MITRE ATT&CK 日本語完全連載
全6回・総まとめ
攻撃者の手口を“地図”にするMITRE ATT&CK。その14の戦術を、防御者の視点で日本語で一周する全6回の連載を、ここに束ねました。どこから読むべきか、各回で何が学べるか、そして連載全体を貫く防御の考え方まで——このページを入口に、攻撃の全行程を歩いてください。
📋 このページの目次
「攻撃者は、何を・どんな順番でやってくるのか?」——この問いに、世界中の防御者が同じ言葉で答えられるようにした“攻撃の地図”が MITRE ATT&CK です。本連載は、その地図に描かれた14の戦術を、偵察から最終的な被害(ランサムウェア暗号化)まで、順を追って全6回で深掘りしたもの。各回およそ1万字、すべて防御者(青チーム)の視点で、検知と対策に落とし込めるよう日本語で解説しています。このインデックスページは、連載全体の“入口”であり“地図の索引”です。まずは全体像をつかみ、必要な回へ進んでください。
本連載で扱う攻撃手口の知識は、すべて「攻撃を理解し、検知し、防ぐ」ための防御者向けの教育です。攻撃の手順書ではありません。各回とも、悪用コードや攻撃ツールの操作手順は扱わず、「どんな痕跡が残り、どう検知し、どう守るか」に徹しています。学んだ知識は、必ず自分が管理する、または正式に許可された環境での防御・検証にのみ使ってください。他者のシステムへ無断で使えば犯罪です。相手を知るのは、あくまで“より良く守る”ためにあります。
🧭 この連載について:なぜ“地図”を日本語で
攻撃の手口を共通の言葉で捉える——その地図を、日本語で体系的に歩く連載です。
MITRE ATT&CK(マイター・アタック)は、米国の非営利組織MITREが公開する、「現実の攻撃で観測された手口」を体系化した無料のナレッジベースです。攻撃を戦術(なぜ)・技術(どうやって)・サブ技術(具体的に)の3階層で整理し、世界中の防御者の“共通言語”として使われています。悪性IPやファイルのハッシュといった「変えやすい指標」ではなく、攻撃者の「変えにくい振る舞い(TTP)」で捉えるのが、その革命的な点でした。
なぜ「連載」なのか——14戦術は、1本では歩ききれない
ATT&CKの企業向けマトリクスには、14の戦術・200を超える技術が収められています。これを1記事で扱えば、どうしても“用語の一覧”で終わってしまう。そこで本連載では、攻撃が進む順に戦術を区切り、1回ごとに「攻撃者の具体的な手口 → 残る痕跡 → 検知 → 対策」を最後まで追える構成にしました。総論(第1回)で地図の全体像をつかみ、第2回以降で“現地踏査”へ。各回が独立して読めて、通して読むと攻撃の全貌が一本につながる——そんな設計です。
ATT&CKが生まれたのは2013年。MITREの研究者が、実際に観測された攻撃を「誰もが同じ言葉で記述できないか」と取り組んだのが始まりです。だから収録されているのは机上の空論ではなく、現実に観測された手口だけ。いまでは企業IT向けのEnterpriseに加え、モバイルや産業制御システム(ICS)のマトリクスもあり、すべて無料で公開され、世界中のコミュニティの貢献で毎年更新され続けています。特定のベンダーに縛られない“中立の共通言語”であり続けられるのは、この成り立ちゆえです。
なぜ「振る舞い」で見ることが、それほど重要なのでしょうか。攻撃者にとって、悪性IPアドレスやファイルのハッシュ値を変えるのは一瞬です。しかし「フィッシングで侵入し、PowerShellで実行し、認証情報を盗んで横展開する」という手口の“流れ”そのものは、そう簡単には変えられません。だから、この変えにくい層で攻撃を捉えるほど、防御はしぶとくなる——これがATT&CKの根底にある発想であり、本連載が全6回を通じて一貫して大切にしている視点です。
この連載が想定している読者は、セキュリティの実務担当者や青チーム、そしてこれから本格的に学ぶ人です。専門用語はできるだけ噛み砕き、身近なたとえを交えていますが、内容は実務で使えるレベルまで踏み込んでいます。「攻撃の全体像を体系的につかみたい」「ニュースの攻撃報道を構造的に理解したい」「自組織の検知・対策を見直したい」——そんな方に、地図として役立つはずです。
