MITRE ATT&CKという言葉は知っていても、「実際にどう使えばいいのかわからない」——そう感じているインフラエンジニアや社内SEは少なくないはずです。
セキュリティベンダーのレポートや脅威インテリジェンス情報を読んでいると、必ずといっていいほど登場するのがこのフレームワーク。しかし構造を理解していないと、書かれている内容が「単語の羅列」にしか見えず、防御に活かすどころか情報の洪水に溺れるだけです。
この記事では、MITRE ATT&CKフレームワークの基本構造から、無料で使えるATT&CK Navigatorを使った防御カバレッジの可視化手順、中小企業の情シスが明日から実践できる活用法まで、現場で使えるレベルで解説します。
MITRE ATT&CKとは?攻撃者の行動を体系化した「共通言語」
MITRE ATT&CK(マイター・アタック)は、米国の非営利研究機関MITREが2013年に公開した、サイバー攻撃者の戦術(Tactics)・技術(Techniques)・手順(Procedures)を体系化したフレームワークです。
名前の由来は “Adversarial Tactics, Techniques, and Common Knowledge” の頭文字。訳すと「攻撃者の戦術・技術・共通知識」です。
最大の特徴は、机上の理論ではなく実際に観測された侵害事例から導き出されている点です。世界中のセキュリティ研究者やSOCチームが実際の攻撃データを持ち寄り、継続的にアップデートされています。現時点のEnterprise ATT&CKマトリクス(Windows・macOS・Linux など企業環境向け)には14のタクティクスと200以上のテクニックが収録されています。
このフレームワークが重要な理由は3つあります。
・共通言語の提供: 「フィッシングメールが来た」という曖昧な表現ではなく「T1566.001(スピアフィッシング添付ファイル)が使われた」と技術的に特定・共有できる
・防御カバレッジの可視化: 自社のセキュリティ対策が「どの攻撃手法に対応しているか・していないか」をマトリクスで一目で把握できる
・優先度付けの根拠: 限られた予算と人員で「どの対策から始めるべきか」を、実際の攻撃データに基づいて判断できる
ATT&CKには企業向け(Enterprise)以外に、モバイルデバイス向け(Mobile)、産業制御システム向け(ICS)のバリアントも存在します。本記事ではもっとも利用場面が多いEnterprise ATT&CKを中心に解説します。
フレームワークの構造を理解する
ATT&CKは「タクティクス → テクニック → サブテクニック」の3階層で構成されています。この階層を理解することが活用の第一歩です。
1. タクティクス(Tactics)—攻撃者が「何を達成しようとしているか」
タクティクスは攻撃の「目的」を表します。Enterprise ATT&CKには現在14のタクティクスがあり、これが攻撃の流れを大きく分類するカテゴリです。
| 番号 | タクティクス | 攻撃者の目的 |
|---|---|---|
| TA0043 | 偵察(Reconnaissance) | 標的に関する情報収集 |
| TA0042 | リソース開発(Resource Development) | 攻撃インフラや能力の準備 |
| TA0001 | 初期アクセス(Initial Access) | ネットワークへの最初の侵入口獲得 |
| TA0002 | 実行(Execution) | 悪意あるコードの実行 |
| TA0003 | 永続化(Persistence) | 再起動後もアクセスを維持 |
| TA0004 | 権限昇格(Privilege Escalation) | より高い権限の取得 |
| TA0005 | 防御回避(Defense Evasion) | セキュリティツールの検知を逃れる |
| TA0006 | 認証情報アクセス(Credential Access) | パスワード・トークンなどの窃取 |
| TA0007 | 探索(Discovery) | 内部ネットワーク・システム情報の調査 |
| TA0008 | 横移動(Lateral Movement) | 他のシステムへの移動・拡散 |
