【情報処理安全確保支援士試験 令和6年度 秋期 午前2 問3】MITRE ATT&CK

今回は、サイバーセキュリティの世界で欠かせない知識ベースである「MITRE ATT&CK（マイター アタック）」について、分かりやすく解説していきたいと思います。サイバー攻撃の手口は日々進化しており、その全体像を把握することは、防御側にとって非常に重要です。

---

情報処理安全確保支援士試験 令和6年度 秋期 午前2 問3

【出典：情報処理安全確保支援士試験 令和6年度 秋期 午前2（一部、加工あり）】

 様々なサイバー攻撃手法を分類したナレッジベースはどれか。

ア　CVSS
イ　MITRE ATT&CK
ウ　STIX/TAXII
エ　サイバーキルチェーン

サイバー攻撃手法を分類したナレッジベースの問題解説

正解は「イ MITRE ATT&CK」です。

それぞれの選択肢が指すものは以下の通りです。

• ア CVSS (Common Vulnerability Scoring System): 脆弱性の深刻度を評価するための共通指標です。攻撃手法そのものを分類するものではありません。
• イ MITRE ATT&CK: 実際の攻撃に基づいて、攻撃者が使用する戦術と技術を体系的にまとめたナレッジベースです。まさに問題文の記述に合致します。
• ウ STIX/TAXII (Structured Threat Information Expression / Trusted Automated eXchange of Indicator Information): 脅威インテリジェンスを共有するための標準規格です。攻撃手法の分類そのものではなく、情報の形式や共有方法を定めます。
• エ サイバーキルチェーン (Cyber Kill Chain): サイバー攻撃の各段階（偵察、武器化、配送、エクスプロイト、インストール、C&C、目的の実行）をモデル化したフレームワークです。攻撃のライフサイクルを記述しますが、個々の攻撃手法を詳細に分類するものではありません。

MITRE ATT&CKとは？

MITRE ATT&CK（Adversarial Tactics, Techniques, and Common Knowledge）は、米国の非営利団体であるMITRE社が開発・公開している、実際のサイバー攻撃者が使用する「戦術（Tactics）」と「技術（Techniques）」を体系的にまとめた、グローバルにアクセス可能な知識ベースです。

これは、サイバー攻撃を構成する要素を細かく分解し、「どうやって侵入するのか」「どうやって内部を移動するのか」「どうやって情報を窃取するのか」といった具体的な手順や手法を、網羅的に記述しています。

まるで、サイバー攻撃者の「戦術マニュアル」を逆手に取って、防御側が対策を練るための「対抗マニュアル」のようなイメージです。

背景・経緯

MITRE ATT&CKは、2013年にMITRE社が、サイバー脅威に対するより効果的な防御策を開発するため、実際の攻撃者の行動を分析する研究プロジェクトから生まれました。当時のセキュリティ対策は、主にマルウェアのシグネチャや既知の脆弱性への対応が中心であり、攻撃者の行動そのものを理解し、それに基づいて防御を構築するという考え方はまだ一般的ではありませんでした。

ATT&CKは、このギャップを埋めるために、「攻撃者が最終目的を達成するためにどのような段階を踏み、どのような方法を用いるのか」という視点で攻撃を構造化しました。当初はAPT（Advanced Persistent Threat）グループの行動分析が中心でしたが、現在ではエンタープライズ、クラウド、モバイル、ICS（産業制御システム）など、様々な環境に対応したフレームワークが提供されています。

