Japan
サイト内の現在位置を表示しています。
MITRE頻出手口トップ10 Vol.7(2024年10月-2025年3月)
サイバーインテリジェンス2025年7月18日
半期ごとに公開しているMITRE ATT&CK頻出手口トップ10も今回で7回目となりました [1,2,3,4,5,6]。今回の対象は2024年10月~2025年3月に収集した国内外のサイバー脅威分析レポート214件です。各レポートに記載されている攻撃の手口を調査し、MITRE ATT&CK®フレームワーク(v16)のテクニックへマッピングした結果のトップ10を紹介します。よく使用される攻撃手口の理解や、セキュリティ対策の優先順位を決める際の参考にしていただけると幸いです。
なお、今回の集計ではMITRE ATT&CKのEnterpriseドメイン(Windows、macOS、Linux、クラウド、ネットワーク、コンテナに関する攻撃手口)を対象としています。
エグゼクティブサマリー
- 2024年下半期に収集した脅威分析レポートの統計値を算出した結果、1位-4位については2024年上半期から順位の変動は見られなかった。また、5-7位については多少の順位変動はあったものの過去においてもTop10によくランクインしているテクニックであった。
- 8位にランクインしたテクニックのうち、T1083およびT1204については過去半期でのテクニックの登場回数から大きな開きはないため、使用頻度が大きく高まったということではないと考えられる。
- T1055については大きく登場回数が上がったテクニックである。しかし、T1055が登場するレポート件数自体は他半期との違いはなかった。1件のレポートにおいて、T1055のサブテクニックが複数使われることが多かったため登場回数が上昇した。防御回避を試みる攻撃者が積極的に使用していることの現れではないかと考える。
目次
MITRE ATT&CK頻出手口トップ10
2024年10月~2025年3月の期間で私たちサイバーインテリジェンスグループが収集しMITRE ATT&CKの分析をした脅威分析レポートは214件ありました。MITRE ATT&CKテクニックにマッピングしたサイバー攻撃手口の出現数トップ10は次のような結果となりました。
※集計の方法は、NECセキュリティブログ「MITRE ATT&CK® 頻出手口 トップ10(2020年度下期)」 [1]を参照ください。
echoコマンドが実行する引数の処理の脆弱性
順位(出現数) |
攻撃手口(Technique) |
目的(Tactic) |
2024年4月~2024年9月 |
2023年10月~2024年3月 |
2023年4月~2023年9月 |
1位(254) |
T1059-Command and Scripting Interpreter |
Execution |
1 |
1 |
1 |
2位(176) |
T1105-Ingress Tool Transfer |
Command and Control |
2 |
2 |
2 |
3位(154) |
T1027-Obfuscated Files or Information |
Defense Evasion |
3 |
3 |
3 |
4位(130) |
T1140-Deobfuscate/Decode Files or Information |
Defense Evasion |
6 |
5 |
4 |
5位(105) |
T1082-System Information Discovery |
Discovery |
5 |
6 |
9 |
6位(93) |
T1036-Masquerading |
Defense Evasion |
4 |
4 |
5 |
7位(87) |
T1566-Phishing |
Initial Access |
8 |
8 |
6 |
8位(75) |
T1083-File and Directory Discovery |
Discovery |
16 |
9 |
16 |
8位(75) |
T1055-Process Injection |
Defense Evasion, Privilege Escalation |
23 |
16 |
19 |
8位(75) |
T1204-User Execution |
Execution |
7 |
14 |
9 |
集計結果の分析
1位~3位については、2023年上半期から同じ順位であり、出現数も多いものとなっています。これらは攻撃者に必須の手口であり、代替の利くテクニックがほかにないことが言えるのではないかと思います。
4位から7位についても、表中には記載できていませんが、2022年上期から10位以内に常に入っている頻出のテクニックであり、順位の昇降はあれども攻撃者にとってよく使用されているテクニックといえるでしょう。
一方今回8位にランクインした3つのテクニックについては直近では登場回数が少ないテクニックとなっています。本ブログではこれらのテクニックを深掘りしていきます。
T1083 – File and Directory Discovery (Discovery Tactics)
「T1083 – File and Directory Discovery(ファイルとディレクトリの探索)」 [7]はATT&CKのDiscovery(探索)のTacticsにマッピングされているテクニックです。攻撃者が端末等を侵害した後、ファイルやディレクトリから侵害を拡大するための情報であったり、権限昇格するための情報であったりの調査を行うテクニックです。
このテクニックの順位について、2024年上半期は16位、2023年下半期は9位、2023年上半期は16位と10位以内に入ってないことが多いですが、それぞれの半期毎の登場回数は次のとおりです。
|
2024年下半期 |
2024年上半期 |
2023年下半期 |
2023年上半期 |
テクニック出現数 |
75 |
44 |
78 |
70 |
順位 |
8 |
16 |
9 |
16 |
総レポート解析数 |
219 |
150 |
159 |
184 |
2024年上半期は登場回数が少ないですが、その他の半期では登場回数に大きな開きはないため、本テクニックの使用頻度があがったのではなく、これまで上位にいたテクニックの使用頻度が下がった可能性があると考えられます。
T1055 – Process Injection (Defense Evasion, Privilege Escalation Tactics)
