MITRE ATT&CKとは何か:一言で言うと
MITRE ATT&CK(マイター・アタック)とは、実際のサイバー攻撃者が使用する「戦術・手法・具体的な手順」を体系的に分類・整理したナレッジベース(知識データベース)です。世界中のセキュリティ研究者・インシデント対応チーム・政府機関が実際の攻撃を観察して得た知見を集積しており、現在もリアルタイムに更新されています。
「ATT&CK」は「Adversarial Tactics, Techniques, and Common Knowledge(敵対的な戦術、手法、および共通知識)」の略称です。攻撃者(Adversary)がシステムへの侵入・悪用・最終目標の達成に至るまでの一連の行動を、標準化された共通言語で記述しています。
なぜこれほど重要なのでしょうか。セキュリティ担当者、ペンテスター、SOCアナリストが「同じ言語」で攻撃を語れるようになることで、防御戦略の立案・実施・評価が格段に効率化されるからです。
MITREとは:組織の背景を理解する
MITRE(マイター)は、1958年に設立されたアメリカの非営利研究機関です。米国連邦政府(国防総省・NIST・NSAなど)のために独立した技術研究・システムエンジニアリングを行うことを主な目的とし、航空管制システム・医療情報システム・サイバーセキュリティなど幅広い分野で活動しています。
MITREが運営する有名なプロジェクトには、以下があります。
- CVE(Common Vulnerabilities and Exposures):ソフトウェアの脆弱性に一意のID(CVE番号)を付与する国際標準の脆弱性データベース。「Log4Shell(CVE-2021-44228)」のような形式が広く知られています。
- CWE(Common Weakness Enumeration):ソフトウェアの脆弱性の「種類」を分類するカタログ。
- ATT&CK:本記事で解説する攻撃者の戦術・手法のナレッジベース。
ATT&CKは2013年に内部プロジェクトとして開始され、2015年に公開されました。現在では世界中の政府機関・セキュリティベンダー・企業が活用する事実上の業界標準となっています。日本でも内閣サイバーセキュリティセンター(NISC)や経済産業省の関連資料で言及されており、国内でも重要性が増しています。
ATT&CKの構造:3つの層を理解する
ATT&CKフレームワークは、戦術(Tactic)→ 手法(Technique)→ 手順(Procedure)という3層構造で攻撃行動を記述しています。この構造を理解することが、ATT&CKを活用するための第一歩です。
第1層:戦術(Tactic)
戦術は、攻撃者が「何を達成しようとしているか」という目的・目標を表します。「なぜその行動をとっているのか」という「Why」に相当します。
Enterprise ATT&CKには現在14の戦術カテゴリが定義されています(後述)。
第2層:手法(Technique)とサブ手法(Sub-technique)
手法は、攻撃者が特定の戦術目標を達成するために「どのような方法を使うか」を表します。「How」に相当します。
例えば、「認証情報アクセス(Credential Access)」という戦術を達成するための手法として、「パスワードスプレー攻撃(Password Spraying)」や「フィッシング(Phishing)」などが含まれます。
現在のATT&CKには700以上の手法・サブ手法が登録されています。
第3層:手順(Procedure)
手順は、特定の攻撃グループやマルウェアが実際にどのように手法を実装しているか、具体的なコード・コマンド・設定までを示します。「What specifically」に相当します。
例えば、「APT29(ロシアのSVRに関連するとされる攻撃グループ)がどのようなパラメータでツールを使用したか」という粒度の情報が記載されています。
この3層構造により、抽象的な「攻撃者の目的」から具体的な「実装レベルの手口」まで、一貫した共通言語で表現できます。
14の戦術カテゴリ:Enterprise ATT&CKの全体像
Enterprise ATT&CK(企業のIT環境を対象とするATT&CK)の14の戦術カテゴリを、攻撃の進行順に解説します。
# | 戦術(英語) | 戦術(日本語) | 攻撃者の目的 |
|---|---|---|---|
1 | Reconnaissance | 偵察 | 攻撃対象に関する情報収集 |
2 | Resource Development | リソース開発 | 攻撃に使用するインフラ・ツールの準備 |
3 | Initial Access | 初期アクセス | 標的のネットワークへの最初の侵入 |
4 | Execution | 実行 | 悪意あるコードの実行 |
