MITRE ATT&CK® Techniques(技術)一覧
ATT&CK v16 Enterpriseで定義されている全攻撃テクニックの日本語解説一覧です。各Tactic(戦術)ごとに、所属するTechnique(技術)をID・名称・概要の表形式でまとめています。
- ATT&CK Techniquesとは
- Reconnaissance(偵察 / TA0043)
- Resource Development(リソース開発 / TA0042)
- Initial Access(初期アクセス / TA0001)
- Execution(実行 / TA0002)
- Persistence(永続化 / TA0003)
- Privilege Escalation(権限昇格 / TA0004)
- Defense Evasion(防御回避 / TA0005)
- Credential Access(認証情報アクセス / TA0006)
- Discovery(探索 / TA0007)
- Lateral Movement(横展開 / TA0008)
- Collection(収集 / TA0009)
- Command and Control(C2 / TA0011)
- Exfiltration(持ち出し / TA0010)
- Impact(影響 / TA0040)
- 関連ページ
ATT&CK Techniquesとは
MITRE ATT&CK®フレームワークにおけるTechnique(テクニック)とは、攻撃者が目的を達成するために使用する具体的な手法を体系化したものです。各テクニックは1つ以上のTactic(戦術)に紐づいており、「何を達成したいか(Tactic)」に対する「どうやって実現するか(Technique)」という関係になっています。
ATT&CK v16 Enterpriseでは、14のTacticにまたがる約200のトップレベルTechniqueと、さらに細分化された数百のSub-techniqueが定義されています。本ページでは、トップレベルのTechniqueを戦術ごとに一覧化しています。
免責事項: 本ページはMITRE ATT&CK®の内容を日本語で解説する非公式リファレンスです。正確な最新情報はMITRE ATT&CK公式サイトをご確認ください。MITRE ATT&CK® and ATT&CK® are registered trademarks of The MITRE Corporation.
Reconnaissance(偵察 / TA0043)
攻撃者が将来の作戦計画に利用できる情報を収集する手法です。ターゲット組織の技術的・組織的情報を能動的または受動的に偵察します。
| ID | テクニック名 | 概要 |
|---|---|---|
| T1595 | Active Scanning(能動的スキャン) | ターゲットのインフラを直接スキャンして脆弱性や設定情報を収集する |
| T1592 | Gather Victim Host Information(被害者ホスト情報の収集) | ターゲットのホスト情報(ハードウェア、ソフトウェア、設定等)を収集する |
| T1589 | Gather Victim Identity Information(被害者ID情報の収集) | メールアドレス、認証情報、従業員名など個人を特定する情報を収集する |
| T1590 | Gather Victim Network Information(被害者ネットワーク情報の収集) | ドメイン、IPアドレス範囲、ネットワーク構成などの情報を収集する |
| T1591 | Gather Victim Org Information(被害者組織情報の収集) | 組織構造、事業内容、物理拠点、取引関係などの情報を収集する |
| T1598 | Phishing for Information(情報収集フィッシング) | フィッシングメッセージを送り、攻撃計画に有用な機密情報を引き出す |
| T1597 | Search Closed Sources(非公開情報の検索) | ダークウェブや有料データベースなど非公開ソースからターゲット情報を検索する |
| T1596 | Search Open Technical Databases(公開技術DBの検索) | WHOIS、DNS、証明書透過性ログなどの公開技術DBからターゲット情報を収集する |
| T1593 | Search Open Websites/Domains(公開Webサイト/ドメインの検索) | SNS、求人サイト、公式サイトなどの公開情報からターゲット情報を収集する |
| T1594 | Search Victim-Owned Websites(被害者所有サイトの検索) | ターゲット組織が所有するWebサイトから有用な情報を収集する |
Resource Development(リソース開発 / TA0042)
攻撃者が作戦の支援に使用するリソース(インフラ、アカウント、ツール等)を確立する手法です。攻撃の準備段階として、自前の資産を構築したり、他者のリソースを侵害して利用します。
| ID | テクニック名 | 概要 |
|---|---|---|
| T1583 | Acquire Infrastructure(インフラの取得) | ドメイン、サーバー、VPS、ボットネットなど攻撃用インフラを購入・レンタルする |
| T1586 | Compromise Accounts(アカウントの侵害) | 既存のSNSアカウントやメールアカウントを侵害して攻撃に利用する |
| T1584 | Compromise Infrastructure(インフラの侵害) | 第三者のサーバー、ドメイン、ボットネットなどを侵害して攻撃インフラに転用する |
| T1587 | Develop Capabilities(攻撃能力の開発) | マルウェア、エクスプロイト、自己署名証明書などの攻撃ツールを自前で開発する |
| T1585 | Establish Accounts(アカウントの作成) | SNSアカウント、メールアカウント、クラウドアカウントを新規作成して攻撃に利用する |
| T1588 | Obtain Capabilities(攻撃能力の取得) | マルウェア、ツール、エクスプロイト、証明書、脆弱性情報を購入・ダウンロードする |
| T1608 | Stage Capabilities(攻撃能力の配置) | マルウェアやツールを攻撃インフラ上に配置し、攻撃実行の準備を整える |
Initial Access(初期アクセス / TA0001)
攻撃者がターゲットネットワークへの最初の足がかりを得る手法です。フィッシング、公開サービスの悪用、サプライチェーン攻撃など、さまざまなベクターが含まれます。
