サイト内の現在位置

MITRE ATT&CK v10のアップデートについて

NECセキュリティブログ

2021年11月12日

はじめに

NECサイバーセキュリティ戦略本部セキュリティ技術センターの長濱です。
2021年10月21日にMITRE ATT&CK v10が公開されました[new window1, new window2]。今回のアップデートでは、テクニックやグループ、ソフトウェアに新たなIDが追加されたほか、データソースにもIDが割り当てられるようになりました。v10では、ATT&CK IDは表1のようになっています。

表1. ATT&CK IDの数
カテゴリ ドメイン v8 v9 v10
Tactics Enterprise 14 14 14
Mobile 14 14 14
Techniques Enterprise
(Sub-Techniques)
178
(352)
185
(367)
188
(379)
Mobile 86 89 92
Data Sources       38
Mitigations Enterprise 42 42 43
Mobile 13 13 13
Groups   110 122 129
Software   518 585 638

今回の記事では、新たに追加されたテクニックをいくつか見ていきます。また、v10へのアップデートに関連するセキュリティ技術センターの活動について紹介します。

ATT&CK v10で新たに追加されたテクニック

ATT&CK v10では、以下に示す15個(重複を含まず)のテクニック、またはサブテクニックが新たに追加されました。戦術で分類すると、new windowPersistence(永続化)が2件、new windowPrivilege Escalation(権限昇格)が1件、new windowDefense Evasion(防御策の回避)が9件、new windowDiscovery(発見)が3件、new windowCollection(収集)が1件となっています(T1547.015は、PersistenceとPrivilege Escalationの両方に属します)。

このうちのいくつかをピックアップして、見てみましょう。

T1562.010 - Impair Defenses: Downgrade Attack

T1562.010は、new windowDefense Evasion(防御策の回避)の戦術に属するテクニックであるnew windowImpair Defenses(防御策の妨害)のサブテクニックで、システム機能を脆弱性のあるバージョンにダウングレードして使用するというものです。例として、PowerShellに対するダウングレード攻撃が挙げられています。PowerShellは攻撃者がよく利用する正規ツールの一つですので、私用のPCでは使わない場合に無効化するなどの対策を検討するのがよさそうです。

T1562.009 - Impair Defenses: Safe Mode Boot

T1562.009もnew windowImpair Defenses(防御策の妨害)のサブテクニックで、Windowsのセーフモードを悪用するというものです。セーフモードでは、必要最小限のドライバやサービスのみを使用してWindowsを起動します。そのため、Windowsをセーフモードで起動するとEDR(Endpoint Detection and Response)やサードパーティのセキュリティ対策ソフトが起動しない可能性があります。攻撃者はセーフモードを悪用することで、エンドポイントの防御策を無効化できます。このテクニックは、REvilランサムウェアが使用した例が挙げられています[new window3]。その他にも、Snatchランサムウェア[new window4]やMedusaLockerランサムウェア[new window5]がこのテクニックを使用したことが確認されています。

T1619 - Cloud Storage Object Discovery

T1619はnew windowDiscovery(発見)の戦術に属するテクニックで、攻撃者がクラウドストレージ内のオブジェクト(ファイル)を列挙するというものです。目的の情報や、後続の攻撃で必要となる情報をクラウドストレージ上で探す際に使用されます。Mitigationsにも書かれている通り、クラウドストレージ内のオブジェクトに適切なアクセス権を付与するなどの対策が有効になります。
Procedure Examples (テクニックの具体的な使用方法)は本記事の執筆時点で挙げられていませんが、クラウドの設定ミスによる情報漏えいや、設定ミスを狙った攻撃が増加していることが話題となっており、注目すべきテクニックの一つであるといえるでしょう。業務やプライベートでクラウドストレージを利用する機会は多いと思いますので、皆さんもアクセス権などの設定には十分気をけるようにしてください。

