サイバーキルチェーンが攻撃の「段階」を示した大まかな地図なら、ATT&CKは、各段階で攻撃者が具体的にどのような「技術」を使うかを詳細に記した、戦術の百科事典だ。米国の非営利団体MITRE社が、現実の攻撃事例を分析して作り上げた。

MITRE ATT&CKとは

• Adversarial Tactics, Techniques, and Common Knowledgeの略。
• 観測されたサイバー攻撃者の行動を、「戦術」と「技術」の観点から分類し、巨大なマトリックスとして整理している。
• このフレームワークを使うことで、防御側は「自分たちの組織は、どの攻撃技術に対して脆弱か」「ある攻撃者グループは、どのような手口を好んで使うか」といったことを、共通の言語で議論・評価できる。

ATT&CKの基本構造

ATT&CKは、2つの主要な概念で構成される。

1. 戦術 (Tactics)
   • 攻撃者が達成したい「短期的な目的」を示す。キルチェーンの各フェーズに似ているが、より具体的だ。
   • 例えば、「初期アクセス」「実行」「潜伏」「権限昇格」「情報窃取」といった14の戦術（Enterprise Matrix v15時点）が定義されている。
2. 技術 (Techniques)
   • その戦術目的を達成するために、攻撃者が用いる「具体的な手段」。
   • 例えば、「初期アクセス」という戦術を達成するための技術として、「フィッシング」「有効なアカウントの悪用」「外部リモートサービスの悪用」といった、200以上の具体的な技術がリストアップされている。
   • さらに、各技術には、より詳細な「手順（Procedures）」として、特定の攻撃者グループが実際に使った手口の事例が記載されている。

キルチェーンとの違い

• キルチェーンは、攻撃の一連の流れ（プロセス）を大局的に捉える。
• ATT&CKは、その流れの各局面で「具体的に何が行われるのか」という、行動のディテールに焦点を当てる。

防御側は、ATT&CKのマトリックスと自社のセキュリティ対策を照らし合わせることで、「どの技術には対応できているが、どの技術には無防備か」といった網羅的な現状分析（ギャップ分析）が可能になる。敵の戦術を知り尽くすこと。それが、効果的な防御の第一歩だ。ATT&CKは、そのための最も強力な知識基盤だ。