サイト内の現在位置を表示しています。

MITRE頻出手口トップ10 Vol.7(2024年10月-2025年3月)

サイバーインテリジェンス

2025年7月18日

半期ごとに公開しているMITRE ATT&CK頻出手口トップ10も今回で7回目となりました [1,2,3,4,5,6]。今回の対象は2024年10月~2025年3月に収集した国内外のサイバー脅威分析レポート214件です。各レポートに記載されている攻撃の手口を調査し、MITRE ATT&CK®フレームワーク(v16)のテクニックへマッピングした結果のトップ10を紹介します。よく使用される攻撃手口の理解や、セキュリティ対策の優先順位を決める際の参考にしていただけると幸いです。

なお、今回の集計ではMITRE ATT&CKのEnterpriseドメイン(Windows、macOS、Linux、クラウド、ネットワーク、コンテナに関する攻撃手口)を対象としています。

エグゼクティブサマリー

  • 2024年下半期に収集した脅威分析レポートの統計値を算出した結果、1位-4位については2024年上半期から順位の変動は見られなかった。また、5-7位については多少の順位変動はあったものの過去においてもTop10によくランクインしているテクニックであった。
  • 8位にランクインしたテクニックのうち、T1083およびT1204については過去半期でのテクニックの登場回数から大きな開きはないため、使用頻度が大きく高まったということではないと考えられる。
  • T1055については大きく登場回数が上がったテクニックである。しかし、T1055が登場するレポート件数自体は他半期との違いはなかった。1件のレポートにおいて、T1055のサブテクニックが複数使われることが多かったため登場回数が上昇した。防御回避を試みる攻撃者が積極的に使用していることの現れではないかと考える。

目次

MITRE ATT&CK頻出手口トップ10

2024年10月~2025年3月の期間で私たちサイバーインテリジェンスグループが収集しMITRE ATT&CKの分析をした脅威分析レポートは214件ありました。MITRE ATT&CKテクニックにマッピングしたサイバー攻撃手口の出現数トップ10は次のような結果となりました。

※集計の方法は、NECセキュリティブログ「MITRE ATT&CK® 頻出手口 トップ10(2020年度下期)」 [1]を参照ください。

echoコマンドが実行する引数の処理の脆弱性

順位(出現数)

攻撃手口(Technique

目的(Tactic

2024年4月~20249

2023年10月~20243

2023年4月~20239

1位(254)

T1059-Command and Scripting Interpreter

Execution

1

1

1

2位(176)

T1105-Ingress Tool Transfer

Command and Control

2

2

2

3位(154)

T1027-Obfuscated Files or Information

Defense Evasion

3

3

3

4位(130)

T1140-Deobfuscate/Decode Files or Information

Defense Evasion

6

5

4

5位(105)

T1082-System Information Discovery

Discovery

5

6

9

6位(93)

T1036-Masquerading

Defense Evasion

4

4

5

7位(87)

T1566-Phishing

Initial Access

8

8

6

8位(75)

T1083-File and Directory Discovery

Discovery

16

9

16

8位(75)

T1055-Process Injection

Defense Evasion, Privilege Escalation

23

16

19

8位(75)

T1204-User Execution

Execution

7

14

9

2024年度下期(2024年10月~2025年3月) MITRE ATT&CK 頻出手口 トップ10 (NEC独自調査)

集計結果の分析

1位~3位については、2023年上半期から同じ順位であり、出現数も多いものとなっています。これらは攻撃者に必須の手口であり、代替の利くテクニックがほかにないことが言えるのではないかと思います。

4位から7位についても、表中には記載できていませんが、2022年上期から10位以内に常に入っている頻出のテクニックであり、順位の昇降はあれども攻撃者にとってよく使用されているテクニックといえるでしょう。

一方今回8位にランクインした3つのテクニックについては直近では登場回数が少ないテクニックとなっています。本ブログではこれらのテクニックを深掘りしていきます。

T1083 – File and Directory Discovery (Discovery Tactics)

「T1083 – File and Directory Discovery(ファイルとディレクトリの探索)」 [7]はATT&CKのDiscovery(探索)のTacticsにマッピングされているテクニックです。攻撃者が端末等を侵害した後、ファイルやディレクトリから侵害を拡大するための情報であったり、権限昇格するための情報であったりの調査を行うテクニックです。

このテクニックの順位について、2024年上半期は16位、2023年下半期は9位、2023年上半期は16位と10位以内に入ってないことが多いですが、それぞれの半期毎の登場回数は次のとおりです。

