攻撃者の手口を“地図”にするMITRE ATT&CK完全入門
攻撃には“型”がある。世界中の実際の攻撃から抽出された、攻撃者の戦術・技術のナレッジベース「MITRE ATT&CK」を、防御者の共通言語として日本語で学びます。連載の第1回は、全体像・3階層・14の戦術・脅威ベース防御の使い方を総ざらい。柱A(DFIR)の各記事を貫く“技術の背骨”です。
📋 連載 第1回の目次
「攻撃者は、いったい何を・どんな順番でやってくるのか?」——この問いに、世界中の防御者が同じ言葉で答えられるようにしたのが MITRE ATT&CK(マイター・アタック)です。実際に観測された攻撃から「手口(TTP)」を抽出し、誰もが参照できる巨大な“攻撃の地図”として整理したもの。これがあるおかげで、脅威情報・検知ルール・インシデント報告がバラバラの言葉ではなく、共通の座標で噛み合うようになりました。この連載では、ATT&CKを日本語で基礎から実践まで体系的に学びます。第1回は全体像。これはDFIR完全ロードマップで扱ってきた検知・調査・対応のすべてを束ねる“背骨”になります。
全6回の地図・各回へのリンク・目的別の読み方(初学者/検知エンジニア/IR担当…)は、▶ 連載インデックス(総まとめ)はこちら。
ATT&CKは攻撃手口のカタログですが、その目的は「攻撃を理解して、検知し、防ぐ」こと——すなわち防御者(青チーム)のための知識体系です。本連載も、自組織を守り、許可された範囲で検証・訓練することを前提に解説します。学んだ知識を実際の攻撃に使えば犯罪です。攻撃者の思考をなぞるのは、あくまで「相手を知れば、より良く守れる」から。その一線を、常に意識しておきましょう。
🎯 MITRE ATT&CKとは? 攻撃の“共通言語”
個別のIPやハッシュではなく、「攻撃者の振る舞い」を体系化する。それが発想の転換です。
ATT&CK=実際の攻撃から作られた、戦術・技術のナレッジベース
MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)は、米国の非営利組織MITREが公開する、「現実の攻撃で観測された手口」を体系化した無料のナレッジベースです。攻撃を戦術(Tactics)・技術(Techniques)として整理し、どの攻撃グループが・どんなソフトウェアで・どの手口を使うかまで、世界中の観測に基づいてカタログ化されています。企業向け(Enterprise)の最新版では、14の戦術・200を超える技術・475以上のサブ技術が収録されています。
ATT&CKが生まれたのは2013年。MITREの研究者が実際の攻撃を観測するなかで、「攻撃者の振る舞いを、誰もが同じ言葉で記述できないか」と取り組んだのが出発点でした。だから収録されているのは机上の空論ではなく、現実に観測された手口だけです。対象範囲も広がり、いまでは企業ITを扱うEnterpriseに加え、スマートフォンのMobile、工場や重要インフラの制御システムを対象にしたICSという3つのマトリクスがあります。しかも全体が完全に無料で公開され、世界中のコミュニティの貢献で毎年更新され続けている——これが、特定の製品やベンダーに縛られない“中立の共通言語”であり続けられる理由です。
ATT&CKの革命的な点は、「攻撃者の“振る舞い”に注目した」ことです。従来の防御は、悪性IPアドレスやファイルのハッシュ値といったIOC(痕跡指標)に頼りがちでした。けれど、IPやハッシュは攻撃者が簡単に変えられます。一方、「フィッシングで侵入し、PowerShellで実行し、認証情報を盗んで横展開する」といった手口(TTP)の“流れ”は、そう簡単には変えられません。ATT&CKは、この変えにくい振る舞いの層で攻撃を捉えることで、より本質的で、しぶとい防御を可能にします。