「T1055 – Process Injection」 [8]はATT&CKのDefense Evasion(防御回避)やPrivilege Escalation(権限昇格)のTacticsにマッピングされているテクニックです。攻撃者は既に動作しているプロセスに悪性コードを挿入(インジェクション)することで、防御回避や権限昇格を行います。
このテクニックの過去の出現数と順位については以下の通りです。
|
2024年下半期 |
2024年上半期 |
2023年下半期 |
2023年上半期 |
テクニック出現数 |
75 |
35 |
48 |
57 |
順位 |
8 |
23 |
16 |
19 |
総レポート解析数 |
219 |
150 |
159 |
184 |
今回このT1055のテクニック(サブテクニック含む)が登場したレポート数は37件でした。T1055は15個のサブテクニックを持つテクニックであり、内訳を確認したところ、一つのレポート内でT1055のサブテクニックが複数利用されることがあり、最終的な登場回数として75という数値になっていました。
以下は各半期ごとに、T1055が登場したレポートの件数をまとめたものです。2024年下半期に登場したレポートの件数は他の半期と変化が大きくないため、1件のレポートで複数のT1055のサブテクニックを用いられたといったことが言えます。
|
2024年下半期 |
2024年上半期 |
2023年下半期 |
2023年上半期 |
T1055が使用されたレポートの件数 |
37 |
25 |
32 |
36 |
総レポート解析数 |
219 |
150 |
159 |
184 |
このテクニックは防御回避の戦術として使用されることが多いため、防御回避を試みる攻撃者が積極的に使用していることの現れではないかと考えます。
T1204 – User Execution (Execution Tactics)
「T1204 – User Execution(ユーザによる実行)」 [9]はATT&CKのExecution(実行)のTacticsにマッピングされているテクニックです。攻撃者が送信したフィッシングメールの添付されたファイルをユーザが実行するといったような、ソーシャルエンジニアリングを使用してユーザに何らかの悪意ある行動を実行させるテクニックです。
このテクニックも2023年下半期では登場回数が少ないですが、その他の半期では登場回数に大きな開きはないため、本テクニックの使用頻度が上がったのではなく、これまで上位にいたテクニックの使用頻度が下がった可能性があると考えられます。
|
2024年下半期 |
2024年上半期 |
2023年下半期 |
2023年上半期 |
テクニック出現数 |
75 |
83 |
52 |
91 |
順位 |
8 |
7 |
14 |
9 |
総レポート解析数 |
219 |
150 |
159 |
184 |
また、件数としての有意な差として顕在化はしていませんが、FY2024下期に複数のレポートが報告されたClickFix [10]はこのテクニックにマッピングされます。ClickFixとは偽のエラーメッセージを含むダイアログボックスを使用し、被害者にローカル上に悪意のあるコンテンツ(PowerShellなどのコマンド等)のコピペ・実行をさせマルウェアを被害者自らに実行させる手口です。 2025年4月に更新されたATT&CKのv17では、サブテクニックとして、「T1204.004-User Execution: Malicious Copy and Paste」 [11]が追加されました。 今後ClickFixによる攻撃が増加することでこのテクニックの使用頻度があがる可能性が考えられます。
ATT&CK v17の更新について
ATT&CKは半期に1回更新が行われ、2025年4月22日にv17へのアップデート [12]が行われました。大きな変更点としては、EnterpriseのMatrixの中に新たにESXiが追加され、ESXiに対する攻撃がまとめられています。ほかには、24個の新たなテクニックが追加やテクニック記載内容の修正・更新・マージなどが行われています。先に記載したClickFixのテクニックの追加や、Visual Studio Codeによるトンネリングのテクニック [13]の追加など直近で使われるようになったテクニックが追加されているため、どのような攻撃が使用されているかを参照したい方は是非ご確認ください。
参照文献
[1] “MITRE ATT&CK® 頻出手口 トップ10(2020年度下期),”
[2] “MITRE ATT&CK 頻出手口 トップ 10 Vol.2(2021 年 10 月版),”
[3] “MITRE ATT&CK 頻出手口 トップ 10 Vol.3(2022 年 5 月版,”
[4] “MITRE ATT&CK 頻出手口 トップ 10(2022 年 4 月~9 月),”
[5] “MITRE ATT&CK 頻出手口 トップ10 Vol.5,”
[6] “MITRE ATT&CK 頻出手口 トップ10 Vol.6,”
[7] “File and Directory Discovery, Technique T1083 - Enterprise | MITRE ATT&CK,”
[8] “Process Injection, Technique T1055 - Enterprise | MITRE ATT&CK,”
[9] “User Execution, Technique T1204 - Enterprise | MITRE ATT&CK,”
[10] “【脅威レポート】ClickFixソーシャル・エンジニアリング手法の蔓延,”
[11] “User Execution: Malicious Copy and Paste, Sub-technique T1204.004 - Enterprise | MITRE ATT&CK,”
[12] “Updates - Updates - April 2025 | MITRE ATT&CK,”
[13] “Remote Access Tools: IDE Tunneling, Sub-technique T1219.001 - Enterprise | MITRE ATT&CK,”
この記事を執筆したアナリスト
竹内 俊輝(Takeuchi Toshiki)
専門分野:脅威インテリジェンス、マルウェア解析
脅威情報の収集・分析やマルウェア解析業務を担当。
CISSP、情報処理安全確保支援士(登録番号014728号)、GIAC(GPEN)を保持