 

2024年下半期

2024年上半期

2023年下半期

2023年上半期

テクニック出現数

75

44

78

70

順位

8

16

9

16

総レポート解析数

219

150

159

184

2024年上半期は登場回数が少ないですが、その他の半期では登場回数に大きな開きはないため、本テクニックの使用頻度があがったのではなく、これまで上位にいたテクニックの使用頻度が下がった可能性があると考えられます。

T1055 – Process Injection (Defense Evasion, Privilege Escalation Tactics)

「T1055 – Process Injection」 [8]はATT&CKのDefense Evasion(防御回避)やPrivilege Escalation(権限昇格)のTacticsにマッピングされているテクニックです。攻撃者は既に動作しているプロセスに悪性コードを挿入(インジェクション)することで、防御回避や権限昇格を行います。

このテクニックの過去の出現数と順位については以下の通りです。

 

2024年下半期

2024年上半期 

2023年下半期

2023年上半期

テクニック出現数

75

35

48

57

順位

8

23

16

19

総レポート解析数

219

150

159

184

今回このT1055のテクニック(サブテクニック含む)が登場したレポート数は37件でした。T1055は15個のサブテクニックを持つテクニックであり、内訳を確認したところ、一つのレポート内でT1055のサブテクニックが複数利用されることがあり、最終的な登場回数として75という数値になっていました。

以下は各半期ごとに、T1055が登場したレポートの件数をまとめたものです。2024年下半期に登場したレポートの件数は他の半期と変化が大きくないため、1件のレポートで複数のT1055のサブテクニックを用いられたといったことが言えます。

 

2024年下半期

2024年上半期 

2023年下半期

2023年上半期

T1055が使用されたレポートの件数

37

25

32

36

総レポート解析数

219

150

159

184

このテクニックは防御回避の戦術として使用されることが多いため、防御回避を試みる攻撃者が積極的に使用していることの現れではないかと考えます。

T1204 – User Execution (Execution Tactics)

「T1204 – User Execution(ユーザによる実行)」 [9]はATT&CKのExecution(実行)のTacticsにマッピングされているテクニックです。攻撃者が送信したフィッシングメールの添付されたファイルをユーザが実行するといったような、ソーシャルエンジニアリングを使用してユーザに何らかの悪意ある行動を実行させるテクニックです。

このテクニックも2023年下半期では登場回数が少ないですが、その他の半期では登場回数に大きな開きはないため、本テクニックの使用頻度が上がったのではなく、これまで上位にいたテクニックの使用頻度が下がった可能性があると考えられます。

 

2024年下半期

2024年上半期

2023年下半期

2023年上半期

テクニック出現数

75

83

52

91

順位

8

7

14

9

総レポート解析数

219

150

159

184

また、件数としての有意な差として顕在化はしていませんが、FY2024下期に複数のレポートが報告されたClickFix [10]はこのテクニックにマッピングされます。ClickFixとは偽のエラーメッセージを含むダイアログボックスを使用し、被害者にローカル上に悪意のあるコンテンツ(PowerShellなどのコマンド等)のコピペ・実行をさせマルウェアを被害者自らに実行させる手口です。 2025年4月に更新されたATT&CKのv17では、サブテクニックとして、「T1204.004-User Execution: Malicious Copy and Paste」 [11]が追加されました。 今後ClickFixによる攻撃が増加することでこのテクニックの使用頻度があがる可能性が考えられます。

ATT&CK v17の更新について

ATT&CKは半期に1回更新が行われ、2025年4月22日にv17へのアップデート [12]が行われました。大きな変更点としては、EnterpriseのMatrixの中に新たにESXiが追加され、ESXiに対する攻撃がまとめられています。ほかには、24個の新たなテクニックが追加やテクニック記載内容の修正・更新・マージなどが行われています。先に記載したClickFixのテクニックの追加や、Visual Studio Codeによるトンネリングのテクニック [13]の追加など直近で使われるようになったテクニックが追加されているため、どのような攻撃が使用されているかを参照したい方は是非ご確認ください。

参照文献

この記事を執筆したアナリスト

竹内 俊輝(Takeuchi Toshiki)
専門分野:脅威インテリジェンス、マルウェア解析

脅威情報の収集・分析やマルウェア解析業務を担当。
CISSP、情報処理安全確保支援士(登録番号014728号)、GIAC(GPEN)を保持