攻撃＆CK

ATT &CK（Adversarial Tactics, Techniques, and Common Knowledge）は、サイバー攻撃と侵入を分類・説明するためのガイドラインです。Mitre Corporationによって作成され、2013年に公開されました。^[¹^]

攻撃の結果（侵害指標（IoC）とも呼ばれる）を調査するのではなく、攻撃が進行中であることを示す戦術を特定します。戦術とは、攻撃手法の「理由」です。

このフレームワークは、敵対者の「技術的目標」を網羅する14の戦術カテゴリーで構成されています。^{[ 2 ]}例としては、特権昇格やコマンドアンドコントロールなどが挙げられます。^{[ 3 ]}これらのカテゴリーはさらに具体的な手法とサブ手法に分類されます。^{[ 3 ]}

このフレームワークはロッキード・マーティンが開発したサイバーキルチェーンの代替となるものである。^[³^]

エンタープライズ向けATT&CKマトリックス

企業向けATT&CKマトリックスは、カンバンボード形式の図表として提示される包括的なフレームワークです。^{[ 4 ]}サイバー犯罪者が使用する14の戦術、手法、手順（TTP）のカテゴリーと、関連する手法およびサブ手法を定義しています。

カテゴリ	説明	テクニック
偵察	ターゲットに関する情報を収集します。	10
資源開発	攻撃に必要なリソースを特定し、取得する。	8
初期アクセス	システムまたはネットワークへの最初のアクセスを取得すること。	10
実行	システム上で悪意のあるコードを実行する。	14
粘り強さ	システムまたはネットワークへのアクセスを維持します。	20
権限昇格	システムまたはネットワーク内で昇格された権限を取得すること。	14
防御回避	セキュリティ対策を無効化または回避する。	43
資格情報アクセス	システムまたはデータにアクセスするための資格情報を取得します。	17
発見	ネットワーク内の追加のシステムまたは情報を識別します。	32
横方向の移動	侵害されたネットワーク内で横方向に移動する。	9
コレクション	侵害されたシステムからデータを収集します。	10
コマンドとコントロール	侵害されたシステムとの通信を確立します。	17
流出	侵害されたシステムから盗まれたデータを転送する。	9
インパクト	攻撃者の目的を達成するための行動をとる。	14

偵察は、最終的なサイバー攻撃のための情報収集の初期段階です。^{[ 5 ]}

マイターID	テクニック	まとめ
T1595	アクティブスキャン	Nmapなどのポートスキャンツール、脆弱性スキャンツール、被害者が使用する一般的なファイル拡張子やソフトウェアのワードリストスキャンを使用してターゲットネットワークをスキャンし、アクティブに偵察します。
T1598	情報フィッシング	ソーシャルエンジニアリングの手法を用いて、標的から有用な情報を引き出す。電子メールなどの通信チャネルを使用する。一般的なフィッシングに加え、特定の被害者を狙った標的型スピアフィッシングも含まれる。
T1592	被害者ホスト情報を収集する	特定のエンドポイントのハードウェア、ソフトウェア、管理設定（ Active Directoryドメインメンバーシップなど）などの構成を検出します。特に、ウイルス対策やロック（生体認証、スマートカード、 Kensington K-Slotなど）などのセキュリティ保護機能に注目します。
T1590	被害者ネットワーク情報を収集する	ネットワークトポロジ、セキュリティアプライアンス (ネットワークファイアウォール、VPN )、IP アドレス範囲 (IPv4、IPv6、またはその両方)、完全修飾ドメイン名 (FQDN)、ドメインネームシステム (DNS)構成などの対象ネットワークの構成を検出します。