はじめに
サイバーセキュリティの分野では、「TTP」という言葉が頻繁に使われます。
脅威インテリジェンス、Red Team、SOC、MITRE ATT&CK など、どこへ行っても登場する用語ですが、
「結局なにを指しているのか」 が曖昧なまま使われがちです。
本記事では、TTP を 実務目線 で分解し、具体例とともに解説します。
TTP とは
TTP とは、以下 3 つの要素の総称です。
Tactics(戦術) / Techniques(技術) / Procedures(手順)
一言で表すと:
攻撃者が「何を目的に」「どんな方法で」「どのような手順で」行動するか
1. Tactics(戦術)
― 攻撃の「目的」や「段階」
Tactics は、攻撃者が達成したい目的や、攻撃ライフサイクル上のフェーズを表します。
抽象度が高く、戦略レベルの概念です。
代表的な例(MITRE ATT&CK):
- Initial Access(初期侵入)
- Execution(コード実行)
- Persistence(永続化)
- Privilege Escalation(権限昇格)
- Lateral Movement(横展開)
- Exfiltration(情報窃取)
👉
「今、この攻撃で何を達成したいのか?」
それが Tactics です。
2. Techniques(技術)
― 戦術を実現するための「手段」
Techniques は、Tactics を達成するために使われる具体的な攻撃手法です。
脆弱性や攻撃カテゴリに相当します。
例:
- Phishing(フィッシング)
- Exploit Public-Facing Application
- SQL Injection
- SSRF
- Credential Dumping
- Pass-the-Hash
👉
「その目的を達成するために、どんな技術を使うか?」
これが Techniques です。
3. Procedures(手順)
― 攻撃者の「実際の動き」
Procedures は、最も具体的で実践的な要素です。
ツールの使い方、コマンド、試行順序、回避テクニックなどが含まれます。
例:
-
ffufでどのパラメータを fuzz するか - SSRF 時に
127.0.0.1のどのポートから試すか - Payload を何重に URL エンコードするか
- WAF 回避のために User-Agent をどう偽装するか
- 失敗した場合の次の打ち手
👉
「具体的に、どんな順番で、どう操作するか?」
それが Procedures です。
TTP をまとめて見ると
| 要素 | 意味 | 例 |
|---|---|---|
| Tactics | 目的・段階 | 初期侵入、横展開 |
| Techniques | 攻撃手法 | SSRF、RCE |
| Procedures | 実装・手順 | 特定 URL を fuzz → 内部ポート探索 |
実例:SSRF を使った攻撃の TTP
Tactic(戦術)
- Initial Access
- Lateral Movement
Technique(技術)
- Server-Side Request Forgery(SSRF)
Procedure(手順)
-
preview.php?url=パラメータに外部 URL を指定して挙動確認 -
127.0.0.1宛のリクエストが可能か検証 - 内部ポート(例:6379, 8080, 10000)を探索
- Redis 未認証アクセスを確認
- 内部システムへ侵入
この 3 つをセットで表現して、初めて 「TTP」と呼べる分析 になります。
なぜ TTP が重要なのか
「脆弱性」だけでは不十分だから
-
脆弱性:
SSRF が存在する
-
TTP:
SSRF を起点に内部ネットワークへ侵入し、横展開と情報窃取に至る流れ
TTP は「攻撃のストーリー」 を説明する概念です。
Red Team / Blue Team における使われ方
Red Team
- 攻撃チェーンの設計
- 実際の攻撃者行動の再現
- 目標達成までの流れを示す
Blue Team / SOC
- 検知ルール作成
- 攻撃兆候の相関分析
- 「どの段階で止めるか」の判断
まとめ
- TTP = 攻撃者の行動モデル
- Tactics:目的
- Techniques:手段
- Procedures:実装・操作
セキュリティを「点(脆弱性)」ではなく
「線(攻撃の流れ)」で理解するためのフレームワークが TTP です。