コラム:MITRE ATT&CKでセキュリティカバレージを可視化しよう
第1回 MITRE ATT&CKの概要

このコンテンツは、2022年5月25日に実施したウェビナー「【サイバー攻撃分析の手法】MITRE ATT&CKにおけるNetwork Trafficの使い方~パケットやメタデータからわかること~」の内容をもとに加筆修正したものです。

本連載は「MITRE ATT&CK」に興味をもつ方に向けて、自社のセキュリティ対策がATT&CK Matrix上のどの程度をカバーできているのか?を可視化する方法を説明しています。
全3回で構成する予定で、それぞれの回の内容は以下の通りです。

では、第1回を早速始めていきましょう。

MITRE社が開発、メンテナンスしている「MITRE ATT&CK」は、実際に攻撃者が使用している戦術や利用技術に関する情報をまとめたナレッジベースです。MITRE ATT&CKを利用することで敵に関する情報を整理・理解し、攻撃された場合にそれが誰によって行われ、どんな戦術や技術を用いて実行されているかを確認し、対応策を考え、また更なる攻撃への準備を行うことが可能になります。また、MITRE ATT&CKでは分析のための情報を何から得るのかについても「データソース」という定義があります。本稿では、MITRE ATT&CKの概要を理解しつつ、ネットワークから収集できるデータソースのひとつである「Network Traffic」からどのような分析が可能なのかを見ていくことにします。

MITRE ATT&CKの概要

MITRE ATT&CKのメイン要素としてMatrixがあります。これは縦軸横軸を持った表のようなもので、横軸は「Tactics」、縦軸は「Techniques」を表します。

MITRE ATT&CK Matrix (図をクリックすると拡大できます)

またMITRE ATT&CKには「Enterprise」「Mobile」「ICS」という3つのドメインがあり、このドメインごとに情報が分類されています。今回は最もよく使われる「Enterprise」のMITRE ATT&CKを例に取って説明を進めます。

用語

MITRE ATT&CKを理解するうえで知っておいた方が良い用語について説明しておきましょう。

用語説明
Tactics攻撃者が達成したいゴールを端的に表したものです。1つのTacticsには複数のTechniquesが関連付けられ、Tacticsの下に並べられます。つまり「Tactics」は、攻撃者がこれらの「Techniques」を使用する理由と言い換えても良いでしょう。これらには「TAxxxx」のような番号が付与されています。
TechniquesそのTechniqueが属している「Tactics」を達成するための個々の方法のことです。大分類と小分類があり、それぞれを「Technique」、「Sub-Technique」と呼んでいます。また、各Techniquesには「Txxxx」、Sub-Techniquesには「Txxxx.yyy」のような番号が付与されています。
Groups既知の攻撃者の情報を表します。例としてAPT3、Black Tech、Lazarus Group、menuPassといった攻撃グループが挙げられます。これらには「Gxxxx」のような番号が付与されます。
SoftwareTechniqueを具体的に実現するための道具や手法のことです。マルウェアの名称や商用のリモートアクセスツール、ペネトレーションテストツールの名称があげられており、あわせてそれを使用するGroupの情報が整理されている場合もあります。これらには「Sxxxx」のような番号が付与されます。
Data SourceそれぞれのTechniqueを検出するために利用可能な情報のことです。ATT&CKに定義された各Techniqueには「Detection」という項目があり、発見に役立つData Sourceが記載されています。各Data Sourceには「DSxxxx」のような番号が付与されています。
MitigationTechniqueによって実行される攻撃を緩和するための方法のことです。Techniqueが実行されるのを妨げるものや、事前に講じておくことでTechniqueを無効にするようなものが、各Techniqueに紐づけられて整理されています。これらには「Mxxxx」のような番号が付与されます。
表:用語