5 | Persistence | 持続性 | システムへのアクセスを維持する仕組みの設置 |
6 | Privilege Escalation | 権限昇格 | より高い権限の取得 |
7 | Defense Evasion | 防御回避 | セキュリティツールによる検知の回避 |
8 | Credential Access | 認証情報アクセス | アカウント名・パスワードの窃取 |
9 | Discovery | 探索 | 内部ネットワーク・システムの把握 |
10 | Lateral Movement | ラテラルムーブメント | 内部ネットワーク内での横方向への移動 |
11 | Collection | 収集 | 最終目標達成に向けたデータの収集 |
12 | Command and Control | C2(指揮統制) | 侵害したシステムとの通信チャネルの確立 |
13 | Exfiltration | データ持ち出し | 収集したデータの外部への送出 |
14 | Impact | インパクト | システム・データの改ざん・破壊・暗号化 |
特に重要な戦術の解説
Initial Access(初期アクセス)は、攻撃の入り口として最も重要な戦術です。フィッシング・公開システムの脆弱性悪用・サプライチェーン経由の侵入などが含まれます。この戦術への対策が最も直接的にセキュリティインシデントの防止につながります。
Defense Evasion(防御回避)は、全手法の中で最も登録数が多い戦術です(100以上の手法)。攻撃者がEDRやSIEMの検知をいかに回避するかを示す手法が集まっており、防御側にとって最大の課題の一つです。
Lateral Movement(ラテラルムーブメント)は、最初の侵入後に内部ネットワークを水平方向に移動し、最終目標(重要データへのアクセスや管理者権限の取得)へ向かう動きです。この段階への早期検知・阻止が、被害規模の最小化に直結します。
なぜBAS・ペンテストでATT&CKが使われるのか
ペネトレーションテストとの関係
ペネトレーションテスト(侵入テスト)は、実際の攻撃者の視点から組織のセキュリティを評価するサービスです。ATT&CKを活用することで、テストのスコープ(どの手法を試すか)を明確化し、テスト結果を標準化された形式でレポートできます。
例えば「Privilege Escalation(権限昇格)に該当する手法をどの程度試したか」「Lateral Movement(ラテラルムーブメント)における検知率は何%か」という形でテスト結果を表現できるため、前回のテストとの比較・改善効果の測定が容易になります。
ペネトレーションテストと脆弱性診断の違いについては、ペネトレーションテストvs脆弱性診断:自社に合った選び方をご覧ください。
BAS(侵害シミュレーション)との関係
BAS(Breach and Attack Simulation)は、ATT&CKに定義された攻撃手法を自動的に実行し、EDR・SIEM・ファイアウォールなどの防御ツールがどの手法を検知・ブロックできているかを定量的に評価します。
BASはATT&CKのマトリクスと照合した形でカバレッジ(防御カバー率)をレポートするため、「どの戦術・手法に対して防御が薄いか」を視覚的に把握できます。ATT&CKなしにBASは成立しないと言っても過言ではありません。
BASの詳細についてはBASとは?ペネトレーションテストとの違いを徹底解説をご覧ください。
SOCでのATT&CK活用:3つの実践方法
SOC(セキュリティオペレーションセンター)においては、ATT&CKは防御・検知・対応の各フェーズで活用されます。
活用方法①:アラートの優先度付け(Triage)
SIEMやEDRから大量のアラートが発生する中、どのアラートを優先して調査すべきかを判断するために、ATT&CKを活用できます。
例えば、「Lateral Movement(ラテラルムーブメント)」や「Credential Access(認証情報アクセス)」に該当する手法が検知された場合は、攻撃が侵入後の深い段階にある可能性が高いため、即座に最優先対応が必要です。一方、「Reconnaissance(偵察)」段階の活動は、脅威の早期兆候として記録はするが即座のインシデント対応は不要という判断もできます。
このように、ATT&CKの戦術ステージと脅威の緊急度をマッピングすることで、SOCアナリストの判断精度と対応速度が向上します。
活用方法②:脅威ハンティング(Threat Hunting)
脅威ハンティングとは、SIEMのアラートに頼るのではなく、アナリストが能動的にログやシステムを調査し、潜在的な侵害の痕跡を探す活動です。
ATT&CKはこの活動の「ロードマップ」として機能します。例えば「自組織の業界を標的とする攻撃グループAPT41はどの手法を多用するか」をATT&CKで確認し、その手法に対応するログを重点的に調査するというアプローチです。