| TA0009 | 収集(Collection) | 標的データの取得 |
| TA0011 | C&C通信(Command and Control) | 外部の攻撃者との通信維持 |
| TA0010 | 流出(Exfiltration) | 収集したデータの外部持ち出し |
| TA0040 | 影響(Impact) | データ破壊・暗号化・妨害 |
これら14のタクティクスは、「初期アクセスを獲得する→内部で権限を拡大する→目的のデータを持ち出す」という攻撃のライフサイクルをカバーしています。ランサムウェア攻撃を例にとると、初期アクセス(フィッシング)→実行(マクロ起動)→永続化(スタートアップ登録)→横移動(パスワードハッシュの悪用)→影響(ファイル暗号化)というようにタクティクスをまたいで攻撃が進行します。
2. テクニック(Techniques)—攻撃者が「どうやって目的を達成するか」
テクニックはタクティクスの目的を実現するための「手段」です。各テクニックにはT1566のような固有IDが割り当てられています。
たとえば「初期アクセス(TA0001)」タクティクスの配下には以下のようなテクニックがあります。
・T1566: フィッシング(Phishing) — メールを使って悪意あるリンクや添付ファイルを送付
・T1190: 公開アプリケーションの脆弱性悪用 — インターネットに公開されているWebサーバーやVPNの脆弱性を突く
・T1133: 外部リモートサービスの悪用 — VPNやRDPなど正規のリモートアクセス手段を盗んだ認証情報で乗っ取る
・T1195: サプライチェーン侵害 — 正規のソフトウェアの配布経路に悪意あるコードを混入する
各テクニックのページには「このテクニックに対するミティゲーション(緩和策)」「検知方法の提案」「実際に使用した脅威グループの例」が記載されており、対策設計の出発点として活用できます。
3. サブテクニック(Sub-techniques)—より詳細な実装手法
テクニックをさらに細分化したのがサブテクニックです。T1566のフィッシングであれば、以下のように分かれます。
・T1566.001: スピアフィッシング添付ファイル — 悪意ある添付ファイルを含むメール(PDF・Word・Excelのマクロなど)
・T1566.002: スピアフィッシングリンク — 悪意あるURLを含むメール(偽ログインページへの誘導など)
・T1566.003: スピアフィッシングサービス経由 — SNSやクラウドサービス経由のメッセージ
この細分化により、同じ「フィッシング」でもどの手法かを正確に特定でき、対応する検知ルールや対策を絞り込めます。たとえばT1566.001であれば「メールフィルタでマクロ入りOfficeファイルをブロック」「エンドポイントでマクロ実行ポリシーを制限」という具体策につながります。
ATT&CK Navigatorで防御カバレッジを可視化する
ATT&CK Navigatorは、MITREが無料で提供するWebツールです。全タクティクス・テクニックをマトリクス形式で表示し、セルに色を付けることで「自社がどこをカバーしているか」を一目で把握できます。
ブラウザから https://mitre-attack.github.io/attack-navigator/ でアクセスでき、インストール不要です。
1. 基本操作の流れ
Navigatorを開くと、横軸にタクティクス、縦軸に対応するテクニックが並ぶマトリクスが表示されます。各セルをクリックしてスコアや色を付けられます。
・新しいレイヤーの作成: 「+ New Layer」から Enterprise/Mobile/ICS などマトリクスの種類を選ぶ
・テクニックの着色: セルをクリック→「Technique Controls」でスコア(0=未対応、1=部分対応、2=完全対応)や色を設定
・レイヤーの保存/共有: JSONファイルとして書き出し・読み込みができるので、チーム間での共有が容易
・検索とフィルタ: テクニック名・IDでの検索や、特定タクティクスのみ表示するフィルタが使える
2. 脅威グループのマトリクスを重ねる