| ID | テクニック名 | 概要 |
|---|---|---|
| T1189 | Drive-by Compromise(ドライブバイ攻撃) | 正規Webサイトを改ざんし、閲覧者のブラウザ脆弱性を突いてアクセスを獲得する |
| T1190 | Exploit Public-Facing Application(公開アプリの悪用) | インターネット公開サービス(Web、VPN、メール等)の脆弱性を突いて侵入する |
| T1133 | External Remote Services(外部リモートサービス) | VPN、RDP、Citrixなどの正規リモートアクセスサービスを悪用して侵入する |
| T1200 | Hardware Additions(ハードウェア追加) | 悪意のあるUSBデバイスやネットワーク機器を物理的に接続してアクセスを獲得する |
| T1566 | Phishing(フィッシング) | 悪意のある添付ファイルやリンクを含むメッセージを送り、初期アクセスを獲得する |
| T1091 | Replication Through Removable Media(リムーバブルメディア経由の複製) | USBドライブなどのリムーバブルメディアにマルウェアをコピーして拡散する |
| T1195 | Supply Chain Compromise(サプライチェーン攻撃) | ソフトウェアやハードウェアのサプライチェーンを侵害し、配布経路経由で侵入する |
| T1199 | Trusted Relationship(信頼関係の悪用) | IT業者やMSPなど信頼された第三者のアクセス権を悪用して侵入する |
| T1078 | Valid Accounts(正規アカウントの悪用) | 漏洩・窃取した正規アカウントの認証情報を使って初期アクセスを獲得する |
| T1659 | Content Injection(コンテンツインジェクション) | 通信経路上でデータを改ざん・注入し、悪意のあるコンテンツを配信する |
Execution(実行 / TA0002)
攻撃者が悪意のあるコードを実行する手法です。コマンドラインインタプリタ、スクリプト言語、OSの正規機能などを悪用してペイロードを実行します。
| ID | テクニック名 | 概要 |
|---|---|---|
| T1059 | Command and Scripting Interpreter(コマンド&スクリプティングインタプリタ) | PowerShell、cmd、bash、Python等のインタプリタを悪用してコマンドを実行する |
| T1609 | Container Administration Command(コンテナ管理コマンド) | Docker exec、kubectl execなどのコンテナ管理コマンドを悪用してコードを実行する |
| T1610 | Deploy Container(コンテナのデプロイ) | 悪意のあるコンテナイメージをデプロイしてコード実行環境を構築する |
| T1203 | Exploitation for Client Execution(クライアント実行の悪用) | ブラウザ、Office、PDFリーダーなどクライアントアプリの脆弱性を突いてコードを実行する |
| T1559 | Inter-Process Communication(プロセス間通信) | COM、DDE、XPC等のプロセス間通信メカニズムを悪用してコードを実行する |
| T1106 | Native API(ネイティブAPI) | Windows API、Linux syscall等のOS固有APIを直接呼び出してコードを実行する |
| T1053 | Scheduled Task/Job(タスクスケジューラ/ジョブ) | cron、Windows Task Scheduler、atコマンド等でコードの定期実行を設定する |
| T1648 | Serverless Execution(サーバーレス実行) | AWS Lambda、Azure Functions等のサーバーレス環境でコードを実行する |
| T1129 | Shared Modules(共有モジュール) | DLLや共有ライブラリをロードしてコードを実行する |
| T1072 | Software Deployment Tools(ソフトウェア配布ツール) | SCCM、Ansible等の正規配布ツールを悪用してマルウェアを展開する |
| T1569 | System Services(システムサービス) | サービスコントロールマネージャやlaunchdを悪用してコードを実行する |
| T1204 | User Execution(ユーザー実行) | ユーザーを騙して悪意のあるリンクのクリックやファイルの実行を誘導する |
| T1047 | Windows Management Instrumentation(WMI) | WMIを悪用してリモートまたはローカルでコマンドやスクリプトを実行する |
| T1651 | Cloud Administration Command(クラウド管理コマンド) | クラウドプロバイダの管理APIやCLIを悪用して仮想マシン上でコードを実行する |
Persistence(永続化 / TA0003)
攻撃者がシステムへのアクセスを維持し、再起動やパスワード変更後もアクセスを失わないようにする手法です。
| ID | テクニック名 | 概要 |
|---|---|---|
| T1098 | Account Manipulation(アカウント操作) | 既存アカウントの権限変更、SSH鍵追加、MFA無効化などでアクセスを維持する |
| T1197 | BITS Jobs(BITSジョブ) | Windowsのバックグラウンド転送サービス(BITS)を悪用して永続的なコードを実行する |
| T1547 | Boot or Logon Autostart Execution(ブート/ログオン時の自動起動) | レジストリRun、スタートアップフォルダ、plist等にマルウェアを登録して自動起動させる |
| T1037 | Boot or Logon Initialization Scripts(ブート/ログオン初期化スクリプト) | ログオンスクリプト、rc.local、.bash_profileなどの初期化スクリプトにコードを挿入する |
| T1176 | Browser Extensions(ブラウザ拡張機能) | 悪意のあるブラウザ拡張機能をインストールして永続的にデータを窃取する |
