0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@nozomi2025

【セキュリティ】MITRE ATT&CKとは何か―「攻撃者の思考」を可視化した現代サイバーセキュリティの共通言語

0
Posted at

はじめに

サイバーセキュリティの世界では、
「どの脆弱性があるか」よりも
「攻撃者が実際にどう動くか」 を理解することが、年々重要になっています。

その中心にあるのが MITRE ATT&CK です。

ATT&CK は単なるフレームワークではありません。
これは 実際の攻撃者の行動を体系化した“知識地図” であり、
Red Team・Blue Team・SOC・CSIRT・経営層までもが共有できる
事実上の世界標準言語になっています。

MITRE ATT&CKとは?

MITRE ATT&CK は、米国の非営利団体 MITRE が管理・公開している
攻撃者の戦術(Tactics)と技術(Techniques)を体系化した知識ベースです。

ATT&CK は以下の言葉の略です:

Adversarial Tactics, Techniques, and Common Knowledge

直訳すると「敵対者の戦術・技術・共通知識」。
名前からして、もう“守る側目線だけ”ではありません。

なぜATT&CKが重要なのか?

従来のセキュリティの限界

これまでの防御は、こうでした:

  • CVE を修正する
  • パッチを当てる
  • ファイアウォールで塞ぐ

しかし現実の攻撃者はこう動きます:

  • 1つの脆弱性に依存しない
  • 権限・認証・設定ミスを組み合わせる
  • 検知されない行動を重ねる

👉 つまり 「点」ではなく「流れ」

ATT&CK はこの “流れ”を可視化 します。

ATT&CKの基本構造

ATT&CK は三層構造で理解します。

① Tactic(戦術)

攻撃者が その段階で何を達成したいか

例:

  • Initial Access(初期侵入)
  • Execution(コード実行)
  • Persistence(永続化)
  • Privilege Escalation(権限昇格)
  • Lateral Movement(横移動)
  • Exfiltration(情報窃取)

👉 目的(Why)

② Technique(技術)

その目的を達成する 具体的な方法

例:

  • Phishing
  • Exploit Public-Facing Application
  • Credential Dumping
  • Pass the Hash

👉 手段(What)

③ Sub-technique(子技術)

技術の中の 具体的な手口

例:

  • Credential Dumping
    • LSASS Memory
    • SAM
    • NTDS.dit

👉 詳細(How exactly)

ATT&CKの3つのマトリクス

ATT&CK は用途別に3つの世界を持ちます。

マトリクス 対象
Enterprise Windows / Linux / macOS / AD / Cloud
Mobile Android / iOS
ICS 工場・制御システム(OT)

👉 Web・内部ネットワーク・Red Team・SOC の主戦場は
Enterprise Matrix です。

Red Team視点:ATT&CKは「攻撃脚本」

Red Team にとって ATT&CK は:

  • 攻撃計画の設計図
  • Adversary Emulation の基準
  • 顧客説明の共通言語

例:

Initial Access
 → Execution
 → Persistence
 → Privilege Escalation
 → Lateral Movement
 → Exfiltration

各ステップを
T1059 / T1078 / T1021 のように
技術IDで正確に説明できます。

「勘で攻撃していない」ことの証明にもなる。

Blue Team視点:ATT&CKは「防御のレントゲン」

Blue Team にとって ATT&CK は:

  • 検知できていない行動の可視化
  • SIEM / EDR のギャップ分析
  • Purple Team 演習の基盤

典型的な問い:

「T1059(Command Execution)は検知できるが
PowerShell(.001)と cmd(.003)は区別できているか?」

👉 ATT&CK = 防御の弱点マップ

Kill Chainとの違い

Kill Chain ATT&CK
抽象的 具体的
流れ重視 行動重視
教科書 実戦ログ

イメージ的には:

  • Kill Chain:映画のあらすじ
  • ATT&CK:コマ単位の絵コンテ

ATT&CK Navigatorとは?

ATT&CK Navigator は、
ATT&CKを視覚的に分析する公式ツールです。

できること:

  • 攻撃グループの使用技術を可視化
  • Red / Blue 観点のレイヤー作成
  • 検知カバレッジの確認

「表を見る」から 「傾向を読む」へ

まとめ

MITRE ATT&CK は:

  • 攻撃者の思考を言語化した体系
  • Red / Blue をつなぐ共通言語
  • 「経験」を「再現可能な知識」に変える装置

セキュリティはもはや
ツールの戦いではなく、理解の戦いです。

ATT&CK を理解することは、
攻撃者と同じ地図を手に入れることに等しい。

0
0
1

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?