MITRE ATT&CK（Adversarial Tactics, Techniques and Common Knowledge）とは、組織がセキュリティ対策の状況を把握したり、防御の脆弱性を発見したりできるように支援するためのフレームワーク、一連のデータ マトリックス、および評価ツールであり、MITRE Corporation によって開発されました。

2013 年に開発された MITRE ATT&CK フレームワークでは、実際の観察に基づき、具体的なそれぞれの攻撃方法、戦術、手法が文書化されています。新しい脆弱性や攻撃対象領域が明らかになるたびに ATT&CK フレームワークに追加され、常に進化を続けています。ここ数年間で、MITRE ATT&CK フレームワークとそのマトリックスは、攻撃者の振る舞いに関する知識と修正ツールの両方において業界標準となりました。

ATT&CK マトリックスは、攻撃者や競合他社の役を演じるレッド チーム、脅威ハンター、セキュリティ製品開発エンジニア、脅威インテリジェンス チーム、リスク管理担当者など、IT やセキュリティのさまざまな担当者に活用されています。

レッド チームは、MITRE ATT&CK フレームワークをブループリントとして使用し、企業のシステムやデバイスの攻撃対象領域や脆弱性を明らかにすることに役立てたり、情報を学習することで、発生した攻撃を軽減する能力を向上させたりしています。これには、攻撃者によるアクセス方法、影響を受けたネットワーク内の移動方法、検出を回避するために使用している方法などが含まれます。このツールセットのおかげで、組織は全体的なセキュリティ ポスチャをより適切に認識できます。また、防御におけるギャップを特定してテストを実施し、組織が抱えうるリスクに基づいてセキュリティ ギャップに優先順位を付けることができます。

脅威ハンターは、自社の防御に対して攻撃者が使用している特定の手法について相関関係を突き止めたり、エンドポイントとネットワーク境界全体の両方で、自社の防御をターゲットとした攻撃の可視性を理解したりするために、ATT&CK フレームワークを使用しています。

セキュリティ プラットフォームの開発者やエンジニアは、製品の有効性を評価したり、これまで知られていなかった弱点を発見したり、サイバー攻撃のライフサイクルにおける製品の動作をモデリングしたりするためのツールとして、MITRE ATT&CK を使用しています。

MITRE ATT&CK は、MITRE Adversarial Tactics, Techniques, and Common Knowledge の略です。MITRE ATT&CK フレームワークは、サイバー攻撃の振る舞いのモデルを提供するマトリックスを含めて監修されたリポジトリです。このフレームワークは、一般的に表形式で表され、攻撃のライフサイクルにおいて使用される戦術（または目的とする結果）が各列に示され、それらの戦術的な目標を達成するために使用される手法が各行に示されています。また、手法の使用例や、個々の手法に紐付いたその他のメタデータもフレームワークには記録されています。

MITRE ATT&CK フレームワークは、攻撃者と防御者の両方の行動をエミュレートした MITRE の実験の成果であり、テレメトリ センシングと振る舞い分析を使用して、攻撃がどのように起きるのか理解し、侵害後の検知を向上させるためのものです。記録された敵対的な振る舞いを業界がどの程度検知できているかについて理解を深めるにあたって、振る舞いを分類するためのツールとして ATT&CK フレームワークが作成されました。

現在、ATT&CK フレームワークは 4 つの主要なマトリックスで構成されています。Pre-ATT&CK と ATT&CK for Enterprise は、いずれもエンタープライズ インフラストラクチャに対する攻撃に関するものです。

PRE-ATT&CK：企業で侵害が発生する前に攻撃者が行う多くのアクティビティ（偵察やリソース開発など）は通常、組織から見えないところで行われます。このため、こうした攻撃前の戦術や手法をその時点で検知することは極めて困難です。たとえば、サイバー攻撃者は、インターネットで自由に入手できる情報や、すでに侵害されているほかの組織との関係性などを利用して、アクセスを試みる可能性があります。PRE-ATT&CK を活用することで、防御する側の組織は、ネットワーク境界の外部で行われる攻撃前のアクティビティの監視状況を改善し、それらを理解できるようになります。

Enterprise ATT&CK：エンタープライズ向け ATT&CK for Enterprise では、サイバー攻撃者がエンタープライズ ネットワークを侵害し、そこでアクティビティを実行するために取る可能性がある行動について詳細に説明されたモデルを提供しています。マトリックスには、Windows、macOS、Linux、Azure AD、Office 365、Google Workspace、SaaS、IaaS、ネットワーク、コンテナなど、幅広いプラットフォームについて具体的な戦術や手法が示されています。PRE-ATT&CK マトリックスは当初、同じくエンタープライズ インフラストラクチャを侵害する試みに重点を置く Enterprise ATT&CK の一部でした。エンタープライズ フレームワークは、組織がネットワーク防御に優先順位を付け、個々の企業にとって最大のリスクとなるものに注力する際に役立ちます。