Navigatorの強力な機能の一つが、特定の脅威グループ(APTグループなど)が使うテクニックをマトリクスに重ねる機能です。
たとえば、自社が属する業界を狙うことが知られているAPTグループのレイヤーをダウンロードし、自社の検知対応状況レイヤーと重ねれば「そのグループが使う手法のうち、どこが検知できていないか」が即座に可視化されます。
# ATT&CKサイトからAPTグループのJSONレイヤーを確認する手順 # 1. https://attack.mitre.org/groups/ にアクセス # 2. 対象グループ(例: APT29)のページを開く # 3. "ATT&CK Navigator Layers" セクションから enterprise-layer.json をダウンロード # 4. Navigatorで「Open Existing Layer」からJSONを読み込む # 5. 自社の対応状況レイヤーと重ねてカバレッジを可視化
こうして作成したマップは、経営層への予算申請や、SOCチームの優先対応リスト作成にも活用できます。「攻撃者Aが使う20のテクニックのうち、自社が検知できているのは8つ」という形で可視化すると、対策投資の根拠として説得力が高まります。
実際の防御における活用法
1. インシデント後のTTP分析
インシデント(セキュリティ事故)が発生した後、ATT&CKを使うと攻撃者の行動を体系的に記録・共有できます。
ログやEDRの検知結果から「攻撃者はどのテクニックを使ったか」をATT&CK IDで特定し、Navigatorで着色します。この「インシデントのフットプリント」を残しておくことで、次回同様の手法が使われた際の検知ルール整備の優先度が明確になります。インシデント報告書にもATT&CK IDを記載することで、外部のセキュリティ専門家やベンダーとのコミュニケーションがスムーズになります。
2. 脅威インテリジェンスレポートの読み方
CrowdStrikeやPalo Altoなどのベンダーが公開する脅威レポートには、「T1078(有効なアカウントの悪用)」「T1059.001(PowerShellの実行)」のようにATT&CK IDが記載されています。
これらのIDをNavigatorに入力してハイライトするだけで、「今その脅威グループが狙っている手法に自社が対応できているか」を視覚的に確認できます。ATT&CKを知らないと単語の羅列でしかないレポートが、自社の防御設計に直接活かせる情報に変わります。
JPCERTコーディネーションセンターや警察庁サイバー局が公開する注意喚起にもATT&CK IDが記載されることが増えています。国内向けの情報も積極的に参照する習慣をつけると、日本を標的とした脅威への備えが強化されます。
3. 検知ルールと対策の優先度付け
SIEMやEDRの検知ルールを設計する際、「どのテクニックから先に対応するか」の優先度付けにATT&CKが使えます。
・自社業界を狙うAPTグループが多用するテクニックから優先: 製造業ならOTシステム狙いの横移動系、金融ならC&C通信の回避手法など
・ミティゲーション(緩和策)がシンプルなものから着手: ATT&CKの各テクニックページには推奨ミティゲーションが記載されている
・Detection情報が充実しているテクニックを活用: SIEMルールのサンプルが公開されているテクニックは実装コストが低い
・Atomic Red Teamとの組み合わせ: Red Canaryが公開するオープンソースプロジェクト「Atomic Red Team」はATT&CKのテクニック番号に対応したテストスクリプトを提供しており、自社の検知ルールが実際に機能するかを安全に検証できる
姉妹サイトLinuxMaster.JPでは、LinuxサーバーのSELinuxやauditdを使った権限昇格・永続化テクニックへの対策を詳しく解説しています。ATT&CKでタクティクスを特定した後、Linux環境での具体的な実装手順はぜひ参照してみてください。
中小企業でも今日からできること
「ATT&CKは大企業のSOCが使うもので、情シス1人の中小企業には関係ない」——そう思っているなら、少しもったいないです。難解に見えるフレームワークですが、入門として使えるアプローチがあります。
