ATT&CK連載Part1では、MITRE ATT&CKの概要とメリットを紹介しました。本ブログでは、ATT&CKマトリックスの詳細を紹介します。
ATT&CKマトリックスとは
ATT&CKマトリックスは、攻撃者が情報システムを侵害する際に使用する手法を分類したものです。ATT&CKマトリックスは継続的に更新され続けており、2023年2月現在、バージョン12まで存在します。
ATT&CKマトリックスは、以下の2つの観点から攻撃手法を分類します。
Tactics(戦術)
Techniques(技術)
【Tactics タクティクス】
タクティクスは、攻撃者が情報システムを侵害するプロセスを戦術の観点で示したものです。攻撃者がどのような手順で情報システムに侵入し、どのような行動をするかが分類されており、最新のATT&CKマトリックスでは以下の14のタクティクスが定義されています。
偵察(Reconnaissance)
環境構築(Resource Development)
初期アクセス(Initial Access)
実行(Execution)
永続化(Persistence)
特権昇格(Privilege Escalation)
防御回避(Defense Evasion)
クレデンシャルアクセス(Credential Access)
環境把握(Discovery)
横展開(Lateral Movement)
情報収集(Collection)
コマンド&コントロール(Command and Control)
情報窃取(Exfiltration)
破壊(Impact)
【Techniques テクニック】
テクニックは、攻撃者が情報システムを侵害するプロセスを技術的な観点から示したものです。攻撃者がどのようなツールや手法を使用して情報システムに侵入し、どのような行動をするかを分類してしています。最新のATT&CKマトリックスでは、193のテクニックが定義されており、さらに細分化したサブテクニックまで含めるとその数は401に上ります。 それぞれのテクニックは、前述したタクティクスに紐づけられる形で分類されており、例えば以下のようになっています。
偵察(Reconnaissance) タクティクスに用いられるテクニックとして、
アクティブスキャン(Active Scanning)や
攻撃対象組織の情報収集(Gather Victim Org Information)など
権限昇格(Privilege Escalation) タクティクスに用いられるテクニックとして、
権限制御システムの不正利用(Abuse Elevation Control Mechanism)や
定期タスクの悪用(Scheduled Task/Job)など
ATT&CKマトリックスに含まれる攻撃技術
前述の通り、ATT&CKマトリックスで分類されている攻撃技術は細分化したものまで含めると多岐にわたります。さらに専門的な用語も含まれるため、マトリックスを一目見ただけで後ずさりしてしまう方も多いのではないでしょうか。
そこで、ここではセキュリティ初心者も理解しやすいように、攻撃技術をネットワーク、エンドポイント、アプリケーションの3つに分けて紹介します。
ネットワーク攻撃技術
ネットワーク攻撃技術は、攻撃者が企業のネットワークに侵入するために使用する技術です。MITRE ATT&CKマトリックスに含まれるネットワーク攻撃技術には以下があります。
ポートスキャン 攻撃者が対象ネットワーク内のホストやサービスを探索するために使用する手法です。
パスワードクラック 攻撃者がパスワードを総当たり攻撃することで、認証情報を入手するための手法です。
ファイアウォール回避 攻撃者がファイアウォールを回避するために使用する手法で、ポートの偽装や暗号化を使用することがあります。
DNSハイジャック 攻撃者がDNSサーバを攻撃し、正当なユーザを偽装して対象ホストにアクセスするために使用する手法です。
エンドポイント攻撃技術
エンドポイント攻撃技術は、攻撃者がエンドポイントに侵入するために使用する技術です。MITRE ATT&CKマトリックスに含まれるエンドポイント攻撃技術には以下があります。
マルウェア 攻撃者が対象マシンを感染させるために使用する手法で、バックドアやトロイの木馬など悪意のあるコードが含まれます。
スプーフィング 攻撃者が正規ユーザを偽装するために使用する手法で、IPアドレスの偽装やフィッシングなどが挙げられます。
コマンド・アンド・コントロール 攻撃者がマルウェアによって侵入したマシンをリモート操作するために使用する手法で、C&Cと表記されることもあります。C&Cサーバと通信することで、攻撃者は感染したシステムを制御したり、データを窃取することができます。
リバースシェル 攻撃者が対象ネットワーク内のマシンから外部のコントロールシステムにアクセスするために使用する手法です。
アプリケーション攻撃技術
アプリケーション攻撃技術は、攻撃者がアプリケーションに侵入するために使用する手法です。MITRE ATT&CKマトリックスに含まれるアプリケーション攻撃技術には以下があります。
SQLインジェクション 攻撃者がWebアプリケーションに対して、SQLコマンドを発行することで、Webアプリケーションが利用しているデータベースから不正にデータを盗み出すための手法です。
バッファオーバーフロー 攻撃者が対象アプリケーションに用意されているメモリバッファを超過させることで、悪意のあるコードを実行させるための手法です。
クロスサイトスクリプティング(XSS) 攻撃者がWebアプリケーションに不正なスクリプトを埋め込み、悪意のあるコードを実行させるための手法です。
まとめ
いかがでしたか?
本ブログでは、MITRE ATT&CKマトリックスに含まれる攻撃技術について紹介しました。
企業は、このマトリックスを参照してセキュリティ対策を検討することで、網羅的にセキュリティを確保することができます。次回は、ATT&CKマトリックスを実際に活用する方法について解説します。
セキュリティ対策に関する、お電話による無料相談やトライアルはこちらのWebフォームからお問い合わせください!
他の連載記事;