| T1554 | Compromise Host Software Binary(ホストソフトウェアバイナリの改ざん) | sshd、systemd等の正規バイナリを改ざんして永続的なバックドアを設置する |
| T1136 | Create Account(アカウント作成) | 新しいローカル/ドメイン/クラウドアカウントを作成してアクセスを維持する |
| T1543 | Create or Modify System Process(システムプロセスの作成/変更) | Windowsサービス、systemdサービス、Launch Daemonを作成・変更して永続化する |
| T1546 | Event Triggered Execution(イベントトリガー実行) | WMIイベント、.bashrc、Windowsイベントログ等のトリガーでコードを自動実行させる |
| T1133 | External Remote Services(外部リモートサービス) | VPN、RDP等の外部リモートサービスのアクセス権を維持して再侵入に利用する |
| T1574 | Hijack Execution Flow(実行フローのハイジャック) | DLL検索順序、PATH変数、LD_PRELOADなどを悪用してコードの実行フローを乗っ取る |
| T1525 | Implant Internal Image(内部イメージへの埋め込み) | コンテナイメージやAMIにバックドアを埋め込み、デプロイ時に自動実行させる |
| T1556 | Modify Authentication Process(認証プロセスの変更) | PAM、LSA、パスワードフィルタなど認証プロセスを改ざんしてバックドアを設置する |
| T1137 | Office Application Startup(Officeアプリの起動時実行) | Officeテンプレート、アドイン、マクロなどを改ざんしてOffice起動時にコードを実行する |
| T1542 | Pre-OS Boot(OS起動前の改ざん) | ブートキット、UEFI改ざんなどOS起動前の段階にマルウェアを埋め込む |
| T1053 | Scheduled Task/Job(タスクスケジューラ/ジョブ) | cron、Windows Task Scheduler等でマルウェアの定期実行を設定して永続化する |
| T1505 | Server Software Component(サーバーソフトウェアコンポーネント) | Webシェル、IISモジュール、SQLストアドプロシージャなどサーバーコンポーネントにバックドアを設置する |
| T1205 | Traffic Signaling(トラフィックシグナリング) | 特定のネットワークパケット(ポートノッキング等)を受信した時にのみバックドアを起動する |
| T1078 | Valid Accounts(正規アカウントの悪用) | 窃取した正規アカウントを使い続けてアクセスを維持する |
| T1134 | Power Settings(電源設定) | スリープ・ハイバネーション設定を変更し、システムが常時稼働するようにして永続性を確保する |
Privilege Escalation(権限昇格 / TA0004)
攻撃者がシステムやネットワーク上でより高い権限を取得する手法です。初期アクセスで得た低権限から、管理者権限やSYSTEM権限への昇格を目指します。
| ID | テクニック名 | 概要 |
|---|---|---|
| T1548 | Abuse Elevation Control Mechanism(権限昇格制御の悪用) | UAC、sudo、setuidなどの権限昇格メカニズムを悪用して高権限を取得する |
| T1134 | Access Token Manipulation(アクセストークン操作) | Windowsアクセストークンを操作して別ユーザーやSYSTEMの権限でプロセスを実行する |
| T1098 | Account Manipulation(アカウント操作) | アカウントの権限やグループメンバーシップを変更して高権限を取得する |
| T1547 | Boot or Logon Autostart Execution(ブート/ログオン時の自動起動) | 管理者権限で動作する自動起動メカニズムにコードを登録して権限昇格する |
| T1037 | Boot or Logon Initialization Scripts(ブート/ログオン初期化スクリプト) | 高権限で実行される初期化スクリプトにコードを挿入して権限昇格する |
| T1543 | Create or Modify System Process(システムプロセスの作成/変更) | SYSTEM権限で動作するサービスを作成・変更して権限昇格する |
| T1484 | Domain or Tenant Policy Modification(ドメイン/テナントポリシーの変更) | GPOやAzure ADポリシーを変更して広範な権限を取得する |
| T1611 | Escape to Host(ホストへの脱出) | コンテナからホストOSに脱出して高権限を取得する |
| T1546 | Event Triggered Execution(イベントトリガー実行) | 高権限で実行されるイベントトリガーを悪用して権限昇格する |
| T1068 | Exploitation for Privilege Escalation(権限昇格エクスプロイト) | OSやアプリケーションの脆弱性を突いて高権限を取得する |
| T1574 | Hijack Execution Flow(実行フローのハイジャック) | 高権限プロセスのDLLロード順序やPATHを操作して権限昇格する |
| T1055 | Process Injection(プロセスインジェクション) | 高権限プロセスにコードを注入して、そのプロセスの権限でコードを実行する |
| T1053 | Scheduled Task/Job(タスクスケジューラ/ジョブ) | SYSTEM権限で動作するスケジュールタスクを作成して権限昇格する |
| T1078 | Valid Accounts(正規アカウントの悪用) | 管理者権限を持つ正規アカウントの認証情報を使って権限昇格する |
Defense Evasion(防御回避 / TA0005)
攻撃者が検知を回避し、セキュリティ製品やログ監視を無効化・迂回する手法です。ATT&CKの中で最も多くのテクニックを持つ戦術です。
| ID | テクニック名 | 概要 |
|---|---|---|
