<セキュリティ監視超入門> サルでもわかるMITRE ATT&CK！空き巣対策で実践してみた

こんにちは。今回は、MITRE ATT&CKについて、ちょっと変わった切り口で解説します。なんと、空き巣対策に応用してみます！一見関係なさそうですが、意外と共通点がありました。

MITRE ATT&CKとは

MITRE ATT&CKは、サイバー攻撃の実例を分析し、攻撃者の戦術や技術を体系的にまとめた知識ベースです。これまでに観測された数多くのサイバー攻撃のデータを集約し、攻撃者の一連の行動を tactics（戦術）、techniques（技術）、procedures（手順）の観点から整理しています。

この知識ベースは、政府機関や民間企業、セキュリティベンダーなどに広く活用されており、サイバー脅威への対抗策を検討する上での共通言語となっています。MITREは、サイバー防御に関わるコミュニティを結集し、ATT&CKをオープンかつ無償で提供することで、サイバーセキュリティの向上に貢献しているのです。

ATT&CKでは、攻撃者の行動を可視化するためのフレームワークとして、「ATT&CK Matrix」が提供されています。これは、攻撃の各フェーズで用いられる代表的な手口を一覧できる表形式の マトリクスで、攻撃者の視点で全体像を俯瞰できるのが特徴です。攻撃のライフサイクル全体をカバーしており、防御側が脅威に対処する上で、どの段階でどのような対策が必要かを検討するのに役立ちます。 

見たことある人多いと思いますが、こんなやつです↓

想定した空き巣シナリオ

その日は突然やってきました・・・

発見日時
2023/08/10 19:31

発見者
じぶん

被害状況

仕事を終えた被害者が帰宅すると…

• 玄関とバルコニーの窓が空いていた
• カバンに入れていた財布が無くなった
• 部屋が散らかっていた

MITRE ATT&CKを活用した対策

Step1: 脅威情報の収集

対策の第一歩は、適切な情報収集から始まります。私は早速、警察の発表や地域のニュースをチェック。するとやはり、近隣エリアで同様の空き巣被害が頻発しているようでした。

またSNSでも関連する書き込みを探してみました。もちろん、うわさ話レベルの情報も混じっているため、そのまま鵜呑みにはできません。ですが、パターンの似た被害が多数報告されているのは事実。手口の傾向が逆に浮き彫りになるなど、意外と有益な情報が得られたのです。

Step2: 攻撃手法の分析

こうして集めた情報をもとに、犯人像や犯行手口の推測を進めました。情報の断片をつなぎ合わせ、全体像を組み立てていくイメージです。現場の状況証拠から導き出される犯人の行動は、以下のようなものでした。

1. バルコニーから侵入されていました。
• 1階から2階にあるバルコニーに脚立が立てかけれたままになっていました。
• 窓ガラスが室内に飛散していました。
• この事から推測するに、犯人はバルコニーの窓を外から割って侵入しているようです。
  
2. 部屋中が荒らされ、手当たり次第に物色された形跡
• 部屋にはクローゼットやタンス、ベッドなどいろんな所に収納できる場所がありますが、ほとんど開いた状態で、中の物も引っ張り出された状態になっていました。
• どこかを狙っていたという事ではなく、手あたり次第に金目の物を探していたようです。
  
3. 玄関が内側から開けられ、そこから立ち去ったらしい
• いつもは玄関の鍵を閉めて外出しますが、帰ってきたら鍵が開いた状態になっていました。バルコニーから侵入したことを考えると、玄関から出て行ったようです。
  

この一連の流れは、MITRE ATT&CKの考え方に通じるものがあります。サイバー攻撃でも、偵察→侵入→探索→目的実行→痕跡の隠蔽といったプロセスを踏むことが多いのです。攻撃者の視点で行動をとらえ直すことで、その狙いや次の一手が見えてくる。これこそがATT&CKのエッセンスだといえるでしょう。

