攻撃キルチェーンと MITRE ATTACK の体系

攻撃を「点」でなく「流れ」で捉える

侵入は一発で完結しません。攻撃者は偵察し、足がかりを得て、内部を探り、権限を上げ、横移動し、最終的に目的（データ窃取・破壊・恒久的支配）を達成します。この一連の段階を明示的なモデルにしたのが**キルチェーン（Kill Chain）**です。元は軍事の用語で、「鎖（chain）はどこか一輪でも断てば全体が止まる」という発想が核にあります。守る側にとっての含意は明快で、攻撃の全段階を完璧に防げなくても、どこか一段階を確実に検知・遮断できれば攻撃は未達に終わります。

代表的なのが Lockheed Martin の **Cyber Kill Chain（7段階）**です。

Reconnaissance（偵察）→ Weaponization（武器化）→ Delivery（配送）
→ Exploitation（攻略）→ Installation（インストール）
→ Command & Control（C2 確立）→ Actions on Objectives（目的達成）

この線形モデルは「防御を前段ほど安く・確実に潰したい」という直感を与えます。たとえば配送（Delivery）段階でマルウェア添付メールを止めれば、その後の全段階は発生しません。一方で実際の侵害は一方向に進むとは限らず、内部で偵察と横移動を何度も往復します。そこで段階を線でなく領域の集合として捉え直したのが MITRE ATTACK です。

MITRE ATTACK：戦術と技術のマトリクス

MITRE ATTACK（Adversarial Tactics, Techniques, and Common Knowledge）は、実際に観測された攻撃を体系化した知識ベースです。キルチェーンが「段階の流れ」を表すのに対し、ATTACK は二層構造で攻撃を整理します。

• Tactic（戦術）＝なぜ：攻撃者がその時点で達成したい目的。Initial Access（初期侵入）、Privilege Escalation（権限昇格）、Lateral Movement（横移動）、Exfiltration（持ち出し）など、Enterprise 版では十数個の戦術が「列」として並びます。
• Technique（技術）＝どうやって：その戦術を達成する具体的手口。各 Tactic 列の下にぶら下がる「行」で、T1566（Phishing）のような ID が付きます。さらに細分化した Sub-technique（例 T1566.001 添付ファイル経由）もあります。
• Procedure（手順）＝実装の実例：特定の攻撃グループ／マルウェアが、その Technique を実際にどう使ったかという観測事例。

この「戦術の列 × 技術の行」を一覧にしたものが ATTACK Matrix です。重要なのは、戦術が目的の分類であって時系列の順序ではない点です。攻撃者は Lateral Movement と Privilege Escalation を行き来し、同じ Discovery を何度も繰り返します。だからマトリクスは「順に進む手順書」ではなく「観測されうる手口の地図」として読みます。

両者は競合せず補完します。キルチェーンで「どの段階を断つか」という大局を描き、ATTACK で「その段階に出現する具体的手口」を Technique ID 単位で特定する、という使い分けが実務的です。

TTP に基づく検知設計

検知の対象には大きく二種類あります。**IOC（Indicator of Compromise＝侵害の痕跡）**と **TTP（Tactics, Techniques, and Procedures＝手口）**です。この違いを理解することが、ATTACK を実務で活かす鍵になります。

• IOC：特定の悪性 IP・ドメイン・ファイルハッシュなど、個別の値。マッチすれば即座に分かるが、攻撃者が値を一つ変えるだけで無力化します（ハッシュは再ビルドで、IP はサーバー乗り換えで簡単に変わる）。
• TTP：「PowerShell を符号化して実行する」「正規の rundll32 で DLL を実行する」といった行動パターン。値ではなくやり口なので、攻撃者にとって変更コストが高く、検知が長持ちします。

この「変えやすさ」の差を直感的に示したのが Pyramid of Pain（David Bianco）です。ピラミッドの底（ハッシュ値）ほど攻撃者は痛みなく変更でき、頂点（TTP）ほど変更が困難で、そこを検知されると攻撃者は手口そのものの再設計を強いられます。ATTACK が狙うのはこの頂点です。

        ┌──────────────┐  ← 変更が最も困難（検知の価値・大）
        │     TTP      │
        ├──────────────┤
        │ ツール       │
        ├──────────────┤
        │ 通信先・経路 │
        ├──────────────┤
        │ ドメイン名   │
        ├──────────────┤
        │ IP アドレス  │
        ├──────────────┤
        │ ハッシュ値   │  ← 変更が容易（検知の価値・小）
        └──────────────┘

実装上は、Technique ごとに検知ルールを対応づけます。たとえば T1059.001（PowerShell 実行）なら、エンドポイントのプロセス起動ログとコマンドライン引数を監視し、難読化や疑わしい親子関係を捉える、という具合です。そして自社の検知ルールを ATTACK のマトリクス上に塗ると、**カバレッジ（防御の網羅度）**が可視化されます。色が塗られていない Technique が「検知の空白」であり、優先的に埋めるべき投資先です。これを可視化するのが MITRE 提供の ATTACK Navigator です。

Red・Blue・Purple Team の役割

TTP ベースの検知は「作って終わり」では機能しません。実際に攻撃手口を再現して、検知が発火するかを確かめるループが要ります。この役割分担が Red／Blue／Purple です。

• Red Team（攻撃側）：攻撃者の視点で実際に侵入を試み、防御をすり抜けて目的達成を狙います。脆弱性の指摘にとどまらず「最悪どこまで到達できるか」を実証する点で、ペネトレーションテスト と地続きですが、Red Team はより長期・隠密に、特定のシナリオ（例：機密データの持ち出し）の完遂を目指します。
• Blue Team（防御側）：監視・検知・対応を担う運用チーム。SIEM やログ分析で異常を捉え、インシデントに対処します。ATTACK マトリクスを検知設計の地図として使うのは主に Blue です。
• Purple Team（協調）：Red と Blue を突き合わせる営み。Red が T1003（資格情報ダンプ）を実行 → Blue の検知が発火したかを即座に確認 → 発火しなければルールを修正、というフィードバックを回します。Purple は固定の組織というより「Red と Blue が同じ机で結果を共有する運用形態」を指すことが多いです。

この連携を、毎回の大規模演習でなく継続的・自動的に回すのが Atomic Red Team などのツールです。個々の Technique を小さなテスト（atomic test）として安全に実行し、検知が発火するかを反復確認します。さらに脅威情報から実在グループの手口を組み立て、現実の攻撃を模倣するのが Threat-informed Defense の考え方です。攻撃の連鎖を断つ思想は、横移動や権限昇格を前提に内部を信頼しない ゼロトラスト や、配送経路そのものを狙う サプライチェーン攻撃 への備えとも噛み合います。

まとめ

攻撃を点でなく流れで捉えるのがキルチェーン、その流れに現れる具体的手口を地図化したのが MITRE ATTACK です。ATTACK は戦術（なぜ）と技術（どうやって）の二層で攻撃を整理し、T1566 のような ID で共通語彙を与えます。検知設計では、変えやすい IOC でなく変えにくい TTP に重心を置くと長持ちし、マトリクス上でカバレッジを可視化することで投資すべき空白が見えてきます。

そして検知は机上で完成しません。Red Team が手口を再現し、Blue Team が検知を整え、Purple がその二つを突き合わせて穴を埋める——この反復が、地図を実効性のある防御へ変えます。横移動を前提とする ゼロトラスト や サプライチェーン攻撃 への対策と合わせ、攻撃の連鎖をどこかで確実に断つ設計を目指しましょう。