MITRE ATT&CK その5 ~ バージョン7へのバージョンアップの概要 ~

MITRE ATT&CKの解説のその1からその4まで公開している。これらのコラムは、MITRE ATT&CK バージョン6を基に解説したが、2020年7月8日にバージョン7が公開された。本号では、MITRE ATT&CKのEnterpriseに関するバージョン6とバージョン7の主な変更点について解説する。

1. バージョンアップの経緯

MITRE ATT&CK バージョン6(以降、バージョン6と呼ぶ)が2019年10月24日に公開され、その後、攻撃者グループの追加とともに、新しい攻撃手法や攻撃のソフトウェアが発見され、その対処方法が公開されている。2020年7月8日に、MITRE ATT&CK バージョン7(以降、バージョン7と呼ぶ)が公開された。エンタープライズ(企業)を対象としたバージョン7では、従来のテクニックを156のテクニック(266から削減)と272のサブテクニックに分類し、体系を見直したのが大きな変更点である。本コラムでは、エンタープライズ(企業)向けのMITRE ATT&CKに着目して解説する。

2. MITRE ATT&CKの変更点

2.1 主な変更点

バージョン7のMatrixを図1示す。

図1 バージョン7のMatrix

図1 バージョン7のMatrix

バージョン7では、戦術、テクニック、ソフトウェア、攻撃者グループ、緩和策について、次のような変更を行った。

① 戦術(Tactics)
エンタープライズ(企業)用のバージョン7では、戦術(Tactics)の変更はない。
② テクニック(Technique)

バージョン6のテクニックでは、粒度レベルの異なるテクニックが混在してという指摘がされていた。テクニック(Technique)の大きな変更点は、サブテクニックが追加され、テクニックとサブテクニックに再分類された点である。テクニックに対して、次のような変更を行った。

  1. テクニックのまま継続
  2. テクニックをサブテクニックに変更
  3. 複数のテクニックを統合して新しいサブテクニックに変更
  4. 1つ以上のテクニックを統合して新しいテクニックに変更
  5. 既存のテクニックに統合
  6. 非推奨
  7. 複数のサブテクニックに分割

なお、テクニックは、攻撃者が戦術的な目標を達成するために取る広範な行動を表すのに対し、サブテクニックはより具体的な攻撃者の行動を表すように見直しを行った。例えば、バージョン6の初期アクセス(Initial Access)では、3種類のフィッシング攻撃がテクニックとして設定されていました。バージョン7では、フィッシングというテクニックを設定し、そのテクニックに、3種類のフィッシング攻撃をサブテクニックとして設定した。

③ ソフトウェア(Software)
ソフトウェア(Software)においては、攻撃者グループによって攻撃に用いられたソフトウェアの追加を行った。
④ 攻撃者グループ(Groups)
攻撃者グループ(Groups)においては、新たに出現したグループの追加を行った。
⑤ 緩和策(Mitigations)
緩和策(Mitigations)においては、新規追加はなく、緩和策の更新、参照するテクニックまたはサブテクニックの番号など変更を行った。

これらの変更の概要を「Updates - July 2020」を基に整理する。分類として、新規追加、変更、軽微な変更、非推奨等(変更により使用しなくなった項目を含む)として整理した結果を表1に示す。

表1 バージョン7への変更の概要
  バージョン6からバージョン7への変更数 設定数
新規追加
(addition)
変更
(change)
軽微な変更
(minor change)
非推奨等
(Deprecate)
バージョン6 バージョン7
戦術
(Tactics)
V6からの変更はなし 12 12
テクニック
(Technique)
302
テクニック・サブテクニックを含む
91
テクニック・サブテクニックを含む
14
テクニック・サブテクニックを含む
140 266 156/272(*)
ソフトウェア
(Software)
47 317 0 0 414 477
攻撃者グループ
(Groups)
14 80 2 1 94 107
緩和策
(Mitigations)
0 20 4 0 41 41