| T1548 | Abuse Elevation Control Mechanism(権限昇格制御の悪用) | UACバイパス等により、セキュリティ警告なしにコードを実行する |
| T1134 | Access Token Manipulation(アクセストークン操作) | トークンを操作して別ユーザーに偽装し、検知を回避する |
| T1197 | BITS Jobs(BITSジョブ) | BITSの正規トラフィックに紛れてファイル転送を行い検知を回避する |
| T1612 | Build Image on Host(ホスト上でのイメージビルド) | ホスト上でコンテナイメージをビルドし、マルウェアをパッケージングして検知を回避する |
| T1140 | Deobfuscate/Decode Files or Information(難読化解除/デコード) | 暗号化・エンコードされたペイロードを実行時にデコードしてAV検知を回避する |
| T1610 | Deploy Container(コンテナのデプロイ) | コンテナを使って従来のセキュリティ監視を迂回する |
| T1006 | Direct Volume Access(直接ボリュームアクセス) | ファイルシステムAPIを介さず直接ディスクにアクセスしてAV・監視を回避する |
| T1484 | Domain or Tenant Policy Modification(ドメイン/テナントポリシーの変更) | GPO等のポリシーを変更してセキュリティ設定を無効化する |
| T1480 | Execution Guardrails(実行ガードレール) | 環境チェック(ドメイン名、日時等)を行い、解析環境では実行を回避する |
| T1211 | Exploitation for Defense Evasion(防御回避エクスプロイト) | セキュリティ製品の脆弱性を突いて無効化・回避する |
| T1222 | File and Directory Permissions Modification(ファイル/ディレクトリ権限変更) | ACLやchmodでファイル権限を変更してセキュリティ制御を迂回する |
| T1564 | Hide Artifacts(アーティファクトの隠蔽) | 隠しファイル、隠しユーザー、NTFSストリーム等を使ってマルウェアの痕跡を隠す |
| T1574 | Hijack Execution Flow(実行フローのハイジャック) | 正規プログラムのロードパスを操作して悪意あるコードを正規プロセスとして実行する |
| T1562 | Impair Defenses(防御機能の無効化) | ファイアウォール、AV、EDR、ログ記録などのセキュリティ機能を無効化・改ざんする |
| T1070 | Indicator Removal(痕跡の除去) | イベントログ、ファイル、コマンド履歴などの攻撃痕跡を削除する |
| T1202 | Indirect Command Execution(間接的コマンド実行) | cmd.exeやpowershell.exeを直接使わず、pcalua.exe等の代替手段でコマンドを実行する |
| T1036 | Masquerading(偽装) | ファイル名、アイコン、署名などを正規ソフトウェアに偽装して検知を回避する |
| T1556 | Modify Authentication Process(認証プロセスの変更) | 認証プロセスを改ざんして正規の認証フローを迂回する |
| T1578 | Modify Cloud Compute Infrastructure(クラウドインフラの変更) | クラウドインスタンスの設定変更やスナップショット操作で監視を迂回する |
| T1112 | Modify Registry(レジストリの変更) | レジストリを変更してセキュリティ設定を無効化したり、マルウェアの設定を保存する |
| T1601 | Modify System Image(システムイメージの変更) | ネットワーク機器やOS のファームウェア/イメージを改ざんして永続的なバックドアを設置する |
| T1599 | Network Boundary Bridging(ネットワーク境界のブリッジ) | ネットワーク機器のフィルタリングルールを変更してセグメント間の通信制限を解除する |
| T1027 | Obfuscated Files or Information(難読化されたファイル/情報) | ペイロードを暗号化、パッキング、ステガノグラフィ等で難読化してAV検知を回避する |
| T1647 | Plist File Modification(plistファイルの変更) | macOSのplistファイルを変更してセキュリティ設定を迂回する |
| T1542 | Pre-OS Boot(OS起動前の改ざん) | ブートキットやファームウェア改ざんによりOS起動前から検知を回避する |
| T1055 | Process Injection(プロセスインジェクション) | 正規プロセスにコードを注入して、正規プロセスに偽装してコードを実行する |
| T1620 | Reflective Code Loading(リフレクティブコードローディング) | メモリ上でコードをリフレクティブにロードし、ディスク上に痕跡を残さない |
| T1207 | Rogue Domain Controller(不正ドメインコントローラ) | DCShadow等で不正なDCを登録し、ADレプリケーション経由で検知を回避して変更を行う |
| T1014 | Rootkit(ルートキット) | カーネルレベルのルートキットでプロセス、ファイル、通信を隠蔽する |
| T1218 | System Binary Proxy Execution(システムバイナリプロキシ実行) | mshta、rundll32、regsvr32等のOS標準ツールを悪用して信頼されたプロセスとしてコードを実行する |
| T1216 | System Script Proxy Execution(システムスクリプトプロキシ実行) | 署名済みスクリプト(PubPrn.vbs等)を悪用してスクリプト実行ポリシーを迂回する |
| T1553 | Subvert Trust Controls(信頼制御の無効化) | コード署名、証明書検証、Gatekeeper等の信頼メカニズムを迂回する |
| T1221 | Template Injection(テンプレートインジェクション) | Officeドキュメントのテンプレート参照を悪用して外部から悪意のあるマクロをロードする |
| T1205 | Traffic Signaling(トラフィックシグナリング) | 特定のネットワークシグナルでのみ動作し、通常時は検知されない状態を維持する |