具体例で考えてみましょう。ある攻撃で使われたサーバーのIPアドレスをブロックしても、攻撃者は別のIPに乗り換えるだけ。マルウェアのハッシュ値でブロックしても、ファイルを少し変えれば別物になります。数分から数時間で回避されてしまう。ところが「フィッシングで侵入し、PowerShellで実行する」という手口そのものを検知できれば、攻撃者はIPやファイルを変えるくらいでは突破できません。手口を変えるには、攻撃の組み立てごと作り直す必要があり、コストが跳ね上がるからです。「変えやすいもの」ではなく「変えにくいもの」で捉える——これがATT&CKの戦い方の核心です。
「共通言語」であることの価値
あるレポートが「T1566 フィッシング」と書けば、世界中の誰もが同じ手口を思い浮かべられます。脅威インテリジェンス、検知ルール(Sigmaのtags)、レッドチームの演習、インシデント報告——すべてが同じ座標系で語られることで、知見が組織や国境を越えて噛み合うのです。これが、ATT&CKが世界標準になった理由です。
そして、この共通言語を日本語で、体系立てて学べる場は、まだ多くありません。海外の一次情報は豊富でも、戦術ごとの実践と日本語の解説がそろった入口は希少です。本連載は、そこを埋めるために書いています。攻撃を“地図”として捉える視点が身につけば、日々目にするニュースやインシデント報告も、「これはどの戦術の話か」と構造的に読めるようになります。難しく見えるATT&CKも、入口さえ押さえれば、あなたの防御を一段引き上げる強力な相棒になります。
🧩 3階層:戦術 → 技術 → サブ技術
ATT&CKは「なぜ → どうやって → 具体的に」の3段で攻撃を表現します。
ATT&CKを読み解く鍵は、3つの階層です。これは「攻撃者は何のために(戦術)、どうやって(技術)、具体的にどんな方法で(サブ技術)それを行うのか」という、目的から手段への“ズームイン”の構造になっています。
🔬 攻撃を3階層で表す(実行 → PowerShell の例)
なぜ、わざわざ3階層に分けるのでしょうか。それは、相手や場面に応じて“話す粒度”を選べるからです。経営層への報告なら「実行(戦術)を許してしまった」と大きく語れば十分。検知エンジニアどうしなら「T1059.001(PowerShell)だ」と最小単位まで詰める。同じ攻撃を、同じ言葉の体系の中で、ズームイン・ズームアウトしながら語れる——この“縮尺を変えられる地図”という性質が、ATT&CKを現場でも会議室でも使える共通言語にしています。
ATT&CKには「背番号(ID)」が振られていて、これを覚えると一気にプロっぽくなります。戦術は TA0002、技術は T1059、サブ技術は T1059.001 のように表記します。この番号は、検知ルールや脅威レポートで世界共通のタグとして使われます。
▲ Sigma検知ルールの tags にこのIDを書くだけで、「この検知は、どの攻撃手口に対応しているか」が世界共通の言葉で表せます。
さらにATT&CKには、技術以外にも豊富な“辞書”が紐づいています。グループ(Groups)=実在の攻撃者集団がどの技術を使うか、ソフトウェア(Software)=マルウェアやツール、緩和策(Mitigations)=技術ごとの防御策、データソース/検知=何を見れば気づけるか。だからATT&CKは、単なる手口の一覧ではなく、「攻撃を知り、守りに変換する」ための巨大な相互リンク集なのです。
この相互リンクの便利さは、実際に使うと一気に実感できます。たとえば、ある攻撃グループ(APT)のページを開くと、「この集団は初期アクセスにフィッシング(T1566)、実行にPowerShell(T1059.001)を多用する」というように、使用技術がずらりと並んでいます。逆に、ひとつの技術のページを開けば、「この手口を使う攻撃グループ・マルウェアの一覧」と「推奨される緩和策・検知方法」がまとめて手に入る。つまり、気になる脅威から手口へ、手口から具体的な対策へと、数クリックでたどれるのです。これは“読む百科事典”ではなく、“引いて使う実務ツール”。この使い勝手こそが、ATT&CKが世界中の現場に根づいた理由のひとつです。
🗺 14の戦術:攻撃の“ストーリー”を追う
