ATT&CK

Adversarial Tactics, Techniques, and Common Knowledge（ATT&CK、アタック）は、サイバー攻撃や侵入を分類および記述するためのガイドラインである。Mitre Corporationによって作成され、2013年に公開された^[1]。MITRE ATT&CKともいう。

攻撃の結果（侵害指標（IoC）としても知られる）を調査するのではなく、攻撃が進行中であることを示す戦術を特定する。戦術とは、攻撃手法の「目的（なぜ行うか）」にあたる。

このフレームワークは14の戦術カテゴリで構成されており、これらは攻撃者の技術的目標を網羅している^[2]。例として、権限昇格やC&Cなどが挙げられる^[3]。これらのカテゴリは、さらに具体的な手法（テクニック）とサブテクニックに分類される^[3]。

このフレームワークは、ロッキード・マーティンによって開発されたサイバー・キルチェーンに代わるものである^[3]。

偵察

エンタープライズ向けATT&CKマトリックスは、カンバン方式の図として提示される包括的なフレームワークである^[4]。サイバー犯罪者が使用する戦術、手法、手順（TTP）を14のカテゴリに定義し、関連する手法とサブテクニックを紐付けている。

カテゴリ	説明	手法数
偵察	標的に関する情報を収集する。	10
リソース開発	攻撃のためのリソースを特定し、取得する。	8
初期アクセス	システムやネットワークへの初期の侵入を果たす。	10
実行	システム上で悪意のあるコードを実行する。	14
永続化	システムやネットワークへのアクセスを維持する。	20
権限昇格	システムやネットワーク内で上位の権限を取得する。	14
防御回避	セキュリティ対策を無効化、または回避する。	43
認証情報アクセス	システムやデータにアクセスするための認証情報を取得する。	17
探索	ネットワーク内の追加のシステムや情報を特定する。	32
横断的移動	侵害されたネットワーク内を横方向に移動する。	9
収集	侵害されたシステムからデータを収集する。	10
コマンド&コントロール	侵害されたシステムとの通信を確立する。	17
情報漏洩	侵害されたシステムから盗み出したデータを転送する。	9
インパクト	攻撃者の目的を達成するための行動をとる。	14

偵察は、最終的なサイバー攻撃に向けた情報収集の初期段階である^[5]。

これには、ネットワークスキャン、ソーシャル・エンジニアリング、オープンソース・インテリジェンス（OSINT）の使用を含む10の手法が存在する。

MITRE ID	手法	概要
T1595	アクティブスキャニング	Nmapなどのポートスキャンツール、脆弱性スキャナ、被害者が使用する一般的なファイル拡張子やソフトウェアのワードリストスキャンを用いて、標的ネットワークを能動的に調査する。
T1598	情報のフィッシング	ソーシャル・エンジニアリングの手法を用いて、標的から有用な情報を引き出す。一般的なフィッシングや、個別の被害者を標的として特別に作成されたスピアフィッシングなど、電子メールなどの通信チャネルを使用する。
T1592	被害者ホスト情報の収集	特定のエンドポイントのハードウェア、ソフトウェア、管理設定（Active Directoryドメインへの所属など）の構成を特定する。特に、アンチウイルスなどのセキュリティ保護やロック（バイオメトリクス、スマートカード、ケンジントンロックなど）を対象とする。
T1590	被害者ネットワーク情報の収集	ネットワーク構成、セキュリティ機器（ファイアウォール、VPN）、IPアドレス範囲（IPv4、IPv6またはその両方）、完全修飾ドメイン名（FQDN）、およびドメインネームシステム（DNS）の設定など、標的ネットワークの構成を特定する。

