サイト内の現在位置

MITRE ATT&CK 頻出手口 トップ10 Vol.3(2022年5月版)

NECセキュリティブログ

2022年5月27日

はじめに

NECサイバーセキュリティ戦略統括部セキュリティ技術センターの長濱です。
今回は、私たちが2021年10月~2022年3月に収集した国内外のサイバー脅威分析レポートを対象に、攻撃手口をMITRE ATT&CK®フレームワーク(v10)へマッピングし独自に分析した結果を紹介します。
私たちは2020年度の下期(2020年10月~2021年3月)から半期ごとにこのような分析結果を公開しており[1,2]、今回が3回目となります。これまでの分析結果も引用しつつ、最新の結果を見ていきます。
よく使用される攻撃手口の理解や、セキュリティ対策の優先順位を決める際の参考にしてください。なお、今回の集計ではATT&CKのEnterpriseドメインを対象としています。

また、ちょうど1か月前にあたる4月25日にはMITRE ATT&CK v11が公開されました[new window3, new window4]ので、そちらについても簡単に紹介します。

攻撃手口の集計

2021年10月~2022年3月において、私が所属するインテリジェンスグループで収集・分析した脅威分析レポート101件の中で、MITRE ATT&CK に基づくサイバー攻撃の手口(Technique)の出現数トップ10は次のような結果となりました。
※集計の方法は、NECセキュリティブログ「MITRE ATT&CK® 頻出手口 トップ10(2020年度下期)」[1]に記載しています。

順位
(出現数)
攻撃手口(Technique) 目的(Tactic) 前回順位
(2021年度上期)
前々回順位
(2020年度下期)
1位
(152)
T1059 Command and Scripting Interpreter
(コマンドとスクリプトインタプリタ)
Execution(実行) 1位 1位
2位
(102)
T1036 Masquerading
(偽装)
Defense Evasion(防御策の回避) 3位 3位
3位
(93)
T1027 Obfuscated Files or Information
(難読化されたファイルや情報)
Defense Evasion(防御策の回避) 2位 2位
4位
(88)
T1105 Ingress Tool Transfer
(侵入ツールの送り込み)
Command and Control(C2) 4位 4位
5位
(70)
T1071 Application Layer Protocol
(アプリケーションレイヤープロトコル)
Command and Control(C2) 7位 6位
6位
(65)
T1140 Deobfuscate/Decode Files or Information
(ファイルや情報の難読化解除/デコード)
Defense Evasion(防御策の回避) 6位 -
7位
(63)
T1588 Obtain Capabilities
(能力の取得)
Resource Development(リソース開発) - -
7位
(63)
T1041 Exfiltration Over C2 Channel
(C2チャネル上での持ち出し)
Exfiltration(持ち出し) 8位 8位
9位
(62)
T1082 System Information Discovery
(システム情報の発見)
Discovery(発見) - -
10位
(58)
T1055 Process Injection
(プロセスインジェクション)
Defense Evasion(防御策の回避)
Privilege Escalation(権限昇格)
9位 -

表1:2021年度下期 MITRE ATT&CK 頻出手口 トップ10
(情報ソース:NEC独自調査)

MITRE ATT&CKでIDが割り当てられている攻撃手口は多く、そのすべてを把握し、対策することは非常に大変です。ATT&CK v10ではTechniqueが188、Sub-Techniqueが379で合計567のATT&CK IDがEnterpriseドメインでは定義されています。今回の集計では、このうち少なくとも1回は出現した攻撃手口は288で全体の約半数、10回以上出現した攻撃手口は67で全体の1割強でした。まずは実際のサイバー攻撃でよく使われている手口に注目してみる、というのもよいと思います。

前回や前々回の集計結果と比較すると、順位に若干の入れ替わりはありますが、上位にランクインしている攻撃手口は変わっていませんでした。コマンドやスクリプトインタプリタの実行、マルウェアの正規ファイルへの偽装、マルウェアや悪意あるファイルの難読化、攻撃インフラから追加の攻撃ツールの取得といった手口は、攻撃者がサイバー攻撃を行う上で欠かせないものであると考えられます。

今回の集計で新たにトップ10にランクインした手口として、7位のT1588 Obtain Capabilities(能力の取得)と9位のT1082 System Information Discovery(システム情報の発見)があります。T1588について、詳しく見ていきます。

T1588 Obtain Capabilities(能力の取得)

この手口は、攻撃で使用する能力を攻撃者が独自で開発するのではなく、購入または窃取などによって取得するというものです。ここでいう能力とは、マルウェアやツール、証明書、エクスプロイト、脆弱性情報を指し、それぞれに対してサブテクニックのIDが割り当てられています。