事例（活用方法）

MITRE ATT&CKは、様々なサイバーセキュリティ活動において活用されています。

• 脅威インテリジェンスの理解と活用:
  • 特定の脅威アクター（攻撃グループ）がどのようなATT&CK技術を使用する傾向があるかを把握し、自組織への潜在的な脅威を評価できます。
• 防御能力の評価（ギャップ分析）:
  • 自組織が現在導入しているセキュリティ製品やプロセスが、ATT&CKのどの技術に対応しているかをマッピングすることで、防御の穴（ギャップ）を特定し、優先順位を付けて対策を講じることができます。
• レッドチーム演習とブルーチーム訓練:
  • レッドチーム（攻撃側） がATT&CKの技術を用いて実際の攻撃シナリオをシミュレートし、組織の防御能力をテストします。
  • ブルーチーム（防御側） は、ATT&CKを学ぶことで、攻撃者の行動を予測し、検知・対応能力を向上させる訓練を行います。
• インシデントレスポンス:
  • 発生したインシデントにおいて、攻撃者がどのATT&CK技術を使用したかを特定することで、攻撃の全容を迅速に把握し、効果的な封じ込めと復旧計画を立てることができます。
• セキュリティ製品の選定:
  • セキュリティベンダーは、自社製品がATT&CKのどの技術に対応しているかを示すことで、顧客は自社のニーズに合った製品を選びやすくなります。

課題

MITRE ATT&CKは非常に強力なツールですが、いくつかの課題も存在します。

• 情報の多さと複雑性: ATT&CKは膨大な数の戦術と技術で構成されており、初めて触れる人にとっては圧倒されることがあります。全てを網羅的に理解し、自組織に適用するには時間と専門知識が必要です。
• 継続的な更新への追従: サイバー攻撃の手法は常に進化しているため、ATT&CKも継続的に更新されます。最新の情報を追跡し、自社の対策に反映させ続ける必要があります。
• 「何ができるか」であって「どうするか」ではない: ATT&CKは攻撃者の「技術」を記述しますが、具体的な実装方法やツールまでは記述しません。対策を講じるには、さらに詳細な技術的な知識が必要です。
• ツールとの連携: ATT&CKを有効活用するには、SIEM（Security Information and Event Management）やEDR（Endpoint Detection and Response）などのセキュリティツールとの連携が不可欠ですが、その実装にはノウハウが求められます。

対策（メリット）

課題はありますが、MITRE ATT&CKを活用することには非常に大きなメリットがあります。

• 攻撃者の視点での防御: 攻撃者の行動原理を理解することで、より実践的で効果的な防御策を構築できます。
• 共通言語の確立: セキュリティチーム内や外部のベンダーとの間で、攻撃や防御に関する共通の言語を持つことができ、コミュニケーションの円滑化と理解の深化に繋がります。
• セキュリティ投資の最適化: 攻撃者の技術に対応する形でセキュリティ対策を検討することで、無駄な投資を避け、本当に必要な対策にリソースを集中できます。
• プロアクティブなセキュリティ対策: 攻撃が発生してから対応するだけでなく、攻撃者の可能性のある行動を事前に予測し、先手を打って防御することが可能になります。
• サイバーレジリエンスの向上: 攻撃からの回復力（レジリエンス）を高めるための計画や訓練に役立ちます。

今後の動向

MITRE ATT&CKは、今後もサイバーセキュリティのデファクトスタンダードとして進化し続けるでしょう。

• さらなるドメインの拡大: 現在のエンタープライズ、クラウド、モバイル、ICSなどに加え、IoT（モノのインターネット）やAI/ML（機械学習）セキュリティなど、新たな領域でのATT&CKフレームワークの登場が期待されます。
• 自動化と連携の強化: ATT&CKベースの脅威検知、分析、対応の自動化が進み、セキュリティ運用（SecOps）の効率化が図られるでしょう。STIX/TAXIIなど他の標準との連携もより密になることが予想されます。
• コミュニティの拡大と貢献: 世界中のセキュリティ専門家からのフィードバックや貢献により、ATT&CKのデータは常に洗練され、網羅性が高まっていきます。
• 防御側ツールの高度化: ATT&CKのマトリックスに対応した防御ツールやサービスの開発がさらに加速し、より直感的で使いやすいソリューションが増えていくでしょう。

まとめ

MITRE ATT&CKは、単なる攻撃手法の羅列ではなく、サイバー攻撃の「地図」であり、「共通言語」です。情報処理安全確保支援士やネットワークスペシャリストを目指す皆さんにとって、この知識ベースを理解し、活用できることは、現代のサイバーセキュリティ対策において不可欠なスキルとなります。

ぜひ、MITRE ATT&CKのWebサイトを訪れて、その豊富な情報に触れてみてください。攻撃者の視点を学ぶことで、より強固な防御を築けるようになるはずです！