2021年7月2日

こんにちは、NECサイバーセキュリティ戦略本部セキュリティ技術センターの長濱です。6月の初めに、米国のサイバーセキュリティ・インフラセキュリティ庁（CISA）から、「Best Practices for MITRE ATT&CK® Mapping」（以降、「本ガイド」と呼びます）が公開されました[1]。本ガイドでは、攻撃者の振る舞いをMITRE ATT&CKフレームワークにマッピングする一連の手順が示されています。今回は、こちらを紹介します。

MITRE ATT&CK

NECセキュリティブログでは、これまでにもMITRE ATT&CKに関連した記事をいくつか公開してきました[2, 3, 4, 5]。そのため、既にご存じの方も多いかとは思いますが、まずはMITRE ATT&CK[6]（以降、「ATT&CK」と呼びます）とは何かという話を簡単にしておきます。

ATT&CKは「Adversarial Tactics, Techniques, and Common Knowledge」の略称で、実際に観測された攻撃者の活動を基に作成されている、攻撃者のTTP（Tactics：戦術、Techniques：技術、Procedure：手順）に関するフレームワーク／ナレッジベースです。ATT&CKにおいて、タクティクは攻撃者が達成しようとする目標です。例えば、初期侵入（Initial Access）や横移動（Lateral Movement）などがあります。テクニックはタクティクを達成するための方法で、それぞれのタクティクに対して複数のテクニックが存在しています。また、テクニックを細分化したサブテクニックもあります。プロシージャの例として、テクニックやサブテクニックが実際にどのように使用されたかを示す具体例も用意されています。

タクティク、テクニック、サブテクニックの各項目にはそれぞれ固有のIDが割り振られており、現状でかなり多くのIDが存在しています。この他にも、緩和策、グループ、ソフトウェアにもIDが割り振られています。ATT&CKが対象としている領域は、主にエンタープライズとモバイルです。エンタープライズにはWindowsやLinux、MacOS、クラウドが含まれています。モバイルにはAndroidとiOSが含まれます。

これまでに何度もアップデートが行われており、NECセキュリティブログ「MITRE ATT&CK v9の注目更新ポイントをご紹介」[5]でご紹介した通り、4月末にATT&CK v9が発表されました。

脅威レポートをATT&CKにマッピングする方法

ここからが本題となります。攻撃者の振る舞いをATT&CKにマッピングする一連の手順が示されている本ガイドは、主に以下の2つの内容で構成されています。

今回のブログでは、脅威レポートを対象とした部分を取り上げます。
脅威レポートからATT&CKへのマッピングは、以下の手順で進めます。

1. 攻撃者の振る舞いを見つける

まずは、脅威レポートを読み、攻撃者の振る舞いに関する記載箇所を探します。攻撃者はどのようにして初期侵入を行ったのか、侵入後はどのような活動をするのか、ネットワーク内でどのような情報を探すのか、どのツールやマルウェアを使用するのかなどです。ここで注意すべき点は、文章だけではなく図やコマンドも注意深く確認する必要があることです。筆者の経験上、レポート本文に記載はなく、図やコマンドのみで説明されていることはよくあります。これらも見落とさないよう、十分に気を付けましょう。

2. 攻撃者の振る舞いを追加調査する

必要に応じて、攻撃者やマルウェアの動作を理解するために追加の調査を行います。ここでは、過去に公開された関連するレポートや、CISAが発行したアラートなどが役に立ちます。攻撃者の振る舞いすべてがいずれかのテクニック、またはサブテクニックにマッピングされるわけではありませんが、技術的な詳細を把握することはレポート全体をきちんと理解する上で必要となります。

3. タクティクを特定する

次に、上記で見つけた攻撃者の振る舞いがそれぞれどのタクティクに該当するのかを特定し、攻撃の流れを理解します。タクティクを特定するには、攻撃者が達成しようとしていること、およびその理由に焦点を当てると考えやすいです。例として、本ガイドでは以下のようなことが挙げられています。

攻撃の流れを理解することは、攻撃者が使用する（したかもしれない）テクニック、またはサブテクニックを識別する上で大切です。

4. テクニックを特定する

タクティクを特定したら、攻撃者がどのようにしてその目標を達成しようとしたのかについて検討します。本ガイドで挙げられているポイントや注意点を以下に記載します。

なお、適用可能なテクニックを識別するための情報が十分でない場合もありますが、その際はタクティクへのマッピングまでとなります。

5. サブテクニックを特定する

特定したテクニックの下にサブテクニックが存在する場合、その説明が攻撃者の振る舞いと一致するかを確認します。レポートがあまり詳細に書かれていなければサブテクニックへのマッピングが困難なことがあり、その場合はテクニックへのマッピングとなります。また、全ての振る舞いがサブテクニックにマッピングできるとは限りません。説明だけではテクニックやサブテクニックが簡単に特定できない場合、それぞれのテクニックのページに記載されているprocedure examplesを確認すると良いかもしれません。過去の攻撃において、実際に使用されたケースが記載されており、またそのソースへのリンクもあるため参考と思います。

6. 他のアナリストの結果と比較する

自分の結果と他のアナリストの結果を比較し、マッピングの精度を向上させます。複数人でレビューを行うことで、お互いの抜け漏れの補足や各アナリストのバイアスの排除ができます。また、レビューを繰り返すことでアナリストの分析力向上なども期待できます。本ガイドでは、マッピングしたものを公開する前に、少なくともレビューを2回は実施することを推奨しています。

課題

筆者は業務の一環として、今回紹介したような「脅威レポートからMITRE ATT&CKへのマッピング」を日頃から行っています。そこで最後に、これまでに苦労した点や課題に感じている点を共有しておきます。

まず、テクニックとサブテクニックの数が非常に多いという点です。これら全てを網羅的に把握することは難しく、またIDの数は増え続けています（表1）。特に、業務を始めたばかりの頃はかなり時間がかかっていました。TRAM[7]というマッピングを行うためのツールもありますが、いずれにせよ人手による確認が必要となります。一つひとつの分析を通して、網羅性を向上させていく必要があります。NECセキュリティブログ「MITRE ATT&CK® 頻出手口 トップ10（2020年度下期）」[4]で紹介したような、よく使われるテクニックを知っておくことは一つの解決策となりそうです。

また、上記とも関連することですが、マッピングの精度は課題の1つだと感じます。テクニックを特定する際のポイントとして仮定や推測をしないことが挙げられていますが、この点はマッピングの精度に大きく関わるように思います。レポートにどのような記載があればマッピングするのかといった基準は、あらかじめ決めておいた方が良いのかもしれません。なお、精度を上げるためにレビューが必要であると書かれていますが、本ガイドでは具体的なレビューの方法は示されていません。そのため、どのようにレビューを行うのが良いか、各自で検討する必要があります。例えば、手順①「攻撃者の振る舞いを見つける」で特定した箇所と、手順④「テクニックを特定する」および⑤「サブテクニックを特定する」で特定したテクニック、サブテクニックの組み合わせをリスト化しておき、それを使ってそれぞれのマッピングが正しいか議論や判断をするのは一つのやり方だと思います。

おわりに

本記事では、CISAが公開した「Best Practices for MITRE ATT&CK® Mapping」について紹介しました。紹介した内容は、脅威分析を行うアナリストだけでなく、サイバーセキュリティを勉強している方がサイバー攻撃に関する知識を身に付ける上でも役に立つものと思います。ぜひ一度、脅威レポートとMITRE ATT&CKを使ってマッピングを実践してみてください。
最後までお読みいただき、ありがとうございました。

参考文献

執筆者の他の記事を読む