サイバー攻撃とその対策の新たなフレームワーク「MITRE ATT&CK」

ここ1年ほどの間で、セキュリティの世界において「MITRE ATT&CK（一般的な読み方：マイター アタック）」という名前がたびたび取り沙汰されるようになりました。「MITRE」とは、米国政府の支援を受けた非営利の研究団体の名称で、世界共通で使われている脆弱性識別子「CVE」を採番していることで広く知られています。セキュリティの仕事に携わっている方なら、CVEやMITREの名前はきっとどこかで耳にしたことがあるでしょう。

では「ATT&CK」とは一体何でしょうか？　これは“Adversarial Tactics, Techniques, and Common Knowledge”の略称で、日本語に直訳すれば「敵対的戦術、技術（テクニック）、一般知識」となります。これを聞いただけでは一体どんなものなのか、よくイメージできないかもしれませんが、簡単に言えば「サイバー攻撃の戦術やテクニックなどを、攻撃のライフサイクル別に整理・体系化し、フレームワークとして定義したもの」です。

サイバー攻撃のライフサイクルに基づくフレームワークとしては、米ロッキード・マーチン社が作成した「サイバーキルチェーン」が有名ですが、MITRE ATT&CKもこれと似たものだと考えればいいでしょう。ただしMITRE ATT&CKは、主に2つの点においてサイバーキルチェーンとは大きく異なっています。

1つ目の相違点は、それぞれがカバーする「攻撃ライフサイクルの範囲」です。サイバーキルチェーンが「偵察」「武器化」といった攻撃の準備・初期段階から感染、そして最終的な目的実行までの一連の攻撃フェーズすべて対象としているのに対して、MITRE ATT&CKは主に配送や感染以降のフェーズを対象としています。言い換えれば、「侵入された後のフェーズ」に焦点を絞っていると言えます。

サイバー攻撃の手口が高度化・巧妙化する一方の今日、攻撃者の侵入を100％防ぐのは困難だと言われています。そのため、侵入を許してしまった後にそれをいち早く検知する取り組みが重要になってきました。MITRE ATT&CKがセキュリティの世界でにわかに注目を集めるようになったのも、こうした潮流が背景にあるものと思われます。

そしてもう1つの相違点は、それぞれのフレームワークがカバーする「情報の粒度」にあります。サイバーキルチェーンが攻撃ライフサイクルをベースにしながら、攻撃の全体像をとらえるための抽象的なフレームワークを提供しているのに対して、MITRE ATT&CKは攻撃手法やツールなどに関する詳細な情報を、実在の攻撃シナリオに即してデータベース化した「ナレッジベース」としての側面を持ちます。実際に攻撃者が使う戦術やテクニックを体系化したナレッジベースはこれまでなかったため、セキュリティ対策の実務家からは非常に高い評価を受けています。

MITRE ATT&CKを用いた製品評価において最高峰の結果を残した「Cybereason EDR」

ちなみにMITREでは、このMITRE ATT&CKの作成・公表だけに留まらず、各セキュリティベンダーの製品に対してMITRE ATT&CKで定義されている攻撃シナリオに沿って実際に攻撃を実行し、それがどのように検知できるかのデータを公開しています。

MITRE ATT&CK evaluationで採用されている攻撃シナリオは、APT3やAPT28といった実在する攻撃グループが実際に行った攻撃内容に基づいて作成されています。これに基づき疑似攻撃を実施することで、よりリアルなシナリオに沿った製品評価を行えるわけです。

この製品評価は定期的に行われる予定となっており、その第1回目はAPT3の攻撃手法を用いて行われました。APT3による攻撃は、侵入後の動作について十分な調査報告があり、その技術を模倣するのが比較的容易であることから、評価プランを作成するのに最適であるとして第1回の攻撃手法に選ばれました。

この評価には9社のベンダーが参加し、その中には弊社サイバーリーズンも含まれています。先ほど説明したように、MITRE ATT&CKは攻撃ライフサイクル全体の中の「侵入後」のフェーズに特化しています。そのため評価に参加したベンダーも、侵入後の脅威を検知するEDR製品を開発・提供するベンダーが大半を占めています。またMITRE ATT&CKは全部で11の攻撃フェーズと223の攻撃テクニックを定義していますが、第1回の評価ではそのうち10のフェーズと56のテクニックが実際に用いられました。

ベンダーによっては製品単体だけでなく、自社で提供するマネージドサービスとのセットで評価に参加したところもありました。そんな中、弊社は製品単体で評価に臨んだにも関わらず、最高峰の評価を得ました。

具体的には、データ収集能力の評価においては最高のカバレッジを示し、イベント同士の相関関係を見いだして脅威を検知する能力においても非常に優秀な結果を残しました。また最高のリアルタイム検知率を記録し、検知遅延もゼロという結果を残しました。

MITRE ATT&CK自体は製品の優劣を決めるものではなく、よってスコアやランキング付け、レーティングなどは行なわれていません。そのため、この結果を以ってCybereason EDRが他社の製品より優れているとは言い切れませんが、MITRE ATT&CKの実践的な攻撃シナリオにおいて極めて高い検知率を示したことは、Cybereasonの優れた性能を客観的に示していると言っていいでしょう。

「次世代エンドポイント（EDR）のメリット」とは？ Cybereasonの関連情報を公開中

CybereasonのEDR(Endpoint Detection and Response)プラットフォームが提供する7つのユニークな機能をご紹介するホワイトペーパーを公開しております。ぜひご活用ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=1033