目次
1. MITRE ATT&CKとは?
MITRE ATT&CK(Adversarial Tactics, Techniques & Common Knowledge)は、
攻撃者が実際に使う 戦術(Tactics) と 技術(Techniques) を体系的にまとめた知識ベースです。
- 誰が作ったのか:米MITRE社(非営利研究機関)
- 目的:セキュリティ運用者が「攻撃をどのように検知・対応するか」を標準化するため
- 内容:攻撃者のライフサイクルを「Tactics(目的)」→「Techniques(手法)」→「Sub-techniques(詳細)」の階層で整理
👉 攻撃の全体像をマッピングできる「地図」のような存在です。
2. MITRE ATT&CKの構造
(1) Tactics(戦術)
攻撃者の「目的」を表します。例:
- Initial Access(初期侵入)
- Execution(実行)
- Persistence(永続化)
- Exfiltration(データ流出)
(2) Techniques(技術)
目的を達成するための「手法」。例:
- フィッシングメール(T1566)
- 権限昇格のための脆弱性悪用(T1068)
(3) Sub-techniques(細分化)
さらに具体的な手法。例:
- Spearphishing Attachment(添付ファイルを使ったフィッシング) T1566.001
3. SOCアナリストが使う場面
- アラート調査
→ 検知した挙動をATT&CKにマッピングし、攻撃フェーズを把握 - 検知ルール改善
→ 既存の検知がカバーしていない技術(Techniques)を補強 - インシデント報告書
→ 経営層や顧客に「攻撃手法」を標準化された用語で説明できる - Threat Hunting
→ 攻撃者が使うとされるTTP(Tactics, Techniques, Procedures)をもとに能動調査
4. 具体例:フィッシング攻撃をMITRE ATT&CKで分析
攻撃シナリオ
- ユーザーがメールの添付ファイルを開き、マルウェア実行
- 攻撃者がC2サーバーへ通信し、認証情報を窃取
MITRE ATT&CKでのマッピング
- T1566.001:Spearphishing Attachment(初期侵入)
- T1204.002:User Execution: Malicious File(実行)
- T1071.001:Application Layer Protocol: Web Protocols(C2通信)
- T1003.001:OS Credential Dumping: LSASS Memory(資格情報窃取)
SOCの対応ポイント
- SIEMで 不審な添付メール受信ログ を検知
- EDRで マルウェア実行プロセス を確認
- Proxyログで 外部C2通信の有無 を調査
- 認証ログで 資格情報の不審利用 を確認
👉 MITRE ATT&CKを使うと、攻撃全体を「どの戦術・技術で進んでいるのか」体系的に把握できます。
5. SOC演習用:MITRE ATT&CKを活用したクエリ例
Splunk(SPL)
ブルートフォース攻撃(T1110: Brute Force)の兆候を探す:
index=auth sourcetype=linux_secure "Failed password"
| stats count by user, src_ip
| where count > 10
KQL(Microsoft Sentinel)
Impossible Travel(T1078: Valid Accounts)の疑いを探す:
SigninLogs
| summarize FirstSeen=min(TimeGenerated), LastSeen=max(TimeGenerated), Count=count()
by UserPrincipalName, Location
| where Count > 1
6. 学習リソース
- MITRE公式サイト: https://attack.mitre.org/
- ATT&CK Navigator:攻撃技術を可視化する便利ツール
- JPCERT/CCレポート:実際の攻撃をMITRE ATT&CKにマッピングした事例が豊富
7. まとめ
- MITRE ATT&CKは 攻撃者の行動を体系化した標準フレームワーク
- SOCアナリストは「アラート分析」「検知改善」「報告」「ハンティング」で活用できる
- 具体的にマッピングすると攻撃全体の流れが見え、対応の優先度が判断しやすくなる
コメント