具体的には、「T1003(OSクレデンシャルダンプ)」という手法に対して「lsass.exeへの不審なアクセスがないか」をWindowsのセキュリティログで探索する、といった形で活用します。
活用方法③:検知ルールの整備
SOCのSIEMに設定する検知ルール(ユースケース)を、ATT&CKの手法に対応させる形で整備することができます。「どのATT&CK手法に対応する検知ルールが存在するか」をATT&CKマトリクス上でマッピングすることで、検知のカバレッジとギャップを視覚化できます。
Sigma(セキュリティイベント検知のための汎用ルール形式)やElastic Security・Splunk ESなどのSIEM製品は、ATT&CKにマッピングされたルールセットを標準で提供しており、SOCの検知体制構築に役立てられています。
ATT&CKの補完ツール:Navigator
MITREは「ATT&CK Navigator」というオープンソースのウェブツールを無償で提供しています。ATT&CKマトリクスをカスタマイズして表示できるツールで、以下のような用途に使われます。
- 自組織の防御カバレッジを可視化:どの手法に対して検知ルールが存在するかをマトリクス上で色分け表示
- 特定の攻撃グループの手法セットを表示:APT29・Lazarus Groupなどの既知の攻撃グループが使う手法一覧をハイライト
- ペンテスト・BASのスコープ可視化:今回の評価でカバーした手法・未カバーの手法を視覚的に表示
ATT&CK Navigatorは https://mitre-attack.github.io/attack-navigator/ からアクセスできます(無料)。
日本企業での活用事例イメージ
ケース①:製造業のSOC構築
国内大手製造業A社では、新たにSOCを立ち上げるにあたり、ATT&CKを基準に検知ユースケースを整理しました。まずNavigatorを使って「自社が警戒すべき攻撃グループ」(製造業を標的とするAPTグループ)がよく使う手法を特定。次にその手法に対応するSIEMルールが存在するかを確認し、カバーできていない手法についてルール追加の優先順位をつけました。この取り組みにより、SOC立ち上げから3ヶ月でATT&CK手法の検知カバレッジが40%から72%まで向上しました。
ケース②:金融機関のレッドチーム演習
国内メガバンクB社では、年次のレッドチーム演習(高度なペネトレーションテスト)のスコープをATT&CKマトリクスに基づいて定義しました。演習結果をATT&CK手法ごとに記録し、「検知できた手法」「検知できなかった手法」をナビゲーター上で可視化。ブルーチーム(防御チーム)は検知できなかった手法への対策を優先的に実施し、翌年の演習で防御カバレッジの向上を確認しました。
ケース③:ITインフラ企業のBAS導入
ITインフラ企業C社では、半年ごとのペネトレーションテストだけでは防御評価の頻度が不足していると判断し、BASを導入しました。BASのレポートはATT&CK手法別のカバレッジ率を表示する形式になっており、毎月のセキュリティ会議で経営層への報告資料として活用されています。「先月は防御カバレッジが65%だったが、EDRのルール更新により今月は78%に改善した」という形で、セキュリティ投資の効果を定量的に示せるようになりました。
ATT&CKを使い始めるための3つのステップ
ATT&CKは膨大なナレッジベースであり、最初から全てを理解しようとすると圧倒されてしまいます。以下の順序で段階的に取り組むことをお勧めします。
ステップ1:自組織に関連する攻撃グループを特定する
まずATT&CKのウェブサイト(https://attack.mitre.org/)で「Groups」のページを参照し、自社の業界や地域を標的とすることが知られている攻撃グループを探します。製造業であれば「APT41」「Lazarus Group」、金融機関であれば「FIN7」「Carbanak」などが参考になります。
ステップ2:その攻撃グループが使う手法に注目する
特定した攻撃グループのページを開くと、「Techniques Used(使用する手法)」のリストが表示されます。この手法リストに対して、自組織の現状のSIEM検知ルールやセキュリティ製品がどの程度カバーしているかを評価します。
ステップ3:ギャップを埋める優先順位をつける
カバーできていない手法の中で、攻撃の「初期段階(Initial Access・Execution)」に関わるものを優先して対策します。攻撃の初期段階を止めることが、被害を最小化するための最も効率的なアプローチだからです。
よくある質問(FAQ)
Q1. ATT&CKは無料で使えますか?
