サイバーキルチェーンとMITRE ATT&CK

中小企業の経営者や情報システム担当者の皆さん、日々のセキュリティ対策、お疲れ様です。
本記事では「サイバーキルチェーンとMITRE ATT&CK」について解説します。

●サイバーキルチェーンの概要

サイバーキルチェーンとは、攻撃者の視点から、サイバー攻撃を行う際のプロセスを体系化したものです。企業のセキュリティ担当者や管理者は、サイバー攻撃のプロセスを知ることで、より有効なセキュリティ対策に役立てることが可能となります。 サイバーキルチェーンでは、サイバー攻撃のプロセスを次のように7つの段階に分けています。

１．偵察（標的に関する情報収集）

第一段階では、攻撃者はターゲットに関する情報を収集します。情報収集元は、一般に入手可能な公開ウェブサイトやニュース記事、SNSなどがあります。なお、このように、一般に公開されている情報を収集、分析して活用する手法のことをOSINT (Open Source Intelligence)と呼びます。また、セキュリティ対策の強化を目的として近年企業等で導入が進んでいるASM（Attack Surface Management）もOSINTです。ASMについては過去記事及び別の回で解説します。

２．武装化（攻撃のためのツールやマルウェア等の作成）

第二段階では、攻撃者は攻撃に用いるツールやコード、マルウェアなどを準備します。第一段階でターゲットとなるサイト等の脆弱性に関する情報があれば、それを悪用して攻撃するプログラム（エクスプロイトコード）などを作成します。

３．デリバリ（メール／ウェブ等で標的にマルウェア等を送り付ける）

第三段階では、攻撃者はターゲットに対し、第二段階で準備したツールやエクスプロイトコード、マルウェア等を送り付けます。主な手段としては、メールのほか、侵害されたウェブサイトに誘導してダウンロードさせる方法などが用いられます。

４．攻撃（送り付けたマルウェア等を実行させる）

第四段階では、攻撃者は第三段階で送り付けたツールやエクスプロイトコード、マルウェア等によってターゲットの脆弱性を悪用し、侵入を試みます。

５．インストール（標的をマルウェア等に感染させる）

第五段階では、攻撃者はターゲットサイトのPC等にマルウェアや攻撃ツール等をインストールし、攻撃の拠点とします。

６．コマンド＆コントロール（標的とC&Cサーバとの通信を確立させる）

第六段階では、攻撃者は、攻撃拠点となるPC等を遠隔から制御するために、インターネット上のC&C（Command and Control）サーバとの通信を確立させます。

７．目的実行（機密情報や個人情報を盗み出す等，攻撃者が目的を実行する）

最終の第七段階では、攻撃者は機密情報や個人情報を盗み出す、ファイルを暗号化してシステムが正常に動作できなくするなど、目的を実行します。

●MITRE ATT&CKの概要

MITRE ATT&CK（MITRE Adversarial Tactics, Techniques, and Common Knowledge：マイターアタック）とは、米国政府の支援を受けた非営利団体であるMITRE社が運用する、攻撃者の攻撃手法や戦術を分析して作成された、サイバー攻撃の目的や手法を中心としたナレッジベースです。
MITRE ATT&CKでは，サイバー攻撃のプロセスを次の14の戦術（Tactics）に分け、各Tacticsにおける攻撃手法をTechniques, Sub-Techniquesとして分類しています。

表：MITRE ATT&CKにおける14の戦術（Tactics）

サイバーキルチェーンは典型的なサイバー攻撃のプロセス（順序）を表していますが、MITRE ATT&CKは、サイバーキルチェーンのように攻撃のプロセスを表すものではなく、攻撃者が用いる様々な手法等をより詳細に記述したものとなっています。

●参考

MITRE ATT&CK
https://attack.mitre.org/

本記事で取り上げているASMについての詳細を、昨年度の令和6年度中小企業サイバーセキュリティ対策事業で記事を配信しています。より知識を得たい方は是非こちらもご参照ください。
https://cybersecurity-taisaku.metro.tokyo.lg.jp/topics/hottopic19/