Obtain Capabilities(能力取得)は出現数が63回となっており、その内訳は以下の通りです。

  • T1588.001 Obtain Capabilities: Malware(マルウェア):16回
  • T1588.002 Obtain Capabilities: Tool(ツール):27回
  • T1588.003 Obtain Capabilities: Code Signing Certificates(コード署名証明書):4回
  • T1588.004 Obtain Capabilities: Digital Certificates(デジタル証明書):9回
  • T1588.005 Obtain Capabilities: Exploits(エクスプロイト):6回
  • T1588.006 Obtain Capabilities: Vulnerabilities(脆弱性情報):1回

能力を取得する方法としては、オープンソースとして公開されているものをダウンロードする、アンダーグラウンドの犯罪フォーラムから購入する、サイバー攻撃を行って企業や他の攻撃者から窃取するなどが挙げられます。Ransomware-as-a-Service(RaaS)やMalware-as-a-Service(MaaS)を利用した攻撃もこの手口を使っていると考えられます。

前々回[1]はこれらの能力を攻撃者が自身で開発するT1587 Develop Capabilitiesが上位に入っていましたが、今回はT1588 Obtain Capabilitiesが上位になっています。この点は興味深く感じました。攻撃者の分類(国家支援を受ける攻撃者、サイバー犯罪者など)によるとは思いますが、マルウェアや攻撃ツールは自分で開発するのではなく他人が作成したものを購入する傾向になってきている様子がうかがえます。

RaaSやMaaS、マルウェアやエクスプロイトのブローカー市場が今後さらに発展していくと、この手口の出現数はさらに多くなっていくのではないでしょうか。

なお、この手口は実際に攻撃が行われる前の段階に該当し、MITRE ATT&CKでも具体的な緩和策は示されていません。よく使用されるRaaSやMaaSなどに関する情報をウォッチし、最新動向を把握しておくことが重要と思います。

ATT&CK v11へのアップデート

話が変わりますが、2022年4月25日にATT&CK v11が公開されました[new window3, new window4]。今回のアップデートではいつも通り、テクニックやグループ、ソフトウェアに新たなIDが追加されています。また、大きな変化としては、MobileドメインにもSub-Techniqueが導入されたこと(本記事執筆時点ではベータ版)と、ICSドメインがATT&CKのサイト(attack.mitre.org)に統合されたことなどが挙げられます。v11では、ATT&CK IDの数は表2のようになっています。

カテゴリ ドメイン v8 v9 v10 v11
Tactics Enterprise 14 14 14 14
Mobile 14 14 14 14
ICS - - - 12
Techniques Enterprise
(Sub-Techniques)
178
(352)
185
(367)
188
(379)
191
(386)
Mobile
(Sub-Techniques)
86 89 92 66
(41)
ICS - - - 78
Data Sources - - - 38 40
Mitigations Enterprise 42 42 43 43
Mobile 13 13 13 11
ICS - - - 53
Groups - 110 122 129 134
Software - 518 585 638 680

表2 ATT&CK IDの数

前述したよく使われる手口に加えて、新しく出てきた脅威についても十分注意する必要があると思います。

以前の記事[5]でも紹介しましたが、私が所属するインテリジェンスグループでは、NEC Corporation Indiaのメンバーと協力してこれらの情報をまとめ、MITRE ATT&CKチームへ提供する活動も行っています。NECから提供した情報うち、ATT&CK v9で1件、ATT&CK v10で8件が新たに追加されました。これに続き、ATT&CK v11でも新たに追加または修正されたTechniqueのうち1件、Groupのうち3件、Softwareのうち1件、合計5件で寄稿者(Contributor)としてNECの名前が記載されています。

  • ATT&CK v11で寄稿者としてNECが記載されたATT&CK ID
    • T1557 – Adversary-in-the-Middle new window[6]
    • S0688 – Meteor new window[7]
    • G00143 – Aquatic Panda new window[8]
    • G0140 – LazyScripter new window[9]
    • G0004 – Ke3chang (NICKEL) new window[10]

インテリジェンスグループでは今後も新たな脅威情報の提供を続けていく予定であり、MITRE ATT&CKの発展に貢献していきたいと考えています。
MITRE ATT&CKへの情報提供は誰でも可能ですので、この記事を読んでくださっている皆さんも、新しい攻撃手口やグループ、マルウェアなどの情報を入手したら一度挑戦してみてはいかがでしょうか。必要な情報や情報提供の方法などについては、MITRE ATT&CKのContributeページ new window[11]でご確認いただけます。

おわりに

今回は、2021年10月~2022年3月に収集した国内外の脅威分析レポートを対象にして攻撃手口をMITRE ATT&CKフレームワーク(v10)にマッピングし、サイバー攻撃でよく使われる攻撃手口のトップ10として独自にまとめた結果を紹介しました。
少しでも皆さんのお役に立てますと幸いです。

最後までお読みいただき、ありがとうございました。

参考文献

執筆者プロフィール

長濱 拓季(ながはま ひろき)
セキュリティ技術センター サイバーインテリジェンスグループ

インテリジェンスグループで脅威情報の収集・発信・分析やデータ分析業務を担当
CISSP Associate、GIAC (GCTI, GOSI)を保持

執筆者の他の記事を読む

アクセスランキング