脅威リサーチ

MITREのSightings Reportがサイバー攻撃の主な手口を解説

投稿者 Douglas Jose Pereira dos Santos | 2022年3月31日

攻撃者が進化し攻撃が高度化していることは、サイバーセキュリティ業界では常識となっています。これに伴い、標的となる個人や組織の損害や損失も確実に増大しています。現在のところ、組織ではあらゆる脅威に対する防御ができないため、セキュリティ従事者によるスマートで革新的な対応の需要が高まっています。しかし、攻撃者が展開するあらゆる攻撃TTP(戦術、技術および手順)から保護しようとすると、ほとんどの企業にとっては莫大なコストがかかり、保守が困難になります。

おそらく最大の問題は規模でしょう。これまでに370以上の攻撃技術が確認されていますが、およそ四半期ごとに新たな技術が現れ、実行されています。防衛システムやセキュリティ専門家が、最新の攻撃技術を把握し続け、適切かつタイムリーに対策を講じることは困難と言えるでしょう。潜在的な攻撃の範囲や規模を絞り込むことが、防御の最前線として非常に重要であると言えます。幸いなことに、最新のレポート「2021 ATT&CK Sightings Report」が「これらの攻撃技術のうち、対応準備の優先順位が高い技術はどれか?」という問題を扱っているので、助けとなることでしょう。

Sightings Reportは、MITRE EngenuityのCenter for Threat-Informed Defense(Center)が、フォーティネットのFortiGuard Labsや他のいくつかのCenterの参加者と連携して行った調査プロジェクトに基づいています。リサーチャーたちが、MITRE ATT&CK® フレームワークを使用して、28ヵ月以上(2019年4月1日~2021年7月31日)にわたり収集した100万件以上の攻撃を分析し、状況に応じて実行可能な脅威インテリジェンスを提供し、攻撃者の悪質なビジネスを解説しています。

この脅威インテリジェンスレポートでは、サイバー攻撃者が最も頻繁に使用しているTTPを把握できるようになっています。「高解像度」の可視性により、セキュリティ専門家も自分たちが直面する可能性が最も高い脅威を特定することができます。これにより、どんなセキュリティテクノロジーをどこに展開するかなど、防御の優先順位を素早く設定したり微調整したりすることができるようになります。

Sightings Reportの調査では、「攻撃者が使用する技術、時間の経過に伴う使用方法の変化、攻撃者による技術の順序付け方法など、攻撃者にありがちな行動イメージ」が示されています。防御者はこの情報を活用して、サイバー脅威の最新情報のトップ記事だけでなく、自分たちにとって最も目にする可能性の高いものに対して、脅威情報に基づいた防御を作成することができるようになります。

非常に役立つ重要情報

調査データの中で最も重要な情報は、全攻撃の90%において、6種の戦術にまたがる15種類の攻撃技術しかないということです。コーパス全体としては、14の戦術にまたがる370種類以上の攻撃技術があると考えられていますが、そこから最も起こり得る脅威が大幅に絞り込まれるので、この情報は非常に有益と言えます。

MITRE ATT&CKフレームワークは、あらゆるタイプのサイバー攻撃をマッピングしたり対応したりするための事実上の業界標準となっています。これを活用して、さまざまなソースから集められたグローバルな脅威データを分析し、現状に則した攻撃に照らし合わせることで、防御者は攻撃サイクルに対するコストを調整できるようになります。すべての技術とそれぞれの防御を検証するにはコストと時間が非常にかかります。しかし、これからはそうするのではなく、防御者は特定の技術に優先順位を置いて防御策を構築し、その一方で、レッドチームには、新しい戦略を試しながら新たな技術を実装する取組みを集中的に行ってもらうことができるようになります。

