MITRE ATT&CKの概要
概要
本記事ではMITRE ATT&CKについて、その概要を解説する。
MITRE ATT&CKは過去にサイバー犯罪者たちが扱った各種手法を網羅したデータベースである。
このデータベースを参照することで、攻撃者がどのような攻撃を行ってくるかを予想することができ、組織の安全を高めることが可能になる。
しかし、本データベースは非常に巨大であり500を超える攻撃手法が紹介されている。各紹介記事には概要、実際の攻撃例、緩和策、検出方法といった内容が記載されており、かなりボリュームのある内容になっている。
また、各記事はいくつか大きなプロセスに分類されている。
それらは「Reconnaissance」「Resource Development」「Initial Access」「Execution」「Persistence」「Privilege Escalation」「Defense Evasion」「Credential Access」「Discovery」「Lateral Movement」「Collection」「Command and Control」「Exfiltration」「Impact」といった項目だ。
本記事では、この分類がどのようなものかという点に絞って解説したいと考える。これらはサイバーキルチェーンと類似しており、攻撃者が攻撃開始から撤収までの各プロセスである。ただキルチェーンと違い、必ずしも一方方向に進むわけではない。各プロセスの概要が飲み込めれば、その中の記事の理解も早くなるため、まずはこのプロセスの内容を理解することを勧める。
Reconnaissance
日本語に直せば「偵察」の意味になる。攻撃者はターゲットの組織を攻撃する前に必ずその事前情報を公開された情報の中から探す。それはGoogleから見つけたり、その企業のサーバをスキャンしたり、その組織の人間に直接接触したりする。このように、あらゆる角度からその組織の穴を見つける試みが、このReconnaissanceといえる。
Resource Development
これはリソースを開発するプロセスだ。偵察によりターゲットへ侵入できそうな糸口が見つかったなら、その糸口から侵入するための準備が必要になる。例えば、そのターゲット専用にカスタマイズしたマルウェアの開発や、足がつきにくい攻撃サーバの準備が本プロセスに含まれる。これらは自分で用意したり、外部に委託したり、時には外部から盗むことでリソースを用意する。
Initial Access
このプロセスではターゲットへの足掛かりを作る。ターゲットのサーバに侵入すること以外にも、ターゲット内部に悪意のあるファイル紛れ込ませたり、社員に何かしらの方法で成りすましたりする。とにかくどんな些細なことでもいいので、この後の本格的な侵入に繋げる足場を作るのが本プロセスである。
Execution
悪意のあるコードを如何に実行させるか?というのが本プロセスである。悪意のあるコードをターゲット内で実行できれば、攻撃者は様々な情報や特権を得ることができる。そのため、攻撃者はコード実行のためにユーザを騙したり、脆弱性を利用したりと様々なテクニックを使用する。このテクニックが本プロセスに集められている。
Persistence
攻撃者は一度侵入に成功すれば、その侵入を永続化しようとする。この永続化の試みが本プロセスになる。攻撃者が一度侵入に成功したとしても、些細なことでその通信は切断される(例:PCの電源を切られる)。そのため、例えばPCの起動時に外部に通信を繋げに行く等の侵入を永続化するためのプロセスが必要になる。
Privilege Escalation
権限の高いユーザへの昇格を狙うのが本プロセスである。多くの場合、組織には権限があり、重要なデータは高い権限のユーザしか見れないのが常識である。そのため攻撃者は侵入に成功した後も、より高い権限のユーザになりすますために様々なテクニックを使用する。
Defense Evasion
このプロセスはユーザに侵入を検出させないテクニックで構成されている。ユーザが侵入を検出すれば当然、攻撃者はサーバから切断されることになる。そのため、攻撃者は攻撃を行いつつも、如何にその存在を知られないかが重要になる。例えばターゲット内部で動作させるマルウェアの動作を暗号化/難読化し、アンチウイルスソフトに検出されないようにする等である。実際の攻撃者は、本プロセスのテクニックを他のプロセスでも合わせて使うことで、その侵入をバレにくくしている。
Credential Access
ユーザの認証情報を取得するプロセスだ。侵入において、正規のユーザで正常にログインすることを大きなメリットがある。不正なユーザ(例えばwebアプリを動作する専門のユーザ)でサーバ内を操作すると、様々な監査に引っかかりやすいからだ(おかしい、ユーザが操作する必要のないアカウントがコマンドを打っている…等)。そのため、なんとしても正規のユーザでログインし、行動の制約を取り払いたいと攻撃者は考えいる。そのため、ユーザの認証情報を如何に取得するかのテクニックが本プロセスにまとめられている。
Discovery
ターゲット内の何を調べるか、何を調べるかというのが本プロセスだ。例えどこかの端末に侵入できたとしても、それで攻撃は終わらない。最終的なターゲット(重要情報が保存されたサーバ)にたどり着くためには攻撃を繰り返す必要がある。そのために、サーバ内部でも数多くの調査が必要であり、どのようなことをすればいいかのテクニックが本プロセスに集まっている。
Lateral Movement
別のネットワークへ移るためのプロセスだ。多くの組織は複数のネットワークを持っている。それらは権限や部門ごとで分けられており、それぞれ別の情報が保管されていることだろう。攻撃者は可能な限り多くのネットワークに侵入するために様々なテクニックを使う。そのテクニックをまとめたのが本プロセスだ。攻撃者はこれらテクニックを使い、最終的には最重要機密が保管されたネットワークへの侵入を目指す。
Collection
どのようにデータを収集するかというテクニックが本プロセスである。攻撃者は最終的には重要情報、あるいは他のターゲットに侵入するための情報を収集することが目的になる。それら収集のテクニックが本項目である。
Command and Control
如何にターゲットの端末を操作するかというプロセスである。侵入の1つのゴールはターゲットの端末を完全にコントロールすることである。完全なコントロールとは、例えばWindowsであれば、外部からその端末のcmd.exeを自由に操作できることを指す。もちろんこれらの操作は非常に検知されやすいので、如何にそれを誤魔化すか、というテクニックが本プロセスにまとめられている。
Exfiltration
如何に外部に盗んだデータを持ち出すか、というプロセスである。攻撃者は外部にデータを持ち出す際に、それら動きを検出されるのを防ぐために様々なテクニックを使用する。データを圧縮したり、正常な通信に紛れ込ませたりしながら重要なデータを攻撃者の端末に送り込む。
Impact
このプロセスは侵入の最終段階としてシステムの破壊・改ざんを行う。システムの完全性を失わせれば、それだけ侵入の証拠をつかむのが難しくなるし、ターゲットのビジネスを邪魔すれば大きな被害を発生させられるかもしれない。このように如何にそのシステムの機構を破壊するかという点に本プロセスの焦点が集まっている。
まとめ
本記事ではMITRE ATT&CKの14個のプロセスについて簡単に解説した。
まずは各プロセスの概要を理解できれば、その中に含まれる500を超えるテクニック記事の理解が大きく助かると考えている。
MITRE ATT&CKは本当に多くの学びがあるデータベースであり、その概要だけでもサーバを管理するエンジニアは見てほしい。攻撃者が何をやってくるかをあらかじめ知っているかどうかというのは、そのサーバの防御力に直結すると考えている。本記事でMITRE ATT&CKに興味を持ってもらえたなら幸いだ。