Mobile ATT&CK：Mobile ATT&CK マトリックスは、iOS と Android の両方のモバイル デバイスについて、侵害で使用される戦術と手法を説明しています。このため、 モバイル向け ATT&CK は NIST の『Mobile Threat Catalogue』に基づいて構築されており、この記事の執筆時点で、モバイル デバイスに影響を与え、あらゆる悪意ある目的を達成しようと攻撃者が使用した 12 の戦術と 100 以上の手法が収録されています。加えて、モバイル向け ATT&CK には、ネットワークベースの効果（実際のデバイスにアクセスすることなく使用できる戦術や手法）も含まれています。

ICS ATT&CK：ATT&CK のなかでもっとも新しいマトリックスである産業用制御システム（Industrial Control Systems：ICS）向け MITRE ATT&CK マトリックスは、相互に接続された機械、デバイス、センサー、ネットワークを活用している電力網、各種工場、およびその他の組織などの産業用制御システムに特化している点を除くと、Enterprise ATT&CK と同じです。

各マトリックスには、敵対的な攻撃のライフサイクルを通じて各戦術に使用される手法ごとに、手法の技術について詳細に説明されています。また、それぞれの手法で標的とされる資産やシステムに加えて、各手法に対する緩和策や対抗策、手法の特定に利用される検知分析、また実際の使用例が示されています。

マトリックスではその目的として、情報の持ち出し、ランサムウェアのためのファイルの暗号化、その両方、その他の悪意のある行為までを対象に、偵察から最終目標までの戦術が羅列され、攻撃のライフサイクルが説明されています。

ATT&CK フレームワークの主なメリットには、敵がどのように行動し、初期アクセス、発見、水平展開、データの持ち出しを成功させるためにどのような手順を計画している可能性があるかを組織が理解できることがあります。これにより、チームは攻撃者の視点からアクティビティを捉えられるため、動機や戦術のより深い理解につながります。最終的に、組織はこうした理解と知識を活用して、チームが攻撃者の次の行動を予測して迅速に修正できるようにすることで、セキュリティ ポスチャにおけるギャップの特定、脅威の検知と対応の改善が可能になります。スポーツの世界では、「攻撃は最大の防御」とよく言われますが、サイバーセキュリティの世界では、攻撃側がなにを展開しようとしているのかを理解することが、ネットワーク、デバイス、ユーザーの防御に大きく貢献します。

また、サイバーセキュリティのスキル不足が深刻な現在の職場環境で、フレームワークは若手社員や新入社員のセキュリティ スタッフにとって、あらゆる脅威のスピードに即座に追いつくために必要な知識と調査ツールを与えてくれるものでもあります。過去のすべてのセキュリティ担当者が貢献してきた MITRE ATT&CK フレームワーク マトリックスを通じて、集合知を活用することができます。

ATT&CK マトリックスは、それぞれの数とサイズが増え続け、ますます複雑になっています。フレームワークに記載されている戦術と手法の組み合わせや配列の数は非常に網羅的ですが、理解して対処すべきデータの量が膨大であるため、手に負えなくなる可能性があります。

たとえば、エンタープライズ向け ATT&CK に記載されている 14 の戦術については、現在 400 を超える異なる手法や攻撃パターンが説明されています。また、それらの手法の多くには、派生的な手法も含まれているため、配列の数はさらに増えます。多くの組織では、これらすべてのデータを既存のセキュリティ インフラストラクチャに自動的にマッピングすることはしておらず、実行するとなれば大変な作業になると考えられます。

カリフォルニア大学バークレー校が実施した最近の調査では、ほぼすべての組織がフレームワークを使用し、さまざまなセキュリティ製品を通じてネットワーク イベントにタグ付けをしているにもかかわらず、フレームワークによって示されたセキュリティ ポリシーの変更を自動化している回答者は半数にも満たないことが判明しました。

また、クラウドベースとオンプレミスのイベントの関連付けが難しいといった課題や、モバイル デバイスやエンドポイントからのイベントの関連付けができないといった課題もあります。

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）による最近のレポートには、組織が MITRE ATT&CK フレームワークを利用して攻撃を修正や保護の手法にマッピングするためのベスト プラクティスが掲載されています。この調査では、大規模なエンタープライズ組織がフレームワークを採用していることが判明しましたが、大多数のユーザーは自社のインフラストラクチャに関連した ATT&CK マトリックスに記載された既知の脅威を現在のセキュリティ製品ですべて検知できるとは考えていないようです。