| T1127 | Trusted Developer Utilities Proxy Execution(開発者ツールプロキシ実行) | MSBuild、dnx等の開発者ツールを悪用して信頼されたプロセスとしてコードを実行する |
| T1535 | Unused/Unsupported Cloud Regions(未使用/未サポートのクラウドリージョン) | 監視が手薄な未使用のクラウドリージョンにリソースをデプロイして検知を回避する |
| T1550 | Use Alternate Authentication Material(代替認証情報の使用) | パスワード以外の認証情報(トークン、チケット、Webセッション等)を使って認証を迂回する |
| T1078 | Valid Accounts(正規アカウントの悪用) | 正規アカウントを使用することで不審な活動として検知されることを回避する |
| T1497 | Virtualization/Sandbox Evasion(仮想化/サンドボックス回避) | 解析環境(VM、サンドボックス)を検知し、実行を停止して解析を回避する |
| T1600 | Weaken Encryption(暗号化の弱体化) | ネットワーク機器の暗号化設定を弱体化させて通信を傍受可能にする |
| T1220 | XSL Script Processing(XSLスクリプト処理) | msxsl.exe等を悪用してXSLスタイルシートに埋め込んだスクリプトを実行する |
Credential Access(認証情報アクセス / TA0006)
攻撃者がアカウント名やパスワード等の認証情報を窃取する手法です。キーロガー、メモリダンプ、ブルートフォースなど多様な手段が用いられます。
| ID | テクニック名 | 概要 |
|---|---|---|
| T1557 | Adversary-in-the-Middle(中間者攻撃) | ARP/DNSスプーフィング、LLMNR/NBT-NSポイズニング等で通信を傍受し認証情報を窃取する |
| T1110 | Brute Force(ブルートフォース) | パスワード推測、辞書攻撃、クレデンシャルスタッフィング等で認証を突破する |
| T1555 | Credentials from Password Stores(パスワードストアからの窃取) | ブラウザ、キーチェーン、パスワードマネージャ等のパスワードストアから認証情報を抽出する |
| T1212 | Exploitation for Credential Access(認証情報アクセスエクスプロイト) | ソフトウェアの脆弱性を突いて認証情報にアクセスする |
| T1187 | Forced Authentication(強制認証) | SMBリレー等でシステムに自動的に認証を行わせ、NTLMハッシュ等を取得する |
| T1606 | Forge Web Credentials(Web認証情報の偽造) | SAMLトークン、Webクッキー、JWTなどのWeb認証情報を偽造する |
| T1056 | Input Capture(入力キャプチャ) | キーロガー、GUIフック、Webポータル改ざん等でユーザー入力を記録する |
| T1556 | Modify Authentication Process(認証プロセスの変更) | 認証プロセスを改ざんして平文パスワードを記録する |
| T1111 | Multi-Factor Authentication Interception(MFA傍受) | SMSコード傍受、MFAプロンプト疲弊攻撃等でMFAを突破する |
| T1621 | Multi-Factor Authentication Request Generation(MFAリクエスト生成) | 大量のMFAプッシュ通知を送り、ユーザーの承認ミスを誘発する(MFA疲弊攻撃) |
| T1040 | Network Sniffing(ネットワークスニッフィング) | ネットワークトラフィックを傍受して平文の認証情報やトークンを窃取する |
| T1003 | OS Credential Dumping(OS認証情報ダンプ) | LSASS、SAM、/etc/shadow、DCSync等からOSの認証情報をダンプする |
| T1528 | Steal Application Access Token(アプリアクセストークンの窃取) | OAuth、APIトークン等のアプリケーションアクセストークンを窃取する |
| T1649 | Steal or Forge Authentication Certificates(認証証明書の窃取/偽造) | AD CS等のPKI証明書を窃取・偽造して認証に利用する |
| T1558 | Steal or Forge Kerberos Tickets(Kerberosチケットの窃取/偽造) | Kerberoasting、Golden/Silver Ticket等でKerberosチケットを窃取・偽造する |
| T1539 | Steal Web Session Cookie(Webセッションクッキーの窃取) | ブラウザのセッションクッキーを窃取してWebサービスに不正アクセスする |
| T1552 | Unsecured Credentials(安全でない認証情報) | 設定ファイル、スクリプト、レジストリ等に平文保存された認証情報を収集する |
Discovery(探索 / TA0007)
攻撃者がシステムや内部ネットワークの情報を把握する手法です。侵入後にネットワーク構成、アカウント、ソフトウェアなどの情報を収集し、次の攻撃ステップを計画します。
| ID | テクニック名 | 概要 |
|---|---|---|
| T1087 | Account Discovery(アカウントの探索) | ローカル、ドメイン、クラウドのアカウント一覧を列挙する |
| T1010 | Application Window Discovery(アプリウィンドウの探索) | 開いているアプリケーションウィンドウの一覧を取得する |
| T1217 | Browser Information Discovery(ブラウザ情報の探索) | ブックマーク、閲覧履歴、保存パスワードなどのブラウザ情報を収集する |
| T1580 | Cloud Infrastructure Discovery(クラウドインフラの探索) | クラウド環境のインスタンス、ストレージ、ネットワーク構成を列挙する |
| T1538 | Cloud Service Dashboard(クラウドサービスダッシュボード) | AWS Console、Azure Portal等のダッシュボードからクラウドリソース情報を収集する |