そして、この連載が目指したもうひとつのこと。それは「日本語で、体系立てて学べる入口」を作ることです。ATT&CKの一次情報は豊富ですが、戦術ごとの実践と日本語の解説がそろった連載は、まだ多くありません。攻撃を“地図”として捉える視点が身につけば、日々のニュースやインシデント報告も「これはどの戦術の話か」と構造的に読めるようになります。この連載は、DFIR・デジタルフォレンジック完全ロードマップで扱う検知・調査・対応のすべてを束ねる“技術の背骨”として位置づけています。
ATT&CKとよく比較されるのが、ロッキード・マーティンの「サイバーキルチェーン」です。キルチェーンが攻撃を7段階の大きな流れで捉えるのに対し、ATT&CKはその各段階を具体的な技術レベルまで細かくカタログ化したもの。「キルチェーン=攻撃の大きな筋書き」「ATT&CK=各場面の詳細な技の辞典」と捉えると、両者は補い合う関係にあります。本連載は、より実務の検知・対策に踏み込めるATT&CKを軸に据えています。
🗺 攻撃の全行程と連載の地図
14戦術を5つの段階に束ねると、攻撃の“物語”と、連載で歩く道のりが見えてきます。
攻撃は、ある日突然すべてが起きるのではなく、いくつもの段階を踏んで進みます。14の戦術を大きく「準備・侵入 → 定着 → 潜伏・準備 → 拡大 → 結末」の5段階に束ねると、攻撃者の物語と、本連載で歩く道のりが一枚に収まります。下の図が、その全行程です。
🧭 攻撃の全行程(5段階・14戦術)と、連載のマッピング
この図が示す大切なことは2つあります。ひとつは、攻撃は1本の連鎖だということ。入口を突破され、住みつかれ、隠れて鍵を奪われ、組織内に広がり、最後に被害が出る——各回はこの物語の各場面を扱っています。もうひとつは、防御の機会も、その全段階にあるということ。どこか1か所で断ち切れれば、攻撃は次へ進めません。そして一般に、左側(入口)で止めるほど被害もコストも小さい。この連載は、各段階で「どこに網を張れるか」を一緒に考えていく旅でもあります。
言葉だけでは抽象的なので、典型的なランサムウェア攻撃を例に、連載のどの回が攻撃のどの場面を扱うのかを、一本の物語としてたどってみましょう。バラバラに見える手口が、ひとつの連鎖としてつながります。
偽メールで侵入(初期アクセス)
フィッシングの添付や、公開機器の脆弱性から最初の足がかりを得る。→ 第2回
コードを動かし、住みつく(実行・永続化)
PowerShellを起動し、自動起動に登録して再起動でも消えないようにする。→ 第3回
身を隠し、合鍵を奪う(防御回避・認証情報)
ログを消し、LSASSからパスワードやハッシュを盗む。→ 第4回
組織内に広がる(探索・横展開)
内部を調べ、奪った鍵でRDPやSMBを使い、端末から端末へ。ドメイン掌握をめざす。→ 第5回
盗み、暗号化する(C2・持ち出し・影響)
遠隔操作でデータを持ち出し、バックアップを消して一斉暗号化する。→ 第6回
この流れの“地図の見方”を教えてくれるのが、第1回・総論です。物語の各場面に世界共通のラベル(戦術・技術のID)を貼れるようになると、防御の議論が一気に噛み合います。そして同じ物語を“守る側”から読めば、各場面はそのまま検知のチャンスに変わります——②なら自動起動の監視、③ならLSASSアクセスの検知、④なら認証ログの相関、⑤なら出口の通信監視。攻撃の地図は、そのまま防御の設計図になるのです。
ちなみに、ここで5段階に束ねたのは理解のための簡略化で、実際のATT&CKでは14の戦術がもう少し細かく分かれています(収集やリソース開発など)。本連載では、関連の深い戦術をまとめて各回で扱うことで、攻撃の“物語”として追いやすくしました。厳密な分類は第1回と公式サイトで確認できますが、まずは大きな流れをつかむことを優先してください。
📖 全6回・各回ガイド
各回のテーマ・扱う戦術・学べることを一覧に。気になる回から、どうぞ。