Step3: エミュレーション

次に私は、実際に空き巣犯の立場に立って、被害状況の再現を試みました。いわゆる「エミュレーション」です。サイバー空間でもよく用いられる手法で、疑似的な攻撃環境を用意し、本番さながらの攻撃挙動を観察するものです。

私の場合は、我が家の周囲を歩き回り、犯人目線で侵入ルートを探ってみました。窓の脆弱性や不審者の痕跡など、普段は見落としがちなポイントが、次々と目に留まります。

加えて、バルコニーでの出来事を想像し、行動を再現してみました。音の聞こえ方や、割れた窓の状況など、細部まで観察します。すると、いくつもの気づきが得られました。

1. 脚立を立てる時や窓を割る時に大きな音がする
   
   
   
2. 窓が割れると部屋にガラスが飛散する
   
   
   
3. 部屋の収納を物色するには、引き出しを開ける必要がある
   
   
   
4. 玄関は内鍵を開けないと出られないし、庭には足跡が残る
   
   

その場に自分を置いて追体験することで、見えてくるものがあります。サイバー攻撃でも同じで、実際の環境を使った疑似訓練は、対策に直結する学びの宝庫となります。

Step3: 具体的な対策の実施

最後は、これまでの分析と気づきをもとに、具体策を練っていきます。攻撃者の一つ一つの行動に対し、どう防御・検知・対処するかを整理します。

例えば今回のケースでは、以下のような対策が考えられました。

1. 脚立の設置や窓の破壊を検知する
• 侵入される際、脚立が設置されその時に音がします。また、窓が割られる時にも音がするので、音感知センサーを設置し、その音を検知します。
• 窓については、破壊されたことをセンサーで検知できるので、より確実に検知する為にガラス破壊センサーを設置します。
  
2. 引き出しやドアの開閉を検知する
• 今回は財布が盗まれました。財布は部屋のクローゼットの引き出しに入れられているので、その引き出しへセンサーを付けます。
• 財布を盗んだ後は玄関から逃げているようなので、玄関ドアも同様にセンサーで開閉を検知します。
  
3. 足跡を検知する
• 収集した情報によると、犯人は同じ足跡を残しているようです。シート型のセンサーで同じ足跡を検知します。

ただし現実には、生活音との区別や誤検知など、課題も多いのが事実です。大切なのは、単発の兆候に振り回されるのではなく、複数の兆候を組み合わせて総合的に判断すること。MITRE ATT&CK はマトリクスで複眼的に脅威を可視化できるのが大きな武器になります。

では、実際にどうやって検知するか？ですが、ちょっとその前に・・・

Pyramid of Pain(痛みのピラミッド) 

攻撃者の痕跡を段階的に整理したもので、下位レイヤーの一時的な兆候より、上位レイヤーの本質的な行動パターンを抑えた方が、攻撃者にとって痛みが大きく、より効果的な対策につながるというものです。

2013 年、セキュリティ専門家の David J. Bianco は攻撃者が残す痕跡 (Indicator、インジケータ) を 6 種類に分類しました。これらの痕跡に防御側が対策した場合、攻撃者に与えられるダメージはそれぞれに異なります。Bianco は攻撃者にとって対策されても痛みの小さいものから大きいものに並べ、Pyramid of Pain (痛みのピラミッド) として公開しました 

このピラミッドの下部 3 層「(ファイル) ハッシュ値」、「IP アドレス」、「ドメインネーム」は IoC  (Indicator of Compromise、侵害の痕跡) としてよく共有されています。これらの痕跡は実際の攻撃で使用されたものであることが多く、機械的に処理しやすいデータ構造をもつことから、自動検出/防御に利用すれば大きな効果を発揮できます。しかしこれら IoC に含まれる内容は攻撃者が簡単に変更できるので、防御側が与えられる「痛み」はあまり大きくありません。

一方、ピラミッドの上部 3 層は攻撃者や脅威のふるまいに関するものです。ふるまいは簡単には変えられないため、防御側に対応されてしまうと攻撃者にとっては非常に「痛み」が大きくなります。つまり攻撃者のふるまいを学び、迅速に対応することで組織の防衛力を高めることができるのです。 