| T1526 | Cloud Service Discovery(クラウドサービスの探索) | 利用可能なクラウドサービス(S3、Lambda等)を列挙する |
| T1613 | Container and Resource Discovery(コンテナ/リソースの探索) | コンテナ、Pod、Kubernetes構成などのコンテナ環境情報を収集する |
| T1652 | Device Driver Discovery(デバイスドライバの探索) | ロードされているデバイスドライバの情報を収集する |
| T1482 | Domain Trust Discovery(ドメイン信頼関係の探索) | Active Directoryのドメイン信頼関係を列挙して横展開の経路を把握する |
| T1083 | File and Directory Discovery(ファイル/ディレクトリの探索) | ファイルシステムを走査して機密ファイルや重要データを探す |
| T1615 | Group Policy Discovery(グループポリシーの探索) | GPOの内容を確認してセキュリティ設定やソフトウェア配布ルールを把握する |
| T1654 | Log Enumeration(ログの列挙) | システムログやセキュリティログを確認して環境情報や防御状態を把握する |
| T1046 | Network Service Discovery(ネットワークサービスの探索) | 内部ネットワークをスキャンして稼働しているサービスやポートを発見する |
| T1135 | Network Share Discovery(ネットワーク共有の探索) | SMB共有やNFS共有などのネットワーク共有リソースを列挙する |
| T1040 | Network Sniffing(ネットワークスニッフィング) | ネットワークトラフィックを傍受してネットワーク構成や通信パターンを把握する |
| T1201 | Password Policy Discovery(パスワードポリシーの探索) | パスワードポリシー(複雑性要件、ロックアウト閾値等)を確認する |
| T1120 | Peripheral Device Discovery(周辺機器の探索) | 接続されているUSBデバイス、プリンタなどの周辺機器を列挙する |
| T1069 | Permission Groups Discovery(権限グループの探索) | ローカル、ドメイン、クラウドの権限グループとメンバーを列挙する |
| T1057 | Process Discovery(プロセスの探索) | 実行中のプロセス一覧を取得してセキュリティツールや重要アプリを把握する |
| T1012 | Query Registry(レジストリクエリ) | レジストリを読み取ってシステム設定やインストール済みソフトウェア情報を収集する |
| T1018 | Remote System Discovery(リモートシステムの探索) | ネットワーク上の他のシステムを発見して横展開の対象を特定する |
| T1518 | Software Discovery(ソフトウェアの探索) | インストール済みソフトウェアやセキュリティツールの一覧を取得する |
| T1082 | System Information Discovery(システム情報の探索) | OS、ハードウェア、パッチレベルなどのシステム情報を収集する |
| T1614 | System Location Discovery(システムの地理的位置の探索) | タイムゾーン、言語設定、IPジオロケーションからシステムの地理的位置を特定する |
| T1016 | System Network Configuration Discovery(ネットワーク設定の探索) | IPアドレス、ルーティングテーブル、DNS設定などのネットワーク構成を収集する |
| T1049 | System Network Connections Discovery(ネットワーク接続の探索) | netstatなどで現在のネットワーク接続状況を確認する |
| T1033 | System Owner/User Discovery(システムオーナー/ユーザーの探索) | 現在のユーザー名、ログオンセッション、リモートセッション情報を取得する |
| T1007 | System Service Discovery(システムサービスの探索) | 稼働中のサービスや登録済みサービスの一覧を取得する |
| T1124 | System Time Discovery(システム時刻の探索) | システムの日時やタイムゾーンを取得する |
| T1497 | Virtualization/Sandbox Evasion(仮想化/サンドボックス回避) | 仮想マシンやサンドボックス環境を検知して解析を回避する |
Lateral Movement(横展開 / TA0008)
攻撃者がネットワーク内の他のシステムに移動し、アクセス範囲を拡大する手法です。窃取した認証情報やリモートサービスを悪用して横方向に展開します。
| ID | テクニック名 | 概要 |
|---|---|---|
| T1210 | Exploitation of Remote Services(リモートサービスの悪用) | 内部ネットワークのサービス脆弱性(EternalBlue等)を突いて他のシステムに侵入する |
| T1534 | Internal Spearphishing(内部スピアフィッシング) | 侵害済みのメールアカウントから社内ユーザーにフィッシングメールを送信する |
| T1570 | Lateral Tool Transfer(ツールの横展開転送) | SMB、RDP、scp等でマルウェアやツールを他のシステムに転送する |
| T1563 | Remote Service Session Hijacking(リモートサービスセッションハイジャック) | RDP、SSHなどの既存セッションを乗っ取って他のシステムにアクセスする |
| T1021 | Remote Services(リモートサービス) | RDP、SSH、SMB、WinRM等の正規リモートサービスを使って他のシステムにアクセスする |
| T1091 | Replication Through Removable Media(リムーバブルメディア経由の複製) | USBドライブなどを介して他のシステムにマルウェアを拡散する |