戦術を順に並べると、攻撃者が侵入から目的達成までたどる“物語”が見えてきます。
企業向けATT&CKの14の戦術は、おおむね攻撃が進む順に並んでいます(必ずしも一直線ではありませんが、“物語”として捉えると理解しやすい)。偵察に始まり、侵入し、住みつき、内部を探って広がり、最後に目的(情報窃取や破壊)を遂げる——この大きな流れを、5つの段階に束ねて見てみましょう。
🎬 14戦術を5つの段階で(攻撃のライフサイクル)
この5つの段階は、防御側にとっては「どこを見れば気づけるか」のチェックポイントでもあります。①準備の兆候は外からは見えにくいものの、②侵入はメールやログイン記録に、③定着は自動起動やサービスの変更に、④拡大は認証ログや内部の通信に、⑤目的は外向き通信の急増やC2の兆候に——というように、段階ごとに“見るべきログ”が変わります。ATT&CKは各技術に「データソース(何を観測すれば検知できるか)」まで示してくれるので、監視設計の“逆引き表”としても使えます。「この手口に気づくには、どのログが要るのか?」がはっきりする。これは闇雲にログを集めるのではなく、“意味のあるログ”を狙って取るための、強力な指針になります。
この流れ、どこかで見た覚えはありませんか。そう、インシデント対応プレイブックで見たランサムウェアやBECの“侵入の物語”そのものです。ATT&CKは、その物語の各場面に世界共通のラベルを貼ってくれます。そして当サイトの各記事は、まさにこの戦術のどこかを守るための実践でした。
| 戦術(段階) | 攻撃者の狙い | 関連する当サイトの記事 |
|---|---|---|
| 偵察・初期アクセス | 標的を調べ、フィッシング等で侵入 | OSINT / AIフィッシング |
| 実行・永続化 | コードを動かし、住みつく | マルウェア確認 / Velociraptorでハント |
| 探索・横展開 | 内部を調べ、感染を広げる | Windowsアーティファクト |
| C2・持ち出し | 遠隔操作し、データを送出 | C2通信の追跡 / Wiresharkで解析 |
| (横断)検知 | 各段階を“見つける” | Sigma検知ルール / SIEM |
裏を返せば、当サイトの実務記事はどれも「攻撃の地図のどこか」を守るための実践だった、ということです。バラバラに読んでいた記事が、ATT&CKという背骨を通すと一本につながる。「この記事は、攻撃のどの段階を守る話だったのか」を意識して読み直すと、知識が立体的に組み上がっていきます。これが、この連載でATT&CKを“背骨”に据える狙いです。
🛡 防御者はどう使う? 脅威ベース防御
ATT&CKは“読む”ものではなく“使う”もの。守りに変える4つの代表的な使い方です。
ATT&CKの真価は、攻撃カタログを「自分たちの守りの設計図」に変えるところにあります。これを脅威ベース(脅威情報に基づく)防御と呼びます。実務での使い方は、大きく次の4つです。
脅威モデリング
自組織を狙いそうな攻撃グループが使う技術を洗い出し、「うちは何に備えるべきか」を攻撃者目線で先回りして考える。
ギャップ分析(検知の穴)
「どの技術なら検知できて、どこが手薄か」を地図上で塗り分ける。穴を可視化し、埋める優先順位をつける。
敵対者エミュレーション
実際の攻撃手口を(許可された環境で)再現し、防御が本当に効くかをテスト。レッド/パープルチームの土台。
インシデント対応
観測した挙動をATT&CKにマッピングし、「次に何が来るか」を予測。調査と封じ込めを加速する。
これら4つの使い方に共通するのは、「すべてを均等に守ろうとしない」という発想です。攻撃の手口は膨大ですが、自組織にとって現実的な脅威・頻出の手口は限られます。脅威情報から「自分たちが本当に直面しうる技術」を見極め、そこへ検知と対策を集中投下する——これが脅威ベース防御の核心です。やみくもな“もぐら叩き”から、データに基づく“狙い撃ち”へ。限られた人手と予算で守りを最大化する、もっとも現実的な戦い方だといえます。