ここからが連載の本体です。第1回の総論を地図として、第2回以降が攻撃の進行順に並んでいます。各カードの「学べること」を見て、関心のある回へ進んでください。順番に読めば、攻撃の全行程と防御の全体像が、無理なく身につきます。
各回は共通の作りになっています。冒頭で前回からの“つながり”を確認し、本編で戦術を深掘りし、最後に検知ルール(Sigmaの例)や対策チェックリスト、用語集とFAQで締める——という流れです。だから途中から読んでも迷子になりませんし、通読すれば知識が階段状に積み上がります。各回に図解(SVG)・比較表・実際の検知コードを入れているので、「読む」だけでなく「手を動かす」ところまで橋渡しできるはずです。
MITRE ATT&CK 完全入門
ATT&CKとは何か、3階層(戦術・技術・サブ技術)、14戦術の全体像、そして「脅威ベース防御」での使い方とNavigator。まずはこの“地図”から。
総論を読む →偵察と初期アクセス編
攻撃の“入口”。偵察(外からの調査)と、フィッシング・公開脆弱性・RDP/VPNなどの侵入口。MFA・パッチ・ASMで入口を固める。
第2回を読む →実行と永続化編
侵入後にコードを動かす「実行」と、再起動でも消えず住みつく「永続化」。PowerShell・LOLBins・ファイルレス、自動起動の棚卸しとSysmon。
第3回を読む →防御回避と認証情報アクセス編
検知を逃れる「防御回避」と、合鍵を奪う「認証情報アクセス」。難読化・ログ消去・LSASS窃取・Pass-the-Hash。ログ集中管理が要。
第4回を読む →探索と横展開編
内部地図を描く「探索」と、1台から全体へ広がる「横展開」。RDP・SMB・PsExec。ネットワーク分離と認証ログ相関で食い止める。
第5回を読む →C2・持ち出し・影響編
攻撃の“結末”。遠隔操作(C2)、データ窃取(持ち出し)、ランサム暗号化(影響)。出口監視・ビーコン検知・守り抜くバックアップ。総まとめ付き。
最終回を読む →6回すべてがお互いにリンクし合っており、どの回からでも前後の文脈にたどれます。とはいえ、初めての方は第1回・総論から順に読むのが、いちばん理解が深まります。「地図の全体像 → 各場面の踏査」という流れが、自然に頭に入るからです。
なお、6枚のカードの色は、攻撃の進行に合わせて寒色(入口)から暖色(結末)へと移ろうように並べています。第1回(総論)の落ち着いたティールから、第6回(最終回)の警告色の赤まで。色をたどるだけでも、攻撃がどう深まっていくのかの“温度感”が伝わるはずです。気負わず、まずは1枚、気になる回を開いてみてください。
🧭 どこから読む? 目的別ルート
立場や目的によって、最短の読み方は変わります。あなたに合うルートを選んでください。
連載は通読がいちばんですが、「いま知りたいこと」がはっきりしているなら、そこへ最短でたどる読み方もあります。代表的な目的別のおすすめルートをまとめました。
読み方に「正解」はありません。大切なのは、自分の目的に合った入口から始め、必要に応じて他の回へ広げていくこと。たとえばニュースで「ランサムウェアがVPNから侵入し、横展開して暗号化した」と知ったら、第2回(VPN=入口)→第5回(横展開)→第6回(暗号化)と読めば、その事件を構造的に理解できます。連載は、そんな“事件を読み解く辞書”としても使えます。
| こんな人・目的 | おすすめの読み方 |
|---|---|
| はじめてATT&CKを学ぶ | 第1回 → 第2回 → … → 第6回 を順に通読 |
| ランサムウェア対策を知りたい | 第1回(全体像)→ 第2回(入口)→ 第6回(結末)→ 第4回(認証情報) |
| フィッシング・入口を固めたい | 第2回を中心に、第1回で全体像を補う |
| 検知ルールを作りたい(検知エンジニア) | 各回のSigma例+Sigma検知ルール入門 |
| インシデント対応の担当 | 第3回〜第6回(痕跡と対応)+IRプレイブック |
| 管理・意思決定層 | 第1回+各回の「防御の実践」セクションを拾い読み |