| T1072 | Software Deployment Tools(ソフトウェア配布ツール) | SCCM、Ansible等の配布ツールを悪用して複数システムにマルウェアを展開する |
| T1080 | Taint Shared Content(共有コンテンツの汚染) | ネットワーク共有上のファイルにマルウェアを仕込み、他のユーザーに感染させる |
| T1550 | Use Alternate Authentication Material(代替認証情報の使用) | Pass the Hash、Pass the Ticket、Webセッションクッキー等で他のシステムに認証する |
Collection(収集 / TA0009)
攻撃者が目的に関連するデータを収集する手法です。スクリーンキャプチャ、キーロギング、メールボックスの読み取りなど、様々な方法で情報を集めます。
| ID | テクニック名 | 概要 |
|---|---|---|
| T1557 | Adversary-in-the-Middle(中間者攻撃) | 通信を傍受してデータを収集する |
| T1560 | Archive Collected Data(収集データのアーカイブ) | 収集したデータをzip、tar、7z等で圧縮・暗号化して持ち出し準備する |
| T1123 | Audio Capture(音声キャプチャ) | マイクを通じて音声を録音する |
| T1119 | Automated Collection(自動収集) | スクリプトやツールを使ってデータ収集を自動化する |
| T1185 | Browser Session Hijacking(ブラウザセッションハイジャック) | ブラウザの拡張機能やプロキシ設定を悪用してWebセッションを乗っ取りデータを収集する |
| T1115 | Clipboard Data(クリップボードデータ) | クリップボードの内容(コピーされたパスワード、テキスト等)を監視・収集する |
| T1530 | Data from Cloud Storage(クラウドストレージからのデータ) | S3、Azure Blob、Google Cloud Storage等からデータを収集する |
| T1602 | Data from Configuration Repository(設定リポジトリからのデータ) | ネットワーク機器の設定バックアップやSNMP情報を収集する |
| T1213 | Data from Information Repositories(情報リポジトリからのデータ) | SharePoint、Confluence、Wiki等の情報共有システムからデータを収集する |
| T1005 | Data from Local System(ローカルシステムからのデータ) | ローカルファイルシステムから機密文書やデータベースを収集する |
| T1039 | Data from Network Shared Drive(ネットワーク共有ドライブからのデータ) | ネットワーク共有上のファイルを収集する |
| T1025 | Data from Removable Media(リムーバブルメディアからのデータ) | USBドライブや外付けHDDなどのリムーバブルメディアからデータを収集する |
| T1074 | Data Staged(データのステージング) | 収集したデータを持ち出し前に特定のディレクトリに集約する |
| T1114 | Email Collection(メール収集) | ローカルメールクライアント、メールサーバー、O365等からメールを収集する |
| T1056 | Input Capture(入力キャプチャ) | キーロガー等でユーザーの入力を記録する |
| T1113 | Screen Capture(スクリーンキャプチャ) | 画面のスクリーンショットを定期的に取得する |
| T1125 | Video Capture(ビデオキャプチャ) | Webカメラを通じて映像を録画する |
Command and Control(C2 / TA0011)
攻撃者が侵害したシステムとの通信チャネルを確立・維持する手法です。正規トラフィックへの偽装、暗号化、プロトコルの悪用などにより検知を回避しながら指揮統制を行います。
| ID | テクニック名 | 概要 |
|---|---|---|
| T1071 | Application Layer Protocol(アプリケーション層プロトコル) | HTTP、HTTPS、DNS、SMTP等の正規プロトコルを悪用してC2通信を行う |
| T1092 | Communication Through Removable Media(リムーバブルメディア経由の通信) | USBドライブ等を介してエアギャップ環境とC2通信を行う |
| T1659 | Content Injection(コンテンツインジェクション) | 正規コンテンツにC2コマンドを埋め込んで通信する |
| T1132 | Data Encoding(データエンコーディング) | Base64等でC2通信のデータをエンコードして検知を回避する |
| T1001 | Data Obfuscation(データ難読化) | C2通信データにジャンクデータ追加やステガノグラフィを使用して検知を回避する |
| T1568 | Dynamic Resolution(動的名前解決) | DGA(ドメイン生成アルゴリズム)やDNS計算で動的にC2アドレスを解決する |
| T1573 | Encrypted Channel(暗号化チャネル) | SSL/TLSや独自暗号でC2通信を暗号化して内容の解析を困難にする |
| T1008 | Fallback Channels(フォールバックチャネル) | 主要C2チャネルが遮断された場合に備えて代替の通信経路を用意する |
| T1105 | Ingress Tool Transfer(ツールの搬入) | C2チャネルや外部サーバーから追加のツールやマルウェアをダウンロードする |
| T1104 | Multi-Stage Channels(多段チャネル) | 複数段階のC2インフラ(ステージングサーバー→本体C2)を使用する |
| T1095 | Non-Application Layer Protocol(非アプリケーション層プロトコル) | ICMP、UDP、独自プロトコルなどのネットワーク層でC2通信を行う |
| T1571 | Non-Standard Port(非標準ポート) | 通常とは異なるポート番号でC2通信を行いプロトコル検知を回避する |
| T1572 | Protocol Tunneling(プロトコルトンネリング) | DNS、HTTP、SSH等のトンネルにC2通信を封入して検知を回避する |