しかも、この使い方は一度きりで終わりません。脅威モデリングで「備えるべき手口」を洗い出し → ギャップ分析で「検知の穴」を見つけ → エミュレーションで「本当に効くか」を試し → インシデントで得た学びを次のモデリングに還元する。ATT&CKを共通の物差しにすると、この「守りを少しずつ賢くしていく循環」が回り始めます。守りは作って終わりではなく、育てるもの。その“成長の記録帳”としても、ATT&CKは機能します。
ATT&CK Navigator ——「塗り絵」で守りを可視化する
MITREが無料公開するATT&CK Navigatorは、戦術・技術のマトリクス(一覧表)の上で、技術を色分けできるWebツールです。「検知できている技術=緑」「手薄=赤」と塗れば、組織の防御カバレッジが一目で分かるヒートマップになります。さらに、複数の攻撃グループが使う技術を重ねれば、「最も多くの脅威に共通する=優先して塞ぐべき技術」が浮かび上がります。Sigmaのルール群をATT&CKにマッピングすれば、「自分たちの検知が地図のどこを覆っているか」が見えるようになります。
当サイトの実践記事は、すべて“地図上のどこか”
Velociraptorで特定技術の痕跡を全台ハントするのは「検知・調査」、ペネトレーションテストは「敵対者エミュレーション」、脅威インテリジェンスは「脅威モデリング」の材料——というように、これまで学んだ実践は、すべてATT&CKという地図の上に位置づけられます。背骨が通ると、点だった知識が骨格になります。
🔬 実践:1つの攻撃をATT&CKで地図化する
抽象論はここまで。実際のランサムウェア攻撃を、ATT&CKの“座標”に置いてみましょう。
典型的なランサムウェア攻撃を、ATT&CKの戦術・技術にマッピングすると、こうなります。バラバラの出来事が、一本の手口の連鎖として読めるようになります。
初期アクセス:フィッシングメール(T1566)
偽の添付ファイルやリンクで侵入の足がかりを得る。AIで巧妙化した手口も増加中。
実行:PowerShell(T1059.001)
マクロやスクリプトで悪性コードを起動。第2回以降で深掘りする“実行”の典型。
永続化・防御回避(T1547 / T1562)
自動起動に登録して住みつき、セキュリティ機能を無効化して身を隠す。
認証情報アクセス・横展開(T1003 / T1021)
パスワードを盗み、他の端末へ感染を広げる。被害が“面”に拡大する局面。
持ち出し・影響(T1041 / T1486)
データを外部へ送出(二重恐喝)し、最後にファイルを暗号化(Impact)。通信解析で持ち出しを捉えられる。
こうして地図化できると、「今どの段階にいて、次に何が来るか」を予測できるようになります。たとえば③永続化の痕跡が見えた時点で、次に来る④認証情報アクセスを警戒し、認証ログの監視を厚くする——といった先回りの対応が可能になる。事後の調査でも、観測できた断片をATT&CKに当てはめれば、攻撃の全体像と“まだ見えていない部分”が浮かび上がります。「ここまで来ているなら、おそらくこの痕跡も残っているはず」と当たりをつけられる。これが、攻撃を共通言語で語ることの、実戦的な威力です。
「ペイン・ピラミッド」——TTPで戦うと、攻撃者がいちばん痛い
有名な「痛みのピラミッド(Pyramid of Pain)」という考え方があります。攻撃者にとって、ハッシュ値やIPアドレスを変えるのは一瞬。でも、手口(TTP)そのものを変えるのは非常に難しい。だから、IOCを追うだけでなくATT&CKの技術レベルで検知・防御するほど、攻撃者に大きな“痛み”を与え、しぶとく守れます。これがATT&CKを学ぶ、最大の実利です。
よくある落とし穴が、「全技術をカバーすれば安全」という発想です。マトリクスは網羅的に見えますが、すべてのマスを埋めること自体が目的ではありません。技術は年々増え続け、100%カバーは現実的でも有効でもない。本当に大切なのは、自組織に関係の深い手口を見極め、優先順位をつけて検知を“育てる”ことです。地図はゴールではなく、判断を助ける道具。塗りつぶした達成感ではなく、実際に攻撃を止められるかで評価しましょう。カバレッジの数字は手段であって、目的ではありません。「広く薄く」より「狙って厚く」が、現場では効きます。
