セキュリティ業界に帰属する人や、企業や組織のセキュリティ担当であれば1度は耳にしたことがある「MITRE ATT&CK(マイター・アタック)」。MITRE(以下、マイター)は米国政府の支援を受けた非営利研究団体であり、世界共通で使われている脆弱性識別子の「CVE」を採番していることで知られています。
同組織が運用しているATT&CKとは「Adversarial Tactics, Techniques, and Common Knowledge」の略であり、日本語では「敵対的戦術・技術の一般知識」となります。要するに、サイバー攻撃者の攻撃手段や戦術を分析し作成されたセキュリティのナレッジベースと考えると分かり易いでしょう。
ATT&CKは2013年9月から公開されており、CSIRT(コンピューターセキュリティ対応チーム)の国際フォーラムであるFIRST(米CERT/CCが中心になって設立されたフォーラム)の年次カンファレンスである「FIRST Conference」セッション内でも度々取り上げられており、ATT&CKに特化したカンファレンス「ATT&CK CON」も開催されています。
セキュリティ製品の中にもATT&CKを導入した製品がリリースされるなど、現在のセキュリティ界で注目されているフレームワークの一つです。本記事では、このATT&CKについて解説していきます。
ATT&CKとは?
2013年からマイターが開発をスタートしたATT&CKは、攻撃者がサイバー攻撃で使う戦術・戦法・行動を文書化することが主な目的です。その原点はマイター内の研究プロジェクト「FMX(Fort Meade Experiment)」であり、攻撃者の行動を文書化する必要があるとして作成されました。FMXとは、攻撃者が企業ネットワークへの侵入に成功した後、その行動を効率的に発見することを目的としており、その共通識別としてATT&CKが活用されていました。
サイバー攻撃セキュリティのフレームワークといえば、国内外で最も有名かつ標準的に使われているのがLockheed Martin社の「Cyber kill Chain」です。このフレームワークは、攻撃者の行動を、「偵察から目的を達成するまで」のプロセスを分析してモデル化したものです。それに対してATT&CKは、「攻撃者が企業ネットワークに侵入した後の行動」に主眼を置いたフレームワークとなります。ちなみに、企業ネットワークへ侵入するまでの攻撃プロセスに関しては「PRE- ATT&CK」として別のフレームワークが運営されています。
もう1つ。Cyber kill Chainとの違いがあります。それが「情報の粒度」です。Cyber kill Chainが攻撃者のサイバー攻撃プロセス全体像をとらえるための抽象的なフレームワークを提供しているのに対し、ATT&CKは攻撃手法やツールなどに関する詳細情報を、実際の攻撃シナリオに即してデータベース化したナレッジベースという側面も持ち合わせています。そのため、ATT&CKは単なるセキュリティフレームワークではなく、フレームワーク・ナレッジベースと呼ばれています。
ATT&CKが登場するまで、攻撃者が使う戦術やテクニックを体系化したナレッジベースが存在しなかったため、現在ではセキュリティ専門家から高い評価を受けています。
各ベンダー製品が評価を受けるATT&CK
マイター社の活動が注目されている理由は、ATT&CKの開発・公開だけが理由ではありません。同社はATT&CKにて定義されている攻撃シナリオに沿って実際に攻撃を実行し、それをどのように検知できるかのデータを公開しています。
主に採用されている攻撃シナリオは「APT3(GOTHIC PANDA:ゴシックパンダ)」や「APT28(FANCY BEAR:ファンシーベア)」といった、実在するサイバー攻撃集団が実際に行った攻撃内容に基づいて作成されています。そうして疑似攻撃を実施することで、リアルかつシナリオに沿った製品評価が行えるというわけです。
多くのセキュリティ製品がATT&CKの評価を受けています。例えば「CrowdStrike」はエンドポイントセキュリティ製品の中で、マイター社のATT&CKを最初に採用した製品としても知られています。当初からその評価に参加しており、業界をリードするエンドポイントセキュリティ企業としてATT&CKフレームワークへの継続的なコミットメントを表明しています。
マイター社による評価分析の結果をどの様に切り取って見るか、各ベンダーがそれぞれ説明を駆使している現状が見られます。
もし製品選定の際に参考にしたいと考えている場合にはマイター社のレポート自身と、参照するならば複数のベンダーの説明を覗いてみる、説明を求めてみることをお勧めいたします。
エンドポイントセキュリティ製品、EDRとは?
エンドポイントセキュリティ製品の中には、「EDR(Endpoint Detection and Response)」と呼ばれている機能があります。これは、ほとんどのサイバー攻撃の攻撃起点となる端末への侵入を検知し、効果的に防ぐための対策です。
昨今のサイバー攻撃は非常に多様化しており、通常のエンドポイント・セキュリティ、主にマルウェア対策ソフトでは検知できないマルウェアも多く登場しています。そうした中でサイバー攻撃を効果的に防ぐには、パターンマッチングによって従来のマルウェアを検知するだけではなく、端末内のアクティビティを監視して不審な動きを察知し、パターンマッチングでは検知できないマルウェアや悪意ある行動を特定するセキュリティ対策が欠かせません。
EDRはその環境を提供し、エンドポイント(端末)でのサイバー攻撃を検知し、対応するためのセキュリティ製品です。