T1213.003 - Data from Information Repositories: Code Repositories

T1213.003はnew windowCollection(収集)の戦術に属するテクニックで、攻撃者がコードリポジトリから重要なデータを収集するというものです。ソフトウェアの開発などでは、GitHubやGitLab、SourceForge、BitBucketなどを使用してソースコードを内部で共有することはよくあると思います。攻撃者が標的組織の内部ネットワークに侵入後、これらのリポジトリにアクセスしてソースコードやハードコードされた認証情報などを窃取する際に使用されます。このテクニックは、ロシアの攻撃者グループであるAPT29が使用した例が挙げられています[new window6]。
また、GitHubの公開リポジトリにソースコードをアップロードしてしまい、流出する事例を見かけることもあります。企業や個人でこのようなサービスを利用する際は、公開範囲をきちんと確認することが重要です。

ATT&CK v10のアップデートに関連するNECの活動

私の所属するセキュリティ技術センターのインテリジェンスチームでは、国内外で公開されたオープンソースの脅威レポートを収集し、それぞれのレポートに対して独自にATT&CKテクニックのマッピングを行っています(マッピングの方法については過去のブログ記事[7]も参考にしてください)。これにより、それぞれの脅威レポートに関連するテクニックIDのデータを蓄積することができます。なお、マッピングにより得られたデータは半期ごとに集計し、頻出攻撃手口と題して本ブログにて公開しています[8, 9]。今後も引き続き公開していく予定ですので、都度ご確認いただければと思います。
脅威レポートを分析していると、新しく発見された攻撃者グループやソフトウェアに関するレポートや、新たな攻撃手法に関する記述を含むレポートに遭遇することがよくあります。当然ですが、これらの新たな情報はその時点でのATT&CKには含まれていません。そこで、インテリジェンスチームでは、NEC Corporation Indiaのメンバーと協力してこれらの情報をまとめてMITRE ATT&CKへ提供する活動も行っています。これまでに提供した脅威情報のうち1件がATT&CK v9で、8件がATT&CK v10で採用されました。以下で簡単に紹介します。

  • ATT&CK v9で採用されたテクニック(1件)
    • T1614 – new windowSystem Location Discovery
      攻撃者が、被害者のシステム上でタイムゾーンやキーボードレイアウト、言語設定などを確認し、システムがある地理的情報を推測するテクニックです。
  • ATT&CK v10で採用されたグループとソフトウェア(8件)
    • S0638 – new windowBabuk
      2021年に新たに確認されたRansomware-as-as-Service (RaaS)です。
    • G0136 - new windowIndigo Zebra
      2014年頃から活動している、中国に関連するとみられるサイバースパイグループです。
    • S0651 - new windowBoxCaon
      IndigoZebraが使用したWindowsのマルウェアです。C2通信にDropBoxを使用するなどの特徴があります。
    • S0653 - new windowxCaon
      IndigoZebraが使用するマルウェアで、BoxCaonの亜種です。こちらはC2通信にHTTPを使用します。
    • G0137 - new windowFerocious Kitten
      2015年頃から活動している、イランを拠点とするとみられる攻撃者グループです。
    • S0652 - new windowMarkiRAT
      Ferocious Kittenが使用するリモートアクセス型トロイの木馬(RAT)です。
    • 残りの2件は、次回のマイナーアップデートで反映される予定です。

今後も新たな脅威情報の提供を引き続き行い、ATT&CKの発展に貢献していければと考えています。情報提供は誰でも可能だと思いますので、この記事を読んでいる皆さんも一度挑戦してみてはいかがでしょうか。なお、必要な情報や情報提供の方法などについては、MITRE ATT&CKのContributeページ[new window10]でご確認いただけます。

おわりに

今回は、ATT&CK v10へのアップデートをテーマとして取り上げてみました。今回のアップデートでは、NECが情報提供したものを含むいくつかのテクニックやグループ、ソフトウェアが追加されました。このような新しい脅威にも十分注意を払い、必要に応じてしっかりと対策を実施することが重要です。

インテリジェンスチームでは、今後もATT&CKの活用をさらに進めていこうと思います。また、引き続きATT&CKへ貢献できるよう、日々の情報収集や分析に励みます。

最後までお読みいただき、ありがとうございました。

参考文献

執筆者プロフィール

長濱 拓季(ながはま ひろき)
セキュリティ技術センター インテリジェンスチーム

インテリジェンスチームで脅威情報の収集・発信・分析やデータ分析業務を担当
GIAC (GOSI)を保持

執筆者の他の記事を読む

アクセスランキング