TacticsとTechniques

では、「Tactics」にはどのようなものがあるでしょうか。
現在ATT&CKでリストされているのは、以下の14個の「Tactics」です。

Tactics説明
Reconnaissance将来の作戦を計画するために必要となる情報を収集
Resource Development攻撃を遂行するために使用可能なリソースを確立
Initial Access攻撃対象のネットワークに侵入を試みる
Executionマルウェア等の実行
Persistence攻撃対象ネットワーク内に長期にとどまるための足場を作成
Privilege Escalationより高いレベルの権限を取得
Defense Evasion検出されないようにする
Credential Accessアカウント名やパスワードを盗み出す
Discovery攻撃対象ネットワークに関する様々な情報を収集
Lateral Movementネットワーク内を動き回る、あるいは次々に感染する
Collection目標達成に必要なデータを集める
Command and Control感染したシステムを通じてすべてを制御しようとする
Exfiltration集めたデータを外に持ち出す(盗む)
Impact対象システム・ネットワークを操作したり、停止させたり、破壊したりする
表:Tactics

これらの「Tactics」はATT&CKのMatrixでは横軸に並んでいます。基本的には攻撃の準備段階から攻撃完了後の行動までが左から右に向かって時系列で並んでいます。

それぞれの「Tactics」を実現するための手法として、各「Tactics」の下に並べられるのが「Techniques」です。各Techniqueは以下のような情報で構成されます。

データ項目説明
NameTechniqueの名称
IDATT&CKのTechniques内でユニークな番号
TacticそのTechniqueが利用される可能性がある対象Tactic
DescriptionTechniqueについての説明
Platform攻撃者が攻撃しようとするシステムの種類
System Requirements攻撃するために必要なシステム条件(ソフトウェアやパッチレベル等)
Permissions Required攻撃するために最低限必要なパーミッション(Privilege Escalation時)
Effective Permissions攻撃した結果達することのできるパーミッションレベル(Privilege Escalation時)
Data Source調査・確認・認知に必要となるデータの種類
Supports Remoteリモートシステムでの実行(Execution時)
Defense Bypassedバイパスされる可能性のある既存防御システムなど(Defense Evasion時)
CAPEC ID*関連するCAPECサイトへのリンク
*Common Attack Pattern Enumerations and Classifications
ContributorそのTechniqueについてのMITRE社以外の協力者
ExamplesそのTechniqueの具体的な処理を示すSoftwareまたはGroupの項目
DetectionそのTechniqueを検出するための分析プロセス、センサーやデータ、検出戦略など
Mitigation攻撃を妨げる(緩和策になる)ようなコンフィグ、ツール、プロセスなど
表:Technique構成要素

Techniquesに付与されている各要素としては、そのTechniqueが属するTacticsやTechniqueの概要、Techniqueを仕掛けようとする対象プラットフォームの種類、さらにはこのTechniqueで仕掛けられる攻撃が成功するために必要となる前提条件やユーザ権限レベルなど、Techniqueを理解するために必要なものが関連付けられています。ただし、これらの項目には必須となっていないものもあります。

では次回は、Techniqueの構成要素であるExamplesに含まれる「Groups」や「Software」、そして「Mitigation」について、もう少し見ていきながら、MITRE ATT&CK Matrixの具体的な使い方の例を紹介します。

【各回のコラムには、下記リンクよりアクセスいただけます。】

脅威ハンティング支援ツール「THX」について

THXは株式会社テリロジーワークスが独自に開発する脅威ハンティングツールです。
詳細につきましては、以下のページをご覧ください。

【8月23日開催ウェビナー】
ネットワークトラフィックでThreatHunting!with MITRE ATT&CK

8月23日にウェビナーを開催する予定です。
本講座では、THXとElastic Securityの連携によるデータの可視化、収集したデータに対するルールの適用、各ルールとMITRE ATT&CKの関連などについてお話しします。
ネットワークトラフィックを自社のセキュリティ向上に活かしたいとお考えの方、是非、以下のページよりお申し込み下さい。

THXに関するお問い合わせや資料をご希望の方は、下記ボタンよりご連絡ください。