🧭 連載ロードマップ:戦術別に深掘り
第1回は地図の全体像。次回からは、戦術を1つずつ“歩いて”いきます。
この連載は、ATT&CKの14戦術を順に深掘りしていく予定です。各回で「攻撃者は具体的にどんな技術を使うのか」「防御側は何を見れば気づけるのか(検知)」「どう防ぐか(緩和策)」を、当サイトの実践記事と結びつけながら解説します。第1回(本記事)を“地図”として、次回からは“現地踏査”へ。
| 回 | テーマ(予定) | 扱う主な戦術 |
|---|---|---|
| 第1回 | 総論:ATT&CKの全体像(本記事) | 14戦術ぜんぶ |
| 第2回 | 侵入の入口:初期アクセス編 | 偵察・初期アクセス |
| 第3回 | 動かす・住みつく:実行・永続化編 | 実行・永続化 |
| 第4回 | 隠れる・奪う:防御回避・認証情報編 | 防御回避・権限昇格・認証情報アクセス |
| 第5回 | 広がる:探索・横展開編 | 探索・横展開 |
| 第6回 | 仕上げ:C2・持ち出し・影響編 | 収集・C2・持ち出し・影響 |
なぜ、わざわざ“戦術別”に分けて学ぶのでしょうか。それは、14戦術をいっぺんに覚えるのは無理でも、1つの戦術なら「攻撃者の具体的な手口 → 残る痕跡 → 検知 → 対策」を最後まで追いきれるからです。1戦術ずつ“縦に”理解を貫いていけば、知識は確実に積み上がります。焦らず、地図を1区画ずつ歩いていきましょう。次回・第2回は、攻撃者が最初の足がかりを得る「初期アクセス」から。フィッシングや公開サーバーの脆弱性悪用など、“入口”の手口と、その防ぎ方・気づき方を掘り下げる予定です。
📚 用語集・FAQ・次に読む
つまずきやすい用語と、よくある疑問をまとめました。
ここまでに登場した言葉の“答え合わせ”として、用語集とFAQを用意しました。ATT&CKは巨大ですが、「戦術・技術・サブ技術の3階層」と「TTPで考える」——この2つさえ掴めば、もう迷子にはなりません。
📖 用語集
| 用語 | 意味 |
|---|---|
| MITRE ATT&CK | 実際の攻撃から抽出した、戦術・技術のナレッジベース。攻撃の“共通言語”。 |
| 戦術(Tactic) | 攻撃者の目的=「なぜ」。例:実行、永続化、持ち出し。TAxxxx。 |
| 技術(Technique) | 目的を達する手段=「どうやって」。Txxxx。サブ技術は Txxxx.yyy。 |
| TTP | 戦術・技術・手順の総称。攻撃者の“振る舞い”を指す。 |
| マトリクス | 戦術を列、技術を行に並べた一覧表。ATT&CKの全体像を表す。 |
| Navigator | マトリクスを色分け・注釈できる公式の無料Webツール。カバレッジ可視化に。 |
| グループ(Group) | 実在の攻撃者集団。使う技術やソフトがATT&CKに紐づく。 |
| 緩和策(Mitigation) | 各技術に対する防御策。設定強化や監視のヒント。 |
| ペイン・ピラミッド | 攻撃者が変えにくい指標ほど検知価値が高い、という考え方。頂点がTTP。 |
| 脅威ベース防御 | 実際の脅威の手口に基づいて、守りを設計・検証する考え方。 |
| キャンペーン(Campaign) | 特定の期間・目的で行われた一連の攻撃活動。関与したグループや技術が紐づく。 |
| データソース | 技術を検知するために観測すべきログ・情報源(プロセス生成、認証ログ等)。 |
| IOC(痕跡指標) | IPやハッシュなど、攻撃の“跡”を示す指標。変えやすく、単体では限界がある。 |
| D3FEND | ATT&CKの“裏返し”で、防御技術を体系化したMITREのナレッジベース。 |
❓ よくある質問(FAQ)
ATT&CKは、ぜんぶ覚えないといけませんか?
