MITRE ATT&CK® Tactics(戦術)一覧
ATT&CK v16のEnterprise マトリクスには14の戦術(Tactics)が定義されています。戦術は攻撃者の「目的」を表し、各戦術の下に具体的な攻撃手段であるテクニック(Techniques)が分類されます。
※本サイトはMITRE ATT&CK®の非公式日本語解説サイトです。Based on MITRE ATT&CK® v16。
- Tactics(戦術)とは
- TA0043 — Reconnaissance(偵察)
- TA0042 — Resource Development(リソース開発)
- TA0001 — Initial Access(初期アクセス)
- TA0002 — Execution(実行)
- TA0003 — Persistence(持続性)
- TA0004 — Privilege Escalation(権限昇格)
- TA0005 — Defense Evasion(防御回避)
- TA0006 — Credential Access(認証情報アクセス)
- TA0007 — Discovery(探索)
- TA0008 — Lateral Movement(横展開)
- TA0009 — Collection(収集)
- TA0011 — Command and Control(C2)
- TA0010 — Exfiltration(持ち出し)
- TA0040 — Impact(影響)
- 戦術の活用方法
Tactics(戦術)とは
ATT&CKにおけるTactics(戦術)は、攻撃者が攻撃の各段階で達成しようとする技術的な目的を表します。戦術はマトリクスの列に対応し、左から右へ攻撃が進行する流れを示しています。ただし、実際の攻撃は必ずしもすべての戦術を順番に通るわけではなく、攻撃者は目的に応じて戦術を選択・反復します。
TA0043 — Reconnaissance(偵察)
攻撃者が将来の攻撃に利用するための情報を収集する段階です。ターゲット組織のネットワーク構成、メールアドレス、使用技術、従業員情報などをOSINT(公開情報収集)やスキャンによって取得します。
- テクニック数:10テクニック、31サブテクニック
- 代表的テクニック:T1595 Active Scanning、T1592 Gather Victim Host Information、T1589 Gather Victim Identity Information
- 防御のポイント:公開情報の最小化、不要なサービスの公開停止、ハニーポットによる偵察検知
TA0042 — Resource Development(リソース開発)
攻撃者が攻撃に使用するリソース(インフラ、アカウント、ツール)を準備する段階です。C2サーバーの構築、ドメイン取得、マルウェア開発、正規サービスの悪用準備などが含まれます。
- テクニック数:8テクニック、35サブテクニック
- 代表的テクニック:T1583 Acquire Infrastructure、T1588 Obtain Capabilities、T1586 Compromise Accounts
- 防御のポイント:ドメイン類似性の監視、証明書透過性(CT)ログの活用
TA0001 — Initial Access(初期アクセス)
攻撃者がターゲットネットワークに最初の足がかりを得る段階です。フィッシング、公開アプリケーションの脆弱性悪用、正規アカウントの利用など、組織の境界を突破する手法が分類されます。
- テクニック数:10テクニック、14サブテクニック
- 代表的テクニック:T1566 Phishing、T1190 Exploit Public-Facing Application、T1078 Valid Accounts
- 防御のポイント:メールフィルタリング、WAF、多要素認証(MFA)の導入、フィッシング対策
TA0002 — Execution(実行)
攻撃者が悪意あるコードを実行する段階です。スクリプトインタプリタ(PowerShell、Python、Unix Shell)、ユーザーの操作を利用した実行、WMIやスケジュールタスクの悪用など、多様な実行手段が含まれます。
- テクニック数:14テクニック、23サブテクニック
- 代表的テクニック:T1059 Command and Scripting Interpreter、T1204 User Execution、T1047 WMI
- 防御のポイント:ScriptBlock Logging、AppLocker/WDAC、AMSI連携
TA0003 — Persistence(持続性)
攻撃者がシステムへのアクセスを維持する段階です。再起動やパスワード変更後もアクセスを保持するために、レジストリキーの変更、スケジュールタスクの登録、ブートキットの設置などを行います。
- テクニック数:20テクニック、97サブテクニック
- 代表的テクニック:T1547 Boot or Logon Autostart Execution、T1053 Scheduled Task/Job、T1136 Create Account
- 防御のポイント:レジストリ・スタートアップの変更監視、不審なスケジュールタスクの検知
TA0004 — Privilege Escalation(権限昇格)
攻撃者がより高いレベルの権限を取得する段階です。OSの脆弱性悪用、トークン操作、UAC(User Account Control)バイパスなどにより、管理者権限やSYSTEM権限を取得します。
- テクニック数:14テクニック、80サブテクニック
- 代表的テクニック:T1068 Exploitation for Privilege Escalation、T1134 Access Token Manipulation、T1548 Abuse Elevation Control Mechanism
- 防御のポイント:パッチ適用、最小権限の原則、特権アカウントの監視
TA0005 — Defense Evasion(防御回避)