表話編歴脆弱性、攻撃手法、エクスプロイトと対策
インジェクション (CWE-74)・入力検証不備	不適切な入力確認 (CWE-20) OSコマンドインジェクション (CWE-78) クロスサイトスクリプティング (XSS) (CWE-79) SQLインジェクション (CWE-89) LDAPインジェクション (CWE-90) コードインジェクション (CWE-94) HTTPヘッダ・インジェクション (CWE-113) HTTPレスポンススプリッティング（英語版） (CWE-113) 書式文字列攻撃 (CWE-134) XML外部実体攻撃 (XXE) (CWE-611) Insecure Deserialization（英語版）(CWE-502) DLLサイドローディングファイルインクルード脆弱性（英語版） Mass Assignment脆弱性（英語版）プロンプトインジェクション
Web・ブラウザ・クライアント関連	ディレクトリトラバーサル (CWE-22) クロスサイトリクエストフォージェリ (CSRF) (CWE-352) Webキャッシュポイゾニング (CWE-444) サーバサイド・リクエストフォージェリ (SSRF) (CWE-918) IDNホモグラフ攻撃 (CWE-1007) クリックジャッキング (CWE-1021) クロスサイトトレーシング (XST) DNSリバインディングクロスサイト・クッキングリファラスプーフィング（英語版） (CWE-601) クロスゾーンスクリプティング（英語版）
認証・セッション・なりすまし	セッションハイジャック (CWE-287) IPスプーフィング (CWE-290) クレデンシャル・スタッフィング (CWE-307) DNSスプーフィング (CWE-345) セッションフィクセーション (CWE-384) パス・ザ・ハッシュ攻撃 (CWE-522) ファーミング (CAPEC-89) フィッシング (詐欺) (CAPEC-98) リプレイ攻撃中間者攻撃 (MITM) ARPスプーフィング MITB攻撃悪魔の双子攻撃セッションポイズニング Kerberoasting クッキーモンスター攻撃（英語版）クッキースタッフィング（英語版） in-sessionフィッシング（英語版） Eメールスプーフィング（英語版） MOTS攻撃（英語版）
システム・メモリ・並行処理	バッファオーバーフロー (CWE-119) 整数オーバーフロー (CWE-190) スタックバッファオーバーフロー（英語版） Off-by-oneエラー (CWE-193) Return-to-libc攻撃競合状態 (Race Condition) (CWE-362) Time-of-check to time-of-use (TOCTOU) (CWE-367) TCPシーケンス番号予測攻撃 JITスプレー Spectre Use After Free（英語版）ダングリングポインタ（英語版）
暗号・サイドチャネル・ハードウェア	サイドチャネル攻撃 (CWE-203) 平文保存(CWE-312) 危殆化 (CWE-327) POODLE(CWE-757) KRACK(CWE-757) レインボーテーブル攻撃誕生日攻撃 Meltdown CRIME Intel ME（英語版） Lazy FP state restore（英語版） TLBleed（英語版）スナーフィング（英語版）コールドブート攻撃（英語版）
可用性侵害 (DoS攻撃)	DoS攻撃 (CWE-400) ICMP echoフラッド Smurf攻撃 SYN flood UDPフラッド攻撃 HTTP Flood スローロリス_(DOS攻撃ツール) ZIP爆弾 (CWE-409) Billion laughs攻撃 (XML爆弾) (CWE-776) メールボムランサムウェアクリアチャネル評価攻撃（英語版）
サイバーセキュリティ・対策技術	ファイアウォール(FW) 次世代ファイアウォール(NGFW) Web Application Firewall (WAF) 侵入検知システム (IDS) 侵入防止システム (IPS) ハニーポットペネトレーションテスト Static Application Security Testing(SAST) Dynamic Application Security Testing(DAST) Interactive Application Security Testing(IAST) Endpoint Detection and Response (EDR) Endpoint Protection Platform（EPP） Network detection and response（英語版）(NDR) User and Entity Behavior Analytics（UEBA）セキュアアクセスサービスエッジ（SASE） Security information and event management (SIEM) Security Orchestration, Automation and Response (SOAR) Cloud access security broker (CASB) FIDO (認証技術) 多要素認証 (MFA) Privileged access management (PAM) Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) Outbound Port 25 Blocking（OP25B） Sender Policy Framework (SPF) DKIM DMARC Wi-Fi Protected Access アドレス空間配置のランダム化 (ASLR) イミュータブルバックアップコンテンツスニッフィングサイバーレジリエンスセキュリティ・バイ・デザイン (SBD) ソフトウェア・サプライチェーンゼロトラスト・セキュリティモデルセキュリティオペレーションセンター CSIRT PSIRT
関連用語	MITRE ATT&CK APT攻撃ゼロデイ攻撃サイバーキルチェーンクラッキングシェルコードソーシャル・エンジニアリングセキュリティホールダークウェブフォレンジックブラウザクラッシャーボットネットマルウェア Metasploit
セキュリティ関係団体・法律	サイバーセキュリティ基本法サイバー警察局独立行政法人情報処理推進機構（IPA）内閣サイバーセキュリティセンター（NISC）情報通信研究機構（NICT）アメリカ国立標準技術研究所（NIST）欧州ネットワーク・情報セキュリティ機関（ENISA）日本情報経済社会推進協会（JIPDEC) CRYPTREC 共通脆弱性識別子（CVE） OWASP JPCERTコーディネーションセンター (JPCERT/CC) Japan Vulnerability Notes (JVN) 脆弱性情報データベース脆弱性報奨金制度

偵察

脚注

外部リンク

Related Articles