もしあなたが組織のセキュリティ強化を任されているなら、まず第2回(入口)と第6回(結末)の2回を押さえることをおすすめします。攻撃の“入口”と“出口”——この両端を固めることが、費用対効果のうえでもっとも効きやすいからです。その上で、間の第3〜5回で「侵入されたあと、いかに気づき、広げさせないか」という内部の備えを深めていく、という順序が実務的です。
時間がないなら——まずは第1回+自分の関心の1回
全6回・約6万字ですから、一度に読みきる必要はありません。おすすめは、まず第1回・総論で“地図”の見方を覚え、次にいま自組織で気になっている1段階の回を選んで深掘りすること。そこで得た視点で、また別の回へ。地図は、必要なときに必要な区画を歩けばいいのです。各回は独立して読めるよう書かれています。
🦴 連載を貫く「防御の背骨」5原則
6回を通じて繰り返し現れた考え方。どの戦術にも効く、防御の土台です。
個々の戦術や手口は多彩ですが、連載全体を通して繰り返し現れた“考え方”があります。それを5つに束ねると、14戦術すべてに通用する「防御の背骨」になります。細かな手口を忘れても、この5つさえ押さえておけば、新しい脅威にも応用が利きます。
言い換えれば、これは「何から手をつけるべきか迷ったときの、判断の軸」でもあります。個別の対策に追われる前に、まずこの5つの問い——“振る舞いで見ているか/入口は固いか/ログは残るか/層は重なっているか/速く気づけるか”——を、自分の組織に当ててみてください。
TTPで見る
IPやファイルでなく、変えにくい“振る舞い”で捉える
入口を固める
MFA・パッチ・公開資産の棚卸しで、そもそも入らせない
ログを逃がす
取得し、消される前に外部へ。可視化が検知の前提
多層で守る
完璧な単一の盾はない。網を何重にも重ねる
早く気づく
左で止めるほど安い。検知と対応の速さが被害を分ける
この5原則は、特別な製品や予算がなくても、今日から意識できるものばかりです。たとえば「ログを逃がす」は、端末のログをクラウドや別サーバーへ転送するだけでも第一歩になります。連載の各回は、この背骨に“肉付け”をしていく具体策の集まり、と捉えてください。
この5原則が強いのは、新しい攻撃手口が登場しても応用が利くことです。攻撃のツールや流行は移り変わりますが、「振る舞いで見る」「入口を固める」「ログを逃がす」「多層で守る」「早く気づく」という土台は変わりません。細かな技術のIDをすべて暗記する必要はないのです。むしろ、この背骨を体に染み込ませ、新しい脅威に出会ったときに「これはどの段階の話で、どの原則で守れるか」と考えられること——それが、この連載を通じて身につけてほしい、いちばんの力です。
🛠 連載を実践に変える・関連リソース
地図は、歩いてこそ意味があります。読んだ知識を、実際の防御へ。
連載を読み終えたら(あるいは読みながら)、ぜひ知識を“行動”に変えてください。ATT&CKの真価は、攻撃カタログを「自分たちの守りの設計図」に変えるところにあります。その第一歩が、次の3ステップです。
ATT&CK Navigatorで“自社の地図”を塗る
MITREが無料公開するATT&CK Navigatorで、自組織が「どの戦術に備えられていて、どこが手薄か」を色分けしてみましょう(緑=検知できている/赤=手薄)。すると、防御のカバレッジが一目で分かるヒートマップになります。①Navigatorで現状を塗り分け → ②手薄な戦術を、本連載の該当回で深掘り → ③検知ルールと対策を1つずつ足す。この往復が、地図を実際の守りに変えていきます。
ATT&CKを守りに変える使い方は、大きく4つあります。①脅威モデリング(自組織を狙いそうな攻撃グループの手口を洗い出す)、②ギャップ分析(検知できている技術と手薄な技術を地図上で塗り分ける)、③敵対者エミュレーション(許可された環境で手口を再現し、防御が効くか試す)、④インシデント対応(観測した挙動をマッピングし、次の一手を予測する)。本連載は、この4つすべての土台になります。共通するのは「全部を均等に守ろうとしない」こと——自分たちにとって現実的な脅威へ、検知と対策を集中投下するのが、脅威ベース防御の核心です。