攻撃者がセキュリティ製品やログ監視による検知を回避する段階です。ATT&CKの中で最もテクニック数が多い戦術であり、難読化、ログ削除、正規ツールの悪用(Living off the Land)など多様な手法が含まれます。
- テクニック数:43テクニック、148サブテクニック
- 代表的テクニック:T1027 Obfuscated Files or Information、T1070 Indicator Removal、T1218 System Binary Proxy Execution
- 防御のポイント:ログの改ざん防止(WORM保存)、振る舞い検知、AMSI
TA0006 — Credential Access(認証情報アクセス)
攻撃者がアカウントの認証情報(パスワード、ハッシュ、トークン等)を窃取する段階です。メモリからのクレデンシャルダンプ、キーロギング、ブルートフォース攻撃などが含まれます。
- テクニック数:17テクニック、47サブテクニック
- 代表的テクニック:T1003 OS Credential Dumping、T1110 Brute Force、T1557 Adversary-in-the-Middle
- 防御のポイント:Credential Guard、LAPS、MFAの徹底、パスワード強度の確認
TA0007 — Discovery(探索)
攻撃者が侵害した環境の情報を収集する段階です。システム構成、ネットワーク構成、アカウント情報、セキュリティソフトの有無などを調査し、次の攻撃ステップを計画します。
- テクニック数:32テクニック、12サブテクニック
- 代表的テクニック:T1082 System Information Discovery、T1016 System Network Configuration Discovery、T1087 Account Discovery
- 防御のポイント:偵察コマンド(whoami、net user等)の実行監視、ハニートークンの配置
TA0008 — Lateral Movement(横展開)
攻撃者がネットワーク内の他のシステムに移動する段階です。窃取した認証情報やリモートサービスを利用して、目標のシステム(ファイルサーバー、ドメインコントローラー等)へ到達します。
- テクニック数:9テクニック、13サブテクニック
- 代表的テクニック:T1021 Remote Services、T1570 Lateral Tool Transfer、T1550 Use Alternate Authentication Material
- 防御のポイント:ネットワークセグメンテーション、SMB/RDP/WinRMの制限、Pass-the-Hash対策
TA0009 — Collection(収集)
攻撃者が目的のデータを収集する段階です。ファイルの検索・収集、メールの窃取、画面キャプチャ、クリップボードの監視などにより、持ち出し対象のデータを特定・集約します。
- テクニック数:17テクニック、14サブテクニック
- 代表的テクニック:T1005 Data from Local System、T1114 Email Collection、T1113 Screen Capture
- 防御のポイント:DLP(Data Loss Prevention)の導入、機密ファイルへのアクセス監視
TA0011 — Command and Control(C2)
攻撃者が侵害したシステムと通信する段階です。HTTPS、DNS、正規のクラウドサービスなどを利用して、検知されにくいC2チャネルを確立し、コマンドの送受信を行います。
- テクニック数:17テクニック、24サブテクニック
- 代表的テクニック:T1071 Application Layer Protocol、T1105 Ingress Tool Transfer、T1573 Encrypted Channel
- 防御のポイント:プロキシ/NDRでの異常通信検知、DNSログ分析、TLSインスペクション
TA0010 — Exfiltration(持ち出し)
攻撃者が収集したデータを外部に送信する段階です。C2チャネル経由の持ち出し、クラウドストレージへのアップロード、物理メディアの利用、DNS/HTTPSを利用したステガノグラフィなどが含まれます。
- テクニック数:9テクニック、9サブテクニック
- 代表的テクニック:T1041 Exfiltration Over C2 Channel、T1567 Exfiltration Over Web Service、T1048 Exfiltration Over Alternative Protocol
- 防御のポイント:アウトバウンド通信量の異常検知、クラウドストレージへのアクセス制御
TA0040 — Impact(影響)
攻撃者がシステムやデータの可用性・完全性を損なう段階です。ランサムウェアによるデータ暗号化、ワイパーによるデータ破壊、サービス停止など、ビジネスに直接的な被害をもたらす行為が分類されます。
- テクニック数:14テクニック、15サブテクニック
- 代表的テクニック:T1486 Data Encrypted for Impact、T1485 Data Destruction、T1489 Service Stop
- 防御のポイント:バックアップの3-2-1ルール遵守、ランサムウェア対策、BCPの策定
戦術の活用方法
14の戦術を理解することで、以下のことが可能になります:
- 攻撃の全体像を把握:インシデント発生時、観測された活動がどの段階にあるかを特定し、次の攻撃ステップを予測
- 防御の優先順位付け:自組織にとって最もリスクの高い戦術から重点的に対策
- 共通言語としての活用:SOC、IR、CTI、経営層の間で攻撃の深刻度を共通の枠組みで議論
各テクニックの詳細はTechniques(技術)一覧ページから確認できます。マトリクス全体の俯瞰はEnterprise マトリクスをご覧ください。
Based on MITRE ATT&CK®, © The MITRE Corporation. Licensed under Apache License 2.0. 本記事は非公式の日本語解説です。