上位の戦術

全攻撃の90%を占める6つの戦術を詳しく見ると、さらに役立つ情報が明らかになります。このうち5つの戦術には防御回避(defensive evasion)が含まれています。防御回避には、セキュリティ欠陥を悪用して、検知を回避させることなどが挙げられます。レポートでは、こうした戦術を詳細に分析して、攻撃者のセキュリティホール回避方法に関する重要な洞察を示しています。これにより、防御者は類似した防御の弱点を認識して、欠陥を効果的に解消することができるようになります。また、攻撃者が自分たちの企てを巧妙に隠すために、ATT&CKマトリクスのどの部分に重きを置いているのかを特定することもできるようになります。

防御回避の次に一般的な戦術としては権限昇格(privilege escalation)が挙げられます。これについては、今日のほとんどの企業システムが権限分離を使用して保護されていることから多くの人が頷けることでしょう。この情報は、セキュリティチームが社内業務を評価して修正するのに役立ちます。たとえば、メールや閲覧などの基本的なタスクに対して管理者ユーザーの権限レベルを使用する場合などは修正が必要になります。侵害されたユーザーが権限を持っていなければ、攻撃者はシステムを乗っ取りにくくなります。

要はテクニック

レポートで確認されている特定のテクニック(攻撃技術、攻撃テクニック)の多くは、「自給自足で生きること(環境寄生)」に重点を置いています。つまり、システム上に既に存在する正規のシステム、ツール、機能を使用して、注意を引くことなくデバイスやネットワークを移動するということです。T1053(スケジュールタスク / ジョブ)は、これらの技術の中で最も一般的なものであり、確認されている技術の24%以上を占めています。続いて、コマンドおよびスクリプトインタープリター(T1059)が15.77%を占めています。これらの技術は、Linux、Windows、macOSといった主要プラットフォームを攻撃することに使われます。その他の技術の組み合わせは11%未満になっています。

ゼロトラスト戦略は、これらの技術に対する防御において重要な役割を担うことができます。これもレポートの引用です。「攻撃者は正規ユーザーになりすまそうとします。そのため、しっかりとした基準を作成して権限を制限することが、攻撃者の行動を検知して阻止できる鍵となります。」

攻撃者が正規ユーザーになりすまそうとしていることは、TTPに関するグローバルデータから明らかであり、この情報を活用することで、防御者はシステムを効果的に整えて強化する上で優位に立つことができます。一般的なエンドユーザーの行動や企業が承認したアプリケーションに対してしっかりとした基準がなく、さらに、ポリシーに基づいてシステムやリソースへのアクセスを制限できなければ、「普通」の動作を装った脅威を検知したり減災したりすることはほぼ不可能です。

幸いなことに、これらの脅威に対する最適な防御方法は、防御者自身で見出せなくても問題ありません。このレポートでは、オープンソースツールやインテリジェンスで脅威を検知して阻止する方法や、積極的な脅威ハンティングを促進する上で一般的に使用される技術に関する詳細な洞察も紹介されています。これは、サイバー防御者が攻撃の影響を軽減するために実行できる最も効果的な行動の1つとなります。

ローコスト / ハイリターンのインテリジェンス

Centerではレポートを活用しながら、防衛行動を優先的に実施する上で幅広く使用できる有益な最新インテリジェンスをサイバーセキュリティコミュニティに提供しています。そして、それはコストを抑えつつ高い効果を実現します。Centerが具体的な洞察やアドバイスを提供するので、サイバー防御者は、キュレーションされた精度の高いデータを使用して、脅威情報に基づく防御を構築できるようになります。

セキュリティは皆の責任です。組織の安全性が高まるほど、インターネットやデジタル経済もさらに安定して予測可能なものになります。これがすべての人にとっての成功なのです。

フォーティネットは、20年以上にわたりサイバーセキュリティの革新と研究の最前線にいます。当社はCenterとともにSightingsの調査プロジェクトに参加して、専門知識を活かすことができることを誇りに思っています。

詳細については、レポートを参照するか、インフォグラフィックをご覧ください。