CyberFix NoteMITRE ATT&CKで攻撃を体系的に理解する。戦術と技術のマトリクスを検知・防御にどう活かすか
対象の目安: SOC・インシデント対応・脅威インテリジェンス担当 / 実務レベル
セキュリティの現場では、日々大量の攻撃情報が飛び交います。「フィッシングメールから侵入された」「正規ツールを悪用して横展開された」「ログが消されていた」といった断片的な事象を、組織横断で同じ言葉で語り、検知や防御の抜けを洗い出すのは簡単ではありません。観点が人によってばらつき、対策が場当たり的になりがちです。
MITRE ATT&CK(マイターアタックと読みます)は、この問題に対する事実上の共通言語です。実際に観測された攻撃者の行動を「戦術(Tactic)」と「技術(Technique)」という二軸で整理した知識ベースで、無償で公開されています。攻撃を「点」ではなく「攻撃者が目的を達成するまでの一連の振る舞い」として捉え直すための地図と考えると分かりやすいでしょう。
この記事では、ATT&CKの構造を原理から噛み砕き、マトリクスの読み方、検知・防御への落とし込み方、そして陥りやすい誤解までを実務目線で整理します。バージョンによってマトリクスの構成は変わるため、参照する版を明示して使うことの重要性も含めて解説します。
早見表: ATT&CKの基本用語
まず用語を整理します。ATT&CKを語るとき、戦術・技術・サブ技術・手順の区別が曖昧だと議論がかみ合いません。
| 用語 | 英語 | 意味 | 例 |
|---|---|---|---|
| 戦術 | Tactic | 攻撃者がその段階で達成したい「目的」 | 初期アクセス、永続化、認証情報アクセス |
| 技術 | Technique | 目的を達成するための「手段」。T で始まるIDを持つ | フィッシング、有効なアカウントの悪用 |
| サブ技術 | Sub-technique | 技術をより細かく具体化したもの。Txxxx.xxx 形式 | フィッシングのうち添付ファイル型 |
| 手順 | Procedure | 特定の攻撃者やツールによる技術の具体的な実装 | あるマルウェアがスケジュールタスクを作る方法 |
| マトリクス | Matrix | 戦術を列、技術を行に並べた一覧表 | Enterprise マトリクス |
ここで誤解しやすいのは、戦術と技術は「上下の階層」ではあるものの、1つの技術が複数の戦術に属しうるという点です。たとえば「有効なアカウント(Valid Accounts)」は、初期アクセスにも永続化にも権限昇格にも使われます。攻撃者の意図次第で同じ手段が異なる目的に対応するためで、これがマトリクスを単純なツリーとして扱えない理由です。
戦術と技術のマトリクスとは何か
ATT&CKの中核は、攻撃者の行動を「Why(戦術)」と「How(技術)」に分解して整理する点にあります。戦術は攻撃ライフサイクルに沿った目的の連なりで、左から右へおおよそ時系列を意識して並びます。ただし実際の攻撃はこの順番どおりに直線的には進まず、複数の戦術を行き来します。マトリクスは「攻撃の台本」ではなく「観点のチェック盤」だと捉えてください。
ATT&CKには対象環境ごとに3つのマトリクスがあります。企業のITネットワークやクラウド、SaaSを対象とする「Enterprise」、モバイル端末を対象とする「Mobile」、産業用制御システムを対象とする「ICS」です。多くの組織がまず参照するのはEnterpriseマトリクスです。
Enterpriseマトリクスの戦術は、おおむね次のような目的の連なりで構成されます。偵察(Reconnaissance)で標的を調査し、リソース開発(Resource Development)で攻撃基盤を整え、初期アクセス(Initial Access)で侵入し、実行(Execution)でコードを動かし、永続化(Persistence)で居座り、権限昇格(Privilege Escalation)で権限を上げ、ステルス(Stealth)で正規の振る舞いに紛れ、防御弱体化(Defense Impairment)でセキュリティ機構を壊し、認証情報アクセス(Credential Access)で資格情報を奪い、探索(Discovery)で環境を把握し、横展開(Lateral Movement)で広がり、収集(Collection)でデータを集め、C2(Command and Control)で遠隔操作の通信路を確保し、送出(Exfiltration)でデータを盗み、影響(Impact)で破壊や暗号化を行う、という流れです。これら15の戦術がEnterpriseマトリクスの列を構成します。