| T1090 | Proxy(プロキシ) | 中間プロキシ、Tor、ドメインフロンティング等を使ってC2通信の発信元を隠蔽する |
| T1219 | Remote Access Software(リモートアクセスソフトウェア) | TeamViewer、AnyDesk等の正規リモートアクセスツールをC2チャネルとして悪用する |
| T1205 | Traffic Signaling(トラフィックシグナリング) | 特定のネットワークパケットをシグナルとしてバックドアの起動や設定変更を行う |
| T1102 | Web Service(Webサービス) | Google Drive、Twitter、GitHub等の正規Webサービスをデッドドロップ型C2に利用する |
Exfiltration(持ち出し / TA0010)
攻撃者が収集したデータをターゲットネットワークから外部に持ち出す手法です。データの圧縮・暗号化、C2チャネルや代替チャネルの利用など、検知を回避しながらデータを送出します。
| ID | テクニック名 | 概要 |
|---|---|---|
| T1020 | Automated Exfiltration(自動持ち出し) | スクリプトやツールでデータの持ち出しを自動化する |
| T1030 | Data Transfer Size Limits(データ転送サイズ制限) | データを小さなチャンクに分割して転送し、大容量転送の検知を回避する |
| T1048 | Exfiltration Over Alternative Protocol(代替プロトコルでの持ち出し) | DNS、ICMP、FTP等のC2チャネルとは異なるプロトコルでデータを持ち出す |
| T1041 | Exfiltration Over C2 Channel(C2チャネルでの持ち出し) | 既存のC2通信チャネルを利用してデータを持ち出す |
| T1011 | Exfiltration Over Other Network Medium(他のネットワーク経路での持ち出し) | Wi-Fi、Bluetooth、携帯回線など主要ネットワーク以外の経路でデータを持ち出す |
| T1052 | Exfiltration Over Physical Medium(物理媒体での持ち出し) | USBドライブ等の物理媒体にデータをコピーして持ち出す |
| T1567 | Exfiltration Over Web Service(Webサービスでの持ち出し) | Google Drive、Dropbox、Mega等のクラウドストレージにデータをアップロードして持ち出す |
| T1029 | Scheduled Transfer(スケジュール転送) | 特定の日時・間隔でデータを転送し、通常の業務時間帯のトラフィックに紛れさせる |
| T1537 | Transfer Data to Cloud Account(クラウドアカウントへの転送) | 攻撃者管理のクラウドアカウントにデータを転送する |
Impact(影響 / TA0040)
攻撃者がシステムやデータの可用性・完全性を損なう手法です。ランサムウェアによるデータ暗号化、ワイパーによるデータ破壊、DDoS攻撃などが含まれます。
| ID | テクニック名 | 概要 |
|---|---|---|
| T1531 | Account Access Removal(アカウントアクセスの除去) | 正規ユーザーのパスワード変更やアカウント削除でシステムへのアクセスを妨害する |
| T1485 | Data Destruction(データ破壊) | ファイルの上書き、ディスクのワイプなどでデータを回復不能に破壊する |
| T1486 | Data Encrypted for Impact(データの暗号化) | ランサムウェアでデータを暗号化し、復号と引き換えに身代金を要求する |
| T1565 | Data Manipulation(データ改ざん) | 業務データや設定を改ざんして業務プロセスを混乱させる |
| T1491 | Defacement(改ざん・ディフェースメント) | Webサイトや内部システムの画面を改ざんしてメッセージを表示する |
| T1561 | Disk Wipe(ディスクワイプ) | MBR/GPTの破壊やディスク全体のワイプでシステムを起動不能にする |
| T1499 | Endpoint Denial of Service(エンドポイントDoS) | サービスやシステムに過負荷をかけて可用性を低下させる |
| T1657 | Financial Theft(金銭窃取) | 不正送金やクレジットカード情報の窃取などで直接的な金銭的被害を与える |
| T1495 | Firmware Corruption(ファームウェア破壊) | BIOS/UEFIファームウェアを破壊してシステムを起動不能にする |
| T1490 | Inhibit System Recovery(システム復旧の妨害) | バックアップ削除、VSS無効化、回復パーティション破壊などでシステム復旧を妨害する |
| T1498 | Network Denial of Service(ネットワークDoS) | DDoS攻撃でネットワーク帯域やインフラを飽和させサービスを停止させる |
| T1496 | Resource Hijacking(リソースハイジャック) | 侵害したシステムのCPU/GPUリソースを暗号通貨マイニング等に不正利用する |
| T1489 | Service Stop(サービス停止) | 重要なサービスやプロセスを停止させて業務を妨害する |
関連ページ
- Tactics(戦術)一覧 — MITRE ATT&CK v16
- ATT&CK Enterprise マトリクス — MITRE ATT&CK v16
- 実務ガイド — MITRE ATT&CK活用
- このサイトについて(非公式ATT&CK解説)
本ページの内容はMITRE ATT&CK® v16に基づく非公式の日本語解説です。最新の正確な情報はMITRE ATT&CK公式サイトをご確認ください。
MITRE ATT&CK® and ATT&CK® are registered trademarks of The MITRE Corporation. This site is not affiliated with or endorsed by The MITRE Corporation. The use of MITRE ATT&CK content is permitted under the MITRE ATT&CK Terms of Use.