「MITRE ATT&CK」という言葉を聞いたことがあるでしょうか?サイバーセキュリティの世界で最近注目を浴びているMITRE ATT&CKとは何なのか。なぜ注目を浴びているのか。どのように活用できるのかをまとめてみました。
MITRE ATT&CKフレームワークとは
MITREとはアメリカの連邦政府が資金提供する研究開発センターを管理し、航空、防衛、医療、国土安全保障、サイバーセキュリティなど様々な分野で革新的な方法を生み出しアメリカ政府をサポートしている非営利団体です。特にサイバーセキュリティの世界では、アメリカ商務省の米国国立標準技術研究所が主催する国家サイバーセキュリティ研究開発センター(FFRDC:Federally funded research and development center)を運営しており、官民のパートナーシップやハブとしての機能を提供しています。また、世界共通の脆弱性識別子「CVE(Common Vulnerabilities and Exposures)」を採番している機関でもあります。そんなMITREが作成・公開している「MITRE ATT&CK」のATT&CKとはAdversarial Tactics, Technkiques, and Common Knowledgeの略称で、サイバー攻撃の戦術やテクニックなどを、攻撃のライフサイクル別に整理・体系化し、フレームワークとして定義したものです。フレームワークは戦術ごとの攻撃手法に関する実例や検知方法、緩和策にセキュリティベンダーやホワイトハッカーなどの調査結果へのリンクなどで構成されており、それ自体が様々なサイバー攻撃に関する知見を網羅したナレッジベースともいえます。
サイバー攻撃の手口が高度化・巧妙化する中で、攻撃者の侵入を100%防ぐのは困難と言われています。そのため侵入を許してしまったあとにそれをいち早く検知する取り組みが重要になっています。MITRE ATT&CKがカバーするのは主に侵入されたあとのフェーズであるため、こういった状況にピンポイントでマッチします。攻撃手法やツールなどに関する詳細な情報を実在の攻撃シナリオに即してデータベース化したナレッジベースとしての側面が、非常に高い評価を受けています。
MITRE ATT&CKによる分類
MITRE ATT&CKによる分類表は元素の周期表によく似たマトリックスで、現在のところ攻撃チェーンの段階が列タイトル(初期アクセスから攻撃インパクトまで14段階)、各行にその戦術が列挙されています。それぞれの戦術の詳細ではその方法の具体的な説明や使用されているサブテクニック、緩和策、検知方法や参考文献が掲載されています。
またそれらの攻撃をおこなうグループや彼らが使用するツール(ソフトウェア)もまとめられ、詳しい調査レポートが更新されます。ナレッジベース及びフレームワーク自体も新しい攻撃手法が発見される度に進化させています。常に最新の攻撃手法が分かる唯一の情報源ともいえます。
MITRE ATT&CKの活用法
MITRE ATT&CKをサイバーセキュリティの場面でどのように活用できるのでしょうか。一般的な企業での活用方法として大きく3つの活用法が考えられます。
1.考えられる攻撃の事前検証
攻撃者の攻撃に対する防御をテストして、どの程度の防御力があるのか事前に検証することができます。また、攻撃手法が事前にわかることで、攻撃を受けた際に重大な被害に発展する可能性が高い脅威、より侵入リスクの高い脅威に対して、より確実に検知できるよう重点的に対策を講じることができます。
企業内のセキュリティレベルの評価
企業のどの部分に脆弱性があるのか想定し、評価することができる。また、実際にセキュリティソフトなどで検知された攻撃をMITRE ATT&CKフレームワークを用いて分析することにより、現在の環境でどの部分を狙われる可能性があるか分かるので、手薄な箇所の防御を強固にすることができます。
新しい攻撃手法への迅速な対応
最新の攻撃手法の情報を入手することで、これまでにない攻撃に対してどのような点を注意すべきかを把握し、現在の社内環境で不足している防御や社内のセキュリティに対する意識を高めることができます。
現在では経済産業省所管のIPA(独立行政法人 情報処理推進機構)でも様々なウイルスの攻撃方法について、MITRE ATT&CKの情報をもとに注意を促しているなど、セキュリティソフトベンダーなどだけでなく、多くの企業やセキュリティ・コンサルティング会社や情報セキュリティ団体などでも活用が進んでいます。
MITRE ATT&CKとセキュリティソフトの連携
MITRE ATT&CKはこれからの情報セキュリティにおいて非常に重要なナレッジベースであることを説明し、その活用法の例を挙げてみました。しかしこれらの有益な情報を実際にセキュリティに活かすには、発生したインシデントがMITRE ATT&CKフレームワークに基づいてどの攻撃に該当するのかを分析・判断することのできる知識や技術が必要です。
最近はMITRE ATT&CKフレームワークに準拠したインシデントの分類や対応を自動でおこなうことのできるセキュリティソフトも出始めています。これまでセキュリティソフトメーカーが独自でおこなっていた定義ファイルなどの対応だけでなく、国際的な研究機関による最新の攻撃手法研究に基づいて対応することにより、より確実に攻撃を検知し被害を最小限に抑えることができます。また脅威の分類方法が統一されることにより、どのように攻撃され、その攻撃にどのように対応したのか、実際の攻撃はどこまで行われ、どの段階で食い止められたのかというフォレンジック解析が可能となります。ただ準拠といっても、MITRE ATT&CKフレームワークからの情報を単に羅列・表示しているというのでは、その情報の判断が利用者に委ねられてしまい、有効な活用にはなりません。攻撃の些細な動きを捉えてAIが自動で検知・判断し、フレームワークによる分析に基づいた対応方法を迅速に自動実行できる、または有効な対応方法を分かりやすくユーザーに提示できるセキュリティソフトが望まれます。
これからのセキュリティソフトはMITRE ATT&CKフレームワークに準拠した分析・防御にどの程度自動対応しているかということが重要な選定基準になるといえます。