そして、連載で学んだ各戦術の“検知・調査・対応”を、実際の手で動かすための実践記事がそろっています。連載(攻撃の地図)と、これらの実践スポークを行き来することで、知識が血肉になります。全体の索引はDFIR・デジタルフォレンジック完全ロードマップへ。
🔗 本連載と、当サイトのDFIRクラスターの関係
🔬 検知をつくる
🔭 調査・狩りをする
🚑 備える・対応する
この連載を読み終えても、それだけで組織が安全になるわけではありません。ATT&CKはあくまで“地図”——価値が出るのは、地図を実際の行動に変えたときです。よくある落とし穴が、「全戦術をカバーしたか」をチェックリストのように埋めようとすること。技術は年々増え、100%カバーは現実的でも有効でもありません。大切なのは、自組織に関係の深い手口を見極め、優先順位をつけて検知と対策を“育てる”こと。読んで終わりにせず、1つでも実際の検知ルールや設定に落とし込む——そこではじめて、地図は防御力になります。
□ まず第1回・総論で“地図の見方”を覚える/□ 公式サイト(attack.mitre.org)で気になる技術を1つ開いて「説明・検知・緩和策」を読む/□ ATT&CK Navigatorで自社のカバレッジを塗り分けてみる/□ 手薄な戦術の回を深掘りし、検知ルールを1つ作る/□ インシデント対応の備えを用意し、机上演習で回す。まずは「1回読む・1技術調べる・1ルール作る」から。地図は、歩くほど手に馴染みます。
最後にひとつ。ATT&CKは“一度学んで終わり”の知識ではありません。毎年更新され、新しい攻撃手口が追加され続けます。だからこそ、公式サイトやJPCERT・IPAの注意喚起を時折のぞき、本連載で身につけた“地図の読み方”をアップデートしていきましょう。土台さえあれば、新しい情報も怖くありません。むしろ「これは、あの戦術の新しい技術だな」と、すっと位置づけられるようになります。それが、地図を持つ者の強みです。
📚 用語集・FAQ・出典
連載で繰り返し出てくる基本用語と、このまとめページへのよくある質問です。
最後に、連載全体で共通する基本用語と、読み方についてのFAQをまとめます。ここを押さえておくと、どの回もぐっと読みやすくなります。
なお、各回の末尾にも、その回に特化した用語集とFAQを用意しています。ここで挙げるのは、連載全体を通して何度も登場する“基礎の基礎”。この10語ほどを押さえておけば、どの回を開いても、用語でつまずくことはほとんどないはずです。
📖 連載・基本用語集
| 用語 | 意味 |
|---|---|
| MITRE ATT&CK | 実際の攻撃から抽出した、戦術・技術のナレッジベース。攻撃の“共通言語”。 |
| 戦術(Tactic) | 攻撃者の目的=「なぜ」。TAxxxx。全14種。 |
| 技術(Technique) | 目的を達する手段=「どうやって」。Txxxx。サブ技術は Txxxx.yyy。 |
| TTP | 戦術・技術・手順の総称。攻撃者の“振る舞い”を指す。 |
| ATT&CK Navigator | マトリクスを色分けできる公式の無料Webツール。カバレッジ可視化に。 |
| 脅威ベース防御 | 実際の脅威の手口に基づいて、守りを設計・検証する考え方。 |
| キルチェーン | 攻撃を大きな段階で捉えるモデル。ATT&CKは各段階を技術レベルで詳細化。 |
| ペイン・ピラミッド | 攻撃者が変えにくい指標ほど検知価値が高い、という考え方。頂点がTTP。 |
| IOC(痕跡指標) | IPやハッシュ等の“跡”。変えやすく、単体では限界がある。 |
| DFIR | デジタルフォレンジックとインシデント対応。連載の実務的な土台。 |
| マトリクス | 戦術を列・技術を行に並べた一覧表。ATT&CKの全体像を表す。 |
| LOLBins | OS標準の正規ツールを悪用する手口。検知が難しく、近年の主流。 |
| 多層防御 | 単一の対策に頼らず、予防・検知・対応の網を何重にも重ねる考え方。 |
❓ よくある質問(FAQ)
初心者ですが、この連載についていけますか?