引用：https://www.paloaltonetworks.com/blog/2019/07/threat-intelligence-for-robust-organization/?lang=ja

 

話は戻りまして、どうやって検知するかですが、「とりあえず全部検知」はえらいことなります。今回、対策としていくつか挙げましたが、全てを検知し対応しようと思うと、とても大変だし、当たり前ですが、足跡はクツを変えたら変わります。

今回のケースだと、①②を順番に検知した後に、③を検知したらアラートを上げます。なぜか？

私たちの生活の中では、窓の近くで物音がしたり、引き出しの開け閉めをすることは、ごく日常的に起こり得ます。例えば、窓のそばで誰かがものを落としたり、引き出しから物を取り出したりする際の音。こうした単発の事象だけでは、本当に危険な事態なのか判断が難しいです。

その点、「バルコニーの物音」「窓の破損」「引き出しの開閉」が連続して起きた場合、単なる偶然や見間違いではなく、空き巣の可能性が格段に高まります。普段はバラバラに発生する事象が、まるでストーリーのようにつながっており、この一連の流れは空き巣犯の典型的な行動パターンといえます。

これは、サイバー攻撃でもよく見られる特徴です。攻撃者は、複数の手口を巧妙に組み合わせ、段階的に侵入を試みます。例えば、

1. 偵察活動で脆弱性を探る
2. マルウェアに感染させ、システム内に潜伏する
3. 不正アクセスを繰り返し、機密情報を盗み出す

こうした一連の動きを、断片的な痕跡から推し量ります。MITRE ATT&CKのマトリクスは、攻撃者の行動連鎖を可視化し、複眼的に脅威を捉えるのに役立ちます。

したがって、空き巣対策でもサイバー防御でも、大切なのは個々の事象を機械的に検知するだけでなく、それらを有機的に結びつけ、文脈から真の危険を見抜く力だといえます。

その意味で、「バルコニーの物音」「窓の破損」の後に「引き出しの開閉」をセットで検知するのは、日常生活の中で起こるノイズに惑わされることなく、本物の脅威に素早く気づく事ができるので、アラートを出すタイミングも的確で、被害の早期発見・対処にもつながります。

まとめ

サイバー攻撃と空き巣。一見、別物に思えて、実は共通項が多いのです。その根底にあるのは、相手の行動や心理を先回りし、セキュリティホールを封じる知恵。MITRE ATT&CKは、そのエッセンスを凝縮した人類の叡智の結晶だといえるでしょう。

ポイントは、以下の4ステップ。

1. 脅威情報の収集と分析で攻撃の全容をつかむ
2. 攻撃者の視点で状況をエミュレーションする
3. 各段階の攻撃に合わせ、具体的な対策を検討・実行する
4. 断片的な事象より、攻撃者の本質的な行動パターンを重視する

今回は身近な空き巣被害を題材に解説しましたが、サイバー空間でも基本的な考え方は共通します。ぜひ、皆さんの組織のセキュリティ対策にも、MITRE ATT&CKの知見を活かしてみてください。

目まぐるしく変化するサイバー脅威に立ち向かうには、攻撃者の一歩先を読む想像力と、それを自らのものにする創造力が欠かせません。MITRE ATT&CKを道しるべに、全方位からリスクに備える。そんな多角的なアプローチこそが、これからのセキュリティ人材には求められています。

Try Harder！

さいごに

MITREではいろいろな便利ツールや情報を提供してくれています。

• 脅威アクターで使用される技術やツールの情報を確認できる
• https://attack.mitre.org/groups/
• 脅威アクターの攻撃手法をマトリクスにマッピングして可視化してくれる
• https://mitre-attack.github.io/attack-navigator/
• サイバーセキュリティ製品が脅威に対してどれだけ効果的に対応できるかを評価した情報を提供してくれる
• https://attackevals.mitre-engenuity.org/results/enterprise/

あと、MITREの資格もあります。

• MITRE ATT&CK DEFENDER™ (MAD)
• https://mad20.io/

お時間あれば見てみてください。