メモ
ATT&CKは「実際に観測された攻撃者の振る舞い」をもとに構成されている点が重要です。理論上ありうるすべての攻撃を網羅したものではなく、現実の脅威インテリジェンスに裏打ちされている分、実務での説得力が高い一方、未観測の新しい手口は反映が後追いになります。原理を理解せずIDの暗記に走ると、この性質を見落とします。
バージョンによる構成変化に注意する
ATT&CKは半年ごとに大きな更新があり、戦術や技術の追加・統廃合が行われます。社内のドキュメントや検知ルールで参照するときは、必ず前提とする版を明記してください。版を固定せずに「ATT&CKでは」と語ると、議論の土台がずれます。
具体例として、2026年4月28日にリリースされたv19.1では、長らく単一だった「防御回避(Defense Evasion)」戦術が2つに分割されました。攻撃者が正規の振る舞いに紛れる手口を扱う「Stealth」(従来のTA0005のIDを継承)と、セキュリティ製品を無効化・改ざんする手口を扱う「Defense Impairment」(新規ID TA0112)です。これは概念の粒度を上げ、「こっそり隠れる」行為と「防御を能動的に壊す」行為を別の目的として扱えるようにする変更です。執筆時点(2026年6月)のEnterpriseマトリクスは15戦術・222技術・475サブ技術で構成されています。
v19.1での防御回避戦術の分割(StealthとDefense Impairment)と戦術・技術数は、MITREの公式アップデート情報で確認できます。
この種の変更は、既存資産に静かに影響します。たとえばTA0005を参照していたSigmaルールやSIEMのダッシュボードはIDとしては壊れませんが、指している意味の範囲が以前より狭くなります。版を更新する際は「IDが生きているか」だけでなく「そのIDが指す概念の範囲が変わっていないか」まで確認するのが実務上の勘所です。
あわせて読みたい
ゼロデイ脆弱性とは。検知が難しい攻撃にどう備えるか
検知・防御へどう活かすか
ATT&CKの価値は、知識ベースを眺めることではなく、自組織の検知・防御の状態を可視化し、改善の優先順位をつけることにあります。MITREが示す代表的な活用の方向性は、検知・分析、脅威インテリジェンス、敵対者エミュレーション(レッドチーム)、評価・エンジニアリングの4つです。以下、実務に近い使い方を整理します。
検知の被覆(カバレッジ)を可視化する
自組織の検知ルールやログが、どの技術をどの程度カバーできているかをマトリクス上に色塗りしていくと、防御の「穴」が一目で分かります。MITREが提供するATT&CK Navigatorは、このヒートマップ作成のための公式ツールです。
ここで最も陥りやすい誤りが、マトリクス全体を緑で塗りつぶすこと、すなわち網羅率の最大化を目的化することです。すべての技術を等しく検知する必要はありません。自組織の業種・資産・過去のインシデント・想定脅威アクターに照らして、関係の薄い技術より、現実に狙われやすい技術の検知品質を上げるべきです。地図上の全マスを塗ることではなく、自分が通る道を確実に守ることが目的です。
マトリクスを埋めること自体が目的になると、検知件数は増えても誤検知ばかりで運用が回らなくなりがちです。「この技術は自社の環境で本当に起こりうるのか」「起きたとき気づけるのか」を1つずつ問い直すと、塗るべきマスは思ったより絞り込めます。
脅威インテリジェンスを構造化する
脅威レポートを読むとき、記載された攻撃者の行動をATT&CKの技術IDにマッピングすると、複数のレポートを横断して比較できるようになります。「この攻撃グループは初期アクセスにフィッシング、横展開にリモートサービスを多用する」といった特徴が構造化され、自組織の検知の優先順位づけに直結します。文章で書かれた攻撃の物語を、共通の座標系に変換する作業だと考えてください。