・まずNavigatorを開いて眺めてみる: どんな攻撃手法が存在するかを「マップ」として把握するだけでも、防御の抜け漏れに気づくきっかけになる。特に「初期アクセス」と「認証情報アクセス」の列は中小企業でも狙われやすい手法が集中している
・直近のランサムウェア事例を1件調べてATT&CK IDを探す: CISAやJPCERTが公開するアドバイザリには必ずといっていいほどATT&CK IDが記載されている。その1~3個のIDが示す手法への対策から始めると優先度が明確になる
・社内で「脅威モデル」を1枚作る: 自社が守るべき資産(顧客データ・経営情報・製造ライン)と、それを狙い得る攻撃手法をATT&CKで特定し、A4一枚にまとめる。経営層への予算申請にも使える資料になる
・インシデント対応手順書にATT&CK IDの欄を追加する: 事故が起きた際に「どのテクニックが使われたか」を記録する欄を設けておくと、次回の備えに活かせる
・年に1回、自社のカバレッジを棚卸しする: ATT&CKは定期的に更新される。新しいテクニックが追加されていないか確認し、自社の検知ルールがカバーしているかを年次でレビューする習慣をつける
よくある誤解と注意点
ATT&CKを使い始めると、いくつかの落とし穴にはまりがちです。現場でよく見られる誤解を整理しておきます。
誤解1: 「ATT&CKをすべてカバーすれば安全」
ATT&CKは既知の攻撃手法を収録していますが、すべてをカバーすることは現実的ではありませんし、目指す必要もありません。重要なのは「自社のリスクに基づいた優先付け」です。200以上のテクニック全部に対応しようとすると、リソースが分散して本当に重要な対策が疎かになります。
誤解2: 「ATT&CKは攻撃者の最新手法が全部入っている」
ATT&CKは実際の侵害観測に基づいていますが、観測されていない手法や公開直後の新手法はカバーされていません。フレームワークとしては優れていますが、ゼロデイ攻撃や未公開の国家レベルのTTPには限界があります。
誤解3: 「フレームワークを知れば防御できる」
ATT&CKはあくまで「地図」です。地図を読めるようになっても、実際に道を整備しなければ旅はできません。フレームワークの理解と並行して、EDR・SIEM・多要素認証などの実装が不可欠です。
誤解4: 「攻撃者は必ず左から右の順に進む」
ATT&CKのマトリクスは左から右に並んでいますが、攻撃者が必ずしもこの順番で動くわけではありません。実際の侵害では複数のタクティクスが同時進行したり、逆順になったりすることもあります。
誤解5: 「ATT&CKのIDが同じなら攻撃者も同じ」
同じテクニックIDであっても、使用するツールや手順(Procedures)は攻撃グループによって異なります。T1059.001(PowerShell実行)一つとっても、具体的な実装は千差万別です。IDの一致だけで「同一の脅威グループによる攻撃」と断定するのは危険です。
本記事のまとめ
MITRE ATT&CKは攻撃者の行動を体系化した共通言語として、現代のセキュリティ防御設計に欠かせないフレームワークです。
| 要素 | 概要 | 活用ポイント |
|---|---|---|
| タクティクス(14種) | 攻撃者の「目的」を分類 | どの段階の攻撃を防ぎたいかを整理する |
| テクニック(200以上) | 目的達成の「手段」 | 対応すべき手法を特定・検知ルールに紐付ける |
| サブテクニック | テクニックのさらなる細分化 | 具体的な対策・検知ロジックの設計に活用 |
| ATT&CK Navigator | カバレッジを可視化するWebツール | 防御の「穴」を経営層にも伝わる形で示す |
| 脅威グループレイヤー | 特定APTの使用手法マップ | 業界・自社を狙うグループに絞った優先対策 |
ATT&CKを「難しそうな専門家のツール」と思っている方も、まずはNavigatorを開いて自社環境に引きつけて眺めてみることから始めてみてください。マトリクスを見ているだけで「ここへの対策が薄い」という気付きが生まれます。攻撃者の言語を知ることが、最強の防御につながります。
「用語解説・ニュース」の記事を読む
このテーマに関連する解説記事を一覧でまとめています。あわせてご覧ください。
