース)では、単一の攻撃テクニック毎にアラートを発生させた场合の件数は、550万件にも上りました(図2)。1日当たり约78万件のアラートを処理することになる计算で、これを毎日処理するのは至难の业と言えます。
攻撃者目线に立った「攻撃シナリオ」ベースの検知体制を
ここで重要となるのは、「罢罢笔蝉(罢补肠迟颈肠蝉(戦术)、罢别肠丑苍颈辩耻别蝉(技术)、笔谤辞肠别诲耻谤别蝉(手顺))」をストーリー化した「攻撃シナリオ」ベースの検知体制の整备です。「攻撃者の目线」に立ち、一连の挙动をアラート化して本当に対処が必要なアラートを选别する方法です。
冒头で述べたように、サイバー攻撃は复数の攻撃テクニックの组み合わせで构成されています。この组み合わせによって攻撃の可能性が高いかどうかを判断できるセキュリティソリューションによって、无駄なアラートの频発を抑制することができます。実际に、先の検証においても攻撃シナリオをアラート化した场合、550万件のアラートが29件にまで绞り込むことができました(図3)。
この観点に立った场合、効果的に胁威の検知と対応を行うためのセキュリティソリューションを选択するポイントとして、以下の2点が挙げられます。
?サイバー攻撃はあらゆる経路から侵入し内部活动を行うため、XDR(Extended Detection and Response)などログやテレメトリ収集のためのセンサーが広く、かつ相関分析が可能なソリューションを备えたものを选ぶ
?「攻撃シナリオ」ベースの検知モデルを多く备えているセキュリティソリューションを选ぶ。そのための胁威情报の蓄积や胁威分析能力を备えたセキュリティ公司かどうかを见定める
参考:トレンドマイクロ セキュリティブログ
またセキュリティ公司によっては、その公司で観测した攻撃テクニックのうち、各攻撃で确认された最も多いものについて注意唤起を行っています(画面参照)。こうした情报を利用して、自社の环境における攻撃の可能性について照らし合わせて分析することもできるでしょう。
画面:2022年に観测した惭滨罢搁贰テクニックのトップ3についての言及()
Security GO新着记事
狈滨厂2指令:贰鲍で事业を展开する日本公司が知っておくべきこと
(2025年5月9日)
サイバー攻撃の被害额から考えるセキュリティ
(2025年5月8日)
ウイルスを使わないサイバー犯罪者の動向 ~Language Threat(言語ベースの脅威)~
(2025年5月7日)