レッドチーム演習とインシデント対応
レッドチームは、特定の脅威アクターが使う技術の組み合わせを再現する「敵対者エミュレーション」の台本としてATT&CKを使えます。逆にインシデント対応やフォレンジックの場面では、観測された痕跡を技術IDで整理することで、攻撃者がどの戦術段階まで到達したか、見落としている戦術がないかを点検できます。痕跡の整理と攻撃の全体像把握を結びつける枠組みとして有用です。
あわせて読みたい
ログからの侵害調査(フォレンジック)の基本。証拠保全とタイムライン再構成
注意
ATT&CKは検知・防御の改善という防御側の目的のための知識ベースです。攻撃手法の検証やレッドチーム演習を行う場合は、必ず自分が管理する環境、または書面で許可された対象に限って実施してください。許可のない第三者のシステムへのアクセスや攻撃の検証は、不正アクセス禁止法をはじめとする法令に抵触します。
導入の進め方
いきなり全戦術・全技術を扱おうとすると挫折します。次のように範囲を絞って始めるのが現実的です。
- 1
参照する版とマトリクスを固定する
Enterpriseマトリクスを基本とし、参照する版(例: v19.1)を社内で明記します。版を混在させないことが、後の議論のぶれを防ぎます。
- 2
想定する脅威アクターを絞る
自組織の業種や資産から、現実に狙われやすい攻撃グループや手口を1つか2つ選びます。すべてを相手にしようとしないことが続けるコツです。
- 3
関係する技術だけを抽出する
選んだ脅威に関係する技術をマトリクスから抜き出し、優先的に向き合う対象を絞り込みます。
- 4
現状の検知をマッピングする
既存の検知ルールやログを、抽出した技術に対応づけてカバレッジを可視化します。Navigatorでヒートマップ化すると共有しやすくなります。
- 5
穴を埋め、定期的に見直す
検知の穴のうち優先度の高いものから対策します。半年ごとの版更新に合わせて、技術の追加・統廃合を点検します。
よくある質問
ATT&CKとサイバーキルチェーンは何が違いますか
全技術を検知できる状態を目指すべきですか
古い版を参照していたら何を確認すべきですか
技術IDの暗記は必要ですか
まとめ
MITRE ATT&CKは、断片的な攻撃情報を戦術と技術という共通言語で整理し、検知・防御の抜けを可視化するための地図です。網羅率を競う道具ではなく、自組織に関係する脅威の優先順位づけに使ってこそ価値が出ます。版による構成変化を前提に、参照する版を明示して運用してください。
ATT&CK活用チェックリスト
- 参照する版とマトリクス(Enterprise等)を社内で明示しているか
- 戦術(目的)と技術(手段)の区別をチームで共有できているか
- 想定する脅威アクターを絞り、関係する技術を抽出できているか
- 既存の検知のカバレッジを可視化し、優先度の高い穴から埋めているか
- 半年ごとの版更新に合わせ、技術の追加・統廃合とID意味の変化を点検しているか
- 攻撃手法の検証は、自分が管理する環境または許可された対象に限定しているか
関連記事として、攻撃が観測される前段の話題は あわせて読みたい ゼロデイ脆弱性とは。検知が難しい攻撃にどう備えるか あわせて読みたい ログからの侵害調査(フォレンジック)の基本。証拠保全とタイムライン再構成
出典・参考
関連する記事
ゼロデイ脆弱性とは。検知が難しい攻撃にどう備えるか
修正プログラムが存在しない状態で悪用されるゼロデイ脆弱性について、なぜ防ぎにくいのかを原理から解説し、多層防御・仮想パッチ・迅速なパッチ運用という実務的な備え方を具体的な判断基準まで掘り下げます。
ログからの侵害調査(フォレンジック)の基本。証拠保全とタイムライン再構成
インシデント発生後の侵害調査を、証拠保全・揮発性の順序・タイムライン再構成・痕跡の読み方という観点から原理ごと整理します。後で証拠にならない調査を避けるための実務の判断基準を具体的に示します。
DDoS攻撃とは。ボリューム型・プロトコル型・アプリ層の仕組みと、CDN/WAF/緩和サービスによる対策
DDoS攻撃を帯域を溢れさせるボリューム型、コネクション資源を狙うプロトコル型、正常に見えるアプリ層の3種に分けて原理から解説し、CDN・WAF・専用の緩和サービスをどう使い分けるかを運用目線で整理します。