A. はい、完全に無料で公開されています。MITRE ATT&CKのウェブサイト(https://attack.mitre.org/)から全ての情報にアクセスでき、ATT&CK NavigatorもGitHubから無料で利用できます。
Q2. ATT&CKはどのプラットフォームに対応していますか?
A. Enterprise ATT&CK(Windows・Linux・macOS・クラウド・SaaS)のほか、Mobile ATT&CK(iOS・Android)、ICS ATT&CK(産業制御システム)があります。企業ネットワークのセキュリティには主にEnterprise ATT&CKが使われます。
Q3. ATT&CKとKill Chainの違いは何ですか?
A. Lockheed MartinのCyber Kill Chainは7段階の大まかな攻撃フローを表すフレームワークです。ATT&CKはより詳細で実践的な手法データベースであり、Kill Chainより粒度が細かく現場での活用に適しています。両者は補完関係にあり、Kill Chainで大局を把握しATT&CKで詳細を確認するという使い方もできます。
Q4. ATT&CKの更新頻度はどのくらいですか?
A. ATT&CKは年に数回更新されます(2024年時点でv15まで公開)。新たな攻撃手法の観察に基づいて手法の追加・修正が行われます。最新バージョンへの追随が重要です。
Q5. ATT&CKをSIEMに統合するにはどうすればよいですか?
A. Splunk ES・Microsoft Sentinel・Elastic Security などの主要SIEMは、ATT&CKにマッピングされた検知ルールを標準提供しています。また、Sigma形式のコミュニティルールを活用することで、ATT&CK対応の検知カバレッジを手軽に拡張できます。
Q6. ATT&CKを活用したBASサービスを選ぶポイントは?
A. ①カバーするATT&CK手法の数と更新頻度、②テスト結果のATT&CKマトリクスへのマッピング表示機能、③クラウド環境・OT環境など自社のインフラに対応しているか、の3点を確認することをお勧めします。
Q7. SOCアナリスト初心者がATT&CKを学ぶには何から始めれば?
A. MITREが提供するATT&CK公式サイトの「Getting Started」ドキュメントから始めるのが最適です。また、KALIやTHM(TryHackMe)などの実践的なプラットフォームでATT&CKを参照しながら実際の攻撃・防御シナリオを学ぶことで、理解が深まります。
まとめ
MITRE ATT&CKは、現代のサイバーセキュリティ実務において不可欠な共通言語です。以下の3点を今すぐ押さえておきましょう。
- ATT&CKの3層構造(戦術→手法→手順)を理解し、攻撃者の行動を体系的に捉える視点を持つ
- 自組織に関連する攻撃グループの手法をATT&CKで確認し、現状の防御ギャップを把握する
- BAS・ペンテスト・SOCの各施策にATT&CKを組み込み、防御カバレッジを継続的に向上させる
AEVUSでは、MITRE ATT&CKに準拠したペネトレーションテスト・BASサービス・SOCサービスを提供しています。自組織のATT&CKカバレッジを可視化したい、BASを導入したいとお考えの企業は、ぜひAEVUSにご相談ください。
