MITRE ATT&CK(アタック)|情報処理安全確保支援士 シラバス準拠予想問題Ⅰ 問9

MITRE ATT&CKの説明として,最も適切なものはどれか。
  • ア:攻撃者の活動を偵察,武器化,配送,攻撃,インストール,C2,目的実行といった段階に分け,攻撃の進行を時系列で分析するモデルである。
  • イ:脆弱性の深刻度を,攻撃元区分,攻撃条件,必要な権限,影響範囲などの評価項目から数値化するための評価手法である。
  • ウ:ソフトウェアやシステムに対する攻撃パターンを分類し,攻撃の仕組みや前提条件,緩和策などを整理したカタログである。
  • エ:実際の攻撃事例に基づき,攻撃者の戦術や手法をマトリクス形式で体系化し,攻撃分析や検知・対策の検討に活用するナレッジベースである。
解説

MITRE ATT&CKは、実際の攻撃事例に基づき、攻撃者が用いる戦術や手法を体系化したナレッジベースです。

攻撃者が何を目的としているかを示す戦術(Tactics)と、その目的を達成するための具体的な手法(Techniques)をマトリクス形式で整理しており、攻撃分析、検知ルールの整備、防御策の検討などに活用されます。

したがって、が適切です。

❌他選択肢が誤りの理由
ア:攻撃者の活動を偵察,武器化,配送,攻撃,インストール,C2,目的実行といった段階に分け,攻撃の進行を時系列で分析するモデルである。
⇒サイバーキルチェーンの説明です。攻撃の流れを段階的・時系列的に捉えるモデルであり、攻撃者の戦術や手法をマトリクス形式で体系化したMITRE ATT&CKとは異なります。
イ:脆弱性の深刻度を,攻撃元区分,攻撃条件,必要な権限,影響範囲などの評価項目から数値化するための評価手法である。
⇒CVSSの説明です。CVSSは、脆弱性の深刻度を数値で評価するための手法です。MITRE ATT&CKは脆弱性の点数評価ではなく、攻撃者の行動や手口を整理したナレッジベースです。
ウ:ソフトウェアやシステムに対する攻撃パターンを分類し,攻撃の仕組みや前提条件,緩和策などを整理したカタログである。
⇒CAPECの説明です。CAPECは攻撃パターンを整理したカタログであり、攻撃の仕組みや前提条件などを整理します。MITRE ATT&CKは、実際の攻撃事例に基づく攻撃者の戦術や手法を、攻撃分析や検知・対策に活用しやすい形で体系化したものです。
TSUNAGARU-ADVICE

まず押さえたいこと

MITRE ATT&CKは、実際の攻撃事例に基づき、攻撃者の戦術や手法をマトリクス形式で体系化したナレッジベースです。攻撃者が何を目的として、どのような手法を使うのかを整理し、攻撃分析や検知・対策の検討に活用します。

迷ったときの判断軸

攻撃を偵察から目的実行まで時系列で整理するものはサイバーキルチェーン、脆弱性の深刻度を数値化するものはCVSSです。また、攻撃パターンのカタログはCAPECに近い説明です。MITRE ATT&CKは、攻撃者の戦術と手法をマトリクスで整理したものと判断しましょう。

科目Bにつなげるために

科目Bでは、ログやアラートから攻撃者の行動を読み取り、侵入後の横展開・権限昇格・認証情報窃取などを分析する場面があります。MITRE ATT&CKは、観測された攻撃行動を既知の戦術・手法に対応付けて対策を考えるための枠組みとして整理しておきましょう。