いいえ。200を超える技術を暗記する必要はありません。大切なのは「3階層の構造」と「使い方(地図として引く)」を理解すること。実務では、必要なときに公式サイトで該当技術を引き、説明・検知・緩和策を読みます。辞書を“引ける”ようになれば十分です。
サイバーキルチェーンとは何が違うのですか?
ロッキード・マーティンのサイバーキルチェーンは、攻撃を7段階の大きな流れで捉えるモデル。ATT&CKは、その各段階を具体的な技術レベルまで細かくカタログ化したものです。「キルチェーン=攻撃の大きな筋書き」「ATT&CK=各場面の詳細な技の辞典」と捉えると、補完関係が見えてきます。
中小企業や個人でも役に立ちますか?
はい。すべての技術に対策する必要はなく、「自分たちに関係の深い、よくある手口」から優先的に守ればよいのです。ATT&CK Navigatorで“よく使われる技術”を把握し、フィッシング対策や多要素認証、ログ取得など効果の高いものから着手する——という現実的な使い方ができます。
攻撃手口を学ぶこと自体、危なくないですか?
ATT&CKは攻撃の“やり方の手順書”ではなく、「どんな手口が存在し、どう検知・防御するか」を整理した防御者向けの知識体系です。相手を知ることは、守りの基本。ただし学んだ知識は、必ず自分が管理・許可された環境でのみ使ってください。無断で他者のシステムに使えば犯罪です。
Sigmaやログ分析と、どうつながりますか?
ATT&CKは「何を検知すべきか(手口)」を示し、Sigmaは「それをどう検知するか(ルール)」を書き、SIEMやVelociraptorが「実際に探す」。ATT&CKが地図、Sigmaが検知ルール、ツールが現場の足——という分業で、ひとつの防御が組み上がります。
「グループ」や「ソフトウェア」の情報は、何の役に立ちますか?
自組織を狙いそうな攻撃グループを調べ、その集団が使う技術を洗い出せば、「自分たちが優先して備えるべき手口」が具体的に見えてきます。ATT&CK Navigatorで複数グループの技術を重ねると、共通して多用される“鉄板の手口”が浮かび上がり、検知・対策の優先順位づけに直結します。脅威インテリジェンスとATT&CKは、こうしてつながるのです。
ATT&CKを学べば、それだけで攻撃を防げますか?
いいえ。ATT&CKはあくまで“地図”であって、防御そのものではありません。価値が出るのは、地図を実際の行動に変えたときです——Sigmaで検知ルールを書く、SIEMでログを見る、プレイブックで対応する。本連載で戦術別に深掘りしながら、地図と実践のあいだを何度も往復していきましょう。
🧭 次に読む
🎯 攻撃を知る材料
📚 参考・出典(一次情報)
- MITRE ATT&CK 公式(attack.mitre.org)— Tactics / Techniques / Groups / Mitigations / Data Sources
- MITRE ATT&CK Navigator(mitre-attack.github.io/attack-navigator)
- MITRE Engenuity Center for Threat-Informed Defense(脅威ベース防御の実践知)
- David J. Bianco「The Pyramid of Pain」(痛みのピラミッド)
- MITRE D3FEND(ATT&CKに対応する防御技術のナレッジベース)/Lockheed Martin Cyber Kill Chain
コメント