*:テクニック数/サブテクニック数

大きな変更は、サブテクニックの導入である。バージョン6とバージョン7の戦術に対するテクニックとサブテクニックの数を表2に示す。

表2 設定したテクニックおよびサブテクニック数

表2 設定したテクニックおよびサブテクニック数

初期アクセス(Initial Access)を例に、バージョン6とバージョン7の対応を図2に示す。1対1に対応するテクニック、複数のテクニックをサブテクニックにして新たにサブテクニック名を付与し、バージョン7として設定した。

図2 バージョン6とバージョン7のテクニックの対応関係の例

図2 バージョン6とバージョン7のテクニックの対応関係の例

2.2 変更への対応方法

従来、テクニックはT1055のように、T****の形式で番号がそれぞれのテクニックに付与されている。サブテクニックには、元となるテクニックに枝番号を付与されて表されている。例えばT1055.001のように、T****.***の形式で番号がサブテクニックを一意に識別できる。バージョン6からバージョン7への変更では、番号の変更、新規割当などがあり、それらの対応関係をcsvファイル(zip形式)で公開している。この対応関係は、12の戦術(Tactics)ごとにバージョン6で使われているテクニックとバージョン7でのテクニックまたはサブテクニック番号、および新しく追加されたテクニックおよびサブテクニックごとに、新しく追加されたテクニックまたはサブテクニックの番号が整理されている。これらのファイルを参照して、バージョン7への対応が取れる。
表3に初期アクセス(Initial Access)の対応関係を表すファイルの抜粋を示す。TIDがバージョン6、New IDがバージョン7のIDを示す。

表3 初期アクセス(Initial Access)のテクニックの対応表

表3 初期アクセス(Initial Access)のテクニックの対応表

3. MITRE ATT&CK Navigator の変更点

3.1 主な変更点

バージョン7への変更に伴い、MITRE ATT&CK Navigatorも、テクニックおよびサブテクニックへの対応、攻撃者グループ、ソフトウェアの変更に対応した。
MITRE ATT&CK Navigatorのメニューに変更はない。ただし、複数選択(multi-selector)は、バージョン6のMITRE ATT&CK Navigatorでは攻撃者グループ(Groups)とソフトウェア(Software)の選択ができた。バージョン7のMITRE ATT&CK Navigator では、攻撃者グループ(Groups)とソフトウェア(Software)に加えて、緩和策(Mitigations)を選択することができるようになった。図3に変更の内容を示す。

図3 複数選択(multi-selector)の変更の概要

図3 複数選択(multi-selector)の変更の概要

3.2 変更への対応方法

MITRE ATT&CK Navigatorのバージョンアップでは、テクニックおよびサブテクニックへの対応、攻撃者グループ、ソフトウェアの変更が行われたために、再度、バージョン7のMITRE ATT&CK Navigatorを使って、シナリオの作成、検索を行うことになる。

4. まとめ

サイバーセキュリティの分野において、テクニックの変更、新規の攻撃者グループの出現、攻撃に使用するためのソフトウェアの追加などが頻繁に発生するために、MITRE ATT&CKも定期的に更新される。今後も、MITREのホームページをチェックして、その変更に注意する必要がある。

  • *本文書中の翻訳文書は、NTTデータ先端技術株式会社により情報提供されています。
    これは、本項「主な参考文献」にて公開される文章の、非公式の翻訳を含みます。
    英文が公式版であるとみなされ、翻訳文と英文においての曖昧さや不明瞭さについては、英文が優先されます。
    NTTデータ先端技術株式会社は、本翻訳文書に含まれる過失に対する責任を負いません。

主な参考文献

Writer Profile

セキュリティ事業本部
セキュリティコンサルティング事業部 コンサルティングサービス担当
エグゼクティブコンサルタント
内閣サイバーセキュリティセンター 重要インフラ専門調査会 委員
松田 栄之

セキュリティ事業本部
セキュリティコンサルティング事業部 コンサルティングサービス担当 課長
戸田 勝之(CISSP、CEH、CISA)