はい。第1回・総論が、専門用語を避けて“地図の見方”からやさしく解説しています。各回も、身近なたとえ(泥棒の下見、勝手口、合鍵…)を交えて噛み砕いています。まずは第1回から、肩の力を抜いて読み始めてください。難しく感じた箇所は飛ばしても大丈夫です。
必ず第1回から順番に読むべきですか?
理想は順番ですが、各回は独立して読めるように書かれています。急ぐなら④の目的別ルートを参考に、関心のある回から読んでも構いません。ただし、はじめての方は第1回で全体像をつかんでおくと、どの回も格段に理解しやすくなります。
全部読むのに、どれくらいかかりますか?
全6回で約6万字、じっくり読んで合計2〜3時間程度が目安です。一度に読む必要はありません。1日1回ずつ、1週間で一周——くらいのペースが、知識の定着にはちょうど良いでしょう。
個人や中小企業でも役に立ちますか?
はい。すべての技術に対策する必要はなく、各回とも「自分たちに関係の深い、よくある手口から優先的に」という現実的な視点で書いています。MFA・パッチ・ログの外部保存・バックアップなど、低コストで効果の大きい対策を中心に紹介しています。
ATT&CKは更新されますが、この連載も古くなりませんか?
ATT&CKは毎年更新され、技術の番号や分類は変わることがあります。ただ、本連載が伝える「3階層の構造」「TTPで見る」「多層で守る」といった“考え方”は普遍的です。個別のID以上に、この骨組みを身につけることを重視しています。最新の技術詳細は、公式サイトと併用してください。
攻撃の手口を学ぶこと自体、問題ないのですか?
本連載は防御者向けの教育であり、攻撃の手順書ではありません。相手の手口を知らなければ、守りは設計できません。ただし、学んだ知識は必ず自分が管理する、または許可された環境での防御・検証にのみ使ってください。許可された検証はペネトレーションテストの枠組みで行います。
この連載と、ATT&CK公式サイトはどう使い分ければいい?
役割が違うので、併用がおすすめです。本連載は「日本語で、考え方と全体の流れを体系的に学ぶ」のに向いています。一方、公式サイト(attack.mitre.org)は「最新の技術詳細を辞書のように引く」のに最適です。まず連載で地図の読み方を身につけ、実務で具体的な技術を調べるときに公式を引く——この組み合わせが、いちばん効率的です。
📚 参考・出典(一次情報)
- MITRE ATT&CK 公式(attack.mitre.org)— Tactics / Techniques / Groups / Mitigations / Data Sources
- MITRE ATT&CK Navigator(mitre-attack.github.io/attack-navigator)/MITRE Engenuity Center for Threat-Informed Defense
- JPCERT/CC / IPA「情報セキュリティ10大脅威」/警察庁「サイバー空間をめぐる脅威の情勢等について」
- NIST SP 800-61(インシデント対応)・SP 800-207(ゼロトラスト)/CISA #StopRansomware
- David J. Bianco「The Pyramid of Pain」/Lockheed Martin Cyber Kill Chain/MITRE D3FEND
コメント