MITRE ATT&CKフレームワークとは?

by | Aug 5, 2025 | Cybersecurity

Table of Contents
2
3

MITRE ATT&CKフレームワークとは?

MITRE ATT&CKフレームワークは、サイバー攻撃者がさまざまなプラットフォーム上で使用する戦術と技術を体系的にまとめた、世界的に認知されたナレッジベースです。MITRE社によって開発され、攻撃が成功した後にどのように展開されるかを理解するための構造化されたアプローチを提供します。セキュリティチームはこのフレームワークを用いて、検出、脅威ハンティング、攻撃者の模倣を行います。

従来のマルウェアシグネチャや静的なインジケーターに頼った防御から、ATT&CKは行動ベースの防御に焦点を移しました。攻撃者がアクセスを得た後にどのようにシステムとやり取りするかに注目することで、防御側は攻撃を早期に検出し、意図や能力に応じた対応をとることができます。

MITRE ATT&CKフレームワークの歴史

ATT&CKは2013年、MITRE社のWindows環境における攻撃者の行動を記録する研究プロジェクトとして始まりました。「ATT&CK」は“Adversarial Tactics, Techniques, and Common Knowledge(敵対的な戦術・技術・共通知識)”の頭文字で、MITREのFORTRESSラボで開発されました。最初の目的は、行動ベースの検出を実現するための再現性のあるデータ駆動型モデルを作ることでした。

その後、ATT&CKは実際の観測とセキュリティコミュニティのフィードバックによって進化し、macOS、Linux、モバイル(iOS、Android)、クラウドサービス(AWS、Azure、GCP)、産業制御システム(ICS)までカバー範囲を拡大しました。今日では、ATT&CKはサイバーセキュリティにおける共通言語として、ブルーチーム、レッドチーム、脅威インテリジェンス、CISOレベルで広く使われています。

MITRE ATT&CKの戦術とセキュリティインテリジェンスへの役割

ATT&CKにおける「戦術(Tactics)」は、攻撃の目的やフェーズ、つまり“なぜ”その行動を取るかを示します。これはマトリックスの列に相当し、攻撃者の行動の全体像を理解するためのフレームワークを提供します。

以下が14のコア戦術です:

  1. 偵察(Reconnaissance)
  2. 資源開発(Resource Development)
  3. 初期アクセス(Initial Access)
  4. 実行(Execution)
  5. 永続性(Persistence)
  6. 権限昇格(Privilege Escalation)
  7. 防御回避(Defense Evasion)
  8. 資格情報アクセス(Credential Access)
  9. 発見(Discovery)
  10. 横展開(Lateral Movement)
  11. 収集(Collection)
  12. C2通信(Command and Control)
  13. 情報漏洩(Exfiltration)
  14. 影響(Impact)

これらの段階を理解することで、防御側は:

  • アラートを攻撃者の目的にマッピングできる
  • コンテキストに沿って検知を整理できる
  • 次の動きを予測できる

技術レベルのインテリジェンスを活用する

ATT&CKの真の力は、実際の運用で活用されてこそ発揮されます。

SIEMでの活用:

  • ログデータをATT&CK IDにマッピング
  • 攻撃チェーンの可視化
  • ATT&CKベースの相関ルールを作成

EDR/XDRでの活用:

  • アラートに技術IDをタグ付け
  • 深刻度に応じた優先順位付け

SOARでの活用:

  • 技術の検出に基づく自動対応のトリガー

セキュリティチームは、検出カバレッジの追跡やレッドチーム・パープルチームの演習でもATT&CKを活用します。

MITRE ATT&CK Navigator

ATT&CK Navigatorは、ブラウザベースの可視化ツールで、ATT&CKの活用を直感的に行えるようにします。

主な機能:

  • 現在の検出カバレッジのハイライト
  • 環境ごとの比較
  • 既知の脅威グループ、ツール、キャンペーンのオーバーレイ
  • チーム間の共有とレイヤーのエクスポート

レッドチームやセキュリティアーキテクトにとって特に有用なツールです。

MITRE ATT&CKのユースケース

ATT&CKはサイバーセキュリティのライフサイクル全体で活用されます。

1. 脅威ハンティング

ハンターはマトリックスをもとに仮説を立てます:「PowerShellを用いた実行(T1059.001)があれば、難読化されたファイル(T1027)が使われるかもしれない」。

2. 検出エンジニアリング

セキュリティチームはATT&CK技術に基づいたルールを作成・調整します。たとえば、RDPによる横展開(T1021.001)の検出ルールを設計する際、ATT&CKはコンテキストや緩和策を提供します。

3. レッド・パープルチーム演習

攻撃者の模倣はATT&CK技術を青写真として設計されます。パープルチームはそれに基づき検出・防御の有効性を検証します。

4. インシデントレスポンス

アラートをATT&CK技術(例:T1055 プロセスインジェクション)にマッピングすることで、対応チームは攻撃者の意図や次のステップを迅速に推測できます。

MITRE ATT&CK vs. サイバーキルチェーン

ロッキード・マーティンの「Cyber Kill Chain」とMITRE ATT&CKは競合するのではなく、補完し合うモデルです。

特徴Cyber Kill ChainMITRE ATT&CK
フォーカス攻撃のフェーズ攻撃に使われる技術
抽象度高い戦術的かつ技術的
活用方法戦略的な全体像検出・対応の実務レベル
メリットシンプルさ深さと精度

多くの組織では、経営層への説明にはKill Chainを、技術的分析と防御にはATT&CKを活用しています。

脅威インテリジェンス主導の防御の未来はどうなるのか

MITRE ATT&CKは、サイバーセキュリティの思考を根本から変えました。ツールやIOCsではなく、行動(TTPs)に焦点を当てることで、適応性の高い防御体制が可能となります。

クラウドネイティブな脅威やAIによる攻撃が台頭する中、ATT&CKは実際の攻撃者の行動とコミュニティの知見に基づいて進化し続けています。SOCアナリスト、レッドチーム、脅威インテリジェンス担当者、CISO──どの役割においても、ATT&CKは現代のサイバー防御における共通言語となるでしょう。

今後はAIセキュリティ、IoT、自律システムなどの新領域へと応用が進むと見られており、それに適応するATT&CKフレームワークを活用できる組織こそが、未来の攻撃にも一歩先んじる存在にるかと思われます。