MITRE ATT&CK(アタック)は、実際に観測された攻撃者の振る舞いを体系化した知識ベースです。「攻撃者は何を狙い(戦術)、どうやって実現するのか(技術)」を共通の語彙で整理しており、SOC・脅威ハンティング・検知エンジニアリング・脅威インテリジェンスの事実上の共通言語になっています。非営利の MITRE が無償で公開・更新しており、最新は2026年4月リリースの v19 です。
本記事は ATT&CK の構造(戦術・技術・手順)とID体系を入門レベルで押さえ、実務でどう使うか、そして Cyber Kill Chain など他フレームワークとの違いまでをまとめます。当サイトの個別攻撃記事( LOLBins や ClickFix など)が ATT&CK のどこに位置づくかも見えてきます。
ATT&CK とは何か(OWASPとの違い)
ATT&CK は Adversarial Tactics, Techniques, and Common Knowledge の略。脆弱性のカタログではなく、「攻撃者が侵入後に何をするか」という“行動”のカタログです。ここが OWASP Top 10 との大きな違いです。OWASP は「Webアプリのどんな弱点を作り込みがちか(守る側の作り込みリスク)」を扱うのに対し、ATT&CK は「攻撃者の実際の手口」を網羅的に扱います。両者は補完関係にあります。
対象範囲(マトリクス)は3つに分かれます。
- Enterprise:Windows/macOS/Linux、クラウド、コンテナ、ネットワーク機器など。最も使われる。
- Mobile:iOS / Android。
- ICS:産業制御システム。
3層構造:戦術・技術・手順
ATT&CK の肝は、攻撃を抽象度の異なる3つの層で表すことです。よく「TTPs(Tactics, Techniques, and Procedures)」と呼ばれます。
Tactics(戦術)= なぜ(攻撃者の目的)
マトリクスの列にあたる、攻撃者の「達成したいゴール」です。Enterprise には14の戦術があり、おおむね攻撃の進行順に並びます。
偵察(Reconnaissance) → リソース開発(Resource Development)
→ 初期アクセス(Initial Access) → 実行(Execution)
→ 永続化(Persistence) → 権限昇格(Privilege Escalation)
→ 防御回避(Defense Evasion) → 認証情報アクセス(Credential Access)
→ 探索(Discovery) → 横展開(Lateral Movement)
→ 収集(Collection) → C2(Command and Control)
→ 持ち出し(Exfiltration) → 影響(Impact)各戦術には TA0001 のようなIDが振られています(例: Initial Access = TA0001)。
Techniques(技術)= どうやって
戦術を達成する具体的な手段です。T+4桁の番号で表し、より細かいサブ技術は .001 のように枝番が付きます。例:
- T1059 Command and Scripting Interpreter(実行)— サブ技術 T1059.001 = PowerShell。 LOLBins の記事で扱った手口がここに該当します。
- T1566 Phishing(初期アクセス)— Quishing や ClickFix 系の入口。
- T1539 Steal Web Session Cookie(認証情報アクセス)— インフォスティーラーのセッション窃取 がまさにこれ。
v18時点で Enterprise は 216技術・475サブ技術を収録しています。
Procedures(手順)= 実際の実装例
特定の攻撃グループやマルウェアが、その技術を具体的にどう実行したかの記録です。「APT29 が PowerShell でこういうコマンドを使った」といった粒度で、検知ルール作成の素材になります。
知識ベースを支える4つの要素
ATT&CK は技術だけでなく、攻撃の文脈を結びつける情報も持ちます。
- Groups(Gxxxx):APT29、Lazarus などの攻撃グループ。使う技術が紐づく。
- Software(Sxxxx):マルウェアやツール(Cobalt Strike など)。
- Campaigns(Cxxxx):特定の攻撃作戦。期間や標的が紐づく。
- Mitigations / Detection Strategies:各技術に対する緩和策と検知の指針。v18(2025年10月)で従来の Data Sources/Detections がDetection Strategies と Analytics に刷新され、より実装に近い検知記述になりました。
なおv19(2026年4月)では、肥大化していた Defense Evasion(防御回避)戦術が Stealth(隠密)と Defense Impairment(防御妨害)に分割されるなど、構造の見直しが続いています。フレームワークは生き物であり、バージョンを意識して参照することが大切です。
実務での使い方
- 共通言語にする:インシデントや脅威情報を「T1566.002 のフィッシングから T1059.001 で実行」のように記述すると、チーム間・ツール間で齟齬なく共有できる。
- 検知エンジニアリング:自社の検知ルール(SIEM/EDR)を技術IDにマッピングし、「どの技術を検知できているか」を棚卸しする。
- カバレッジの可視化:ATT&CK Navigator でマトリクスをヒートマップ化し、検知できている技術/いない技術を色分け。防御の穴が一目でわかる。
- 脅威インテリジェンス主導の優先順位付け:自社の業界を狙う Group が使う技術を優先的に塞ぐ。やみくもに全216技術を追わず、関連の高いものから。
- パープルチーム/演習:レッドチームが技術IDで攻撃を再現し、ブルーチームが検知できるかを検証。ATT&CK Evaluations はベンダー製品の検知力比較にも使われる。
図解案:個別攻撃を ATT&CK にマッピング
戦術: 初期アクセス → 実行 → 認証情報アクセス → C2 → 影響
─────────────────────────────────────────────
ClickFix T1566 ── T1059(PowerShell)
│
インフォ └─▶ T1555/T1539(Cookie/PW窃取)
スティーラー │
└─▶ T1071(C2) → ランサムT1486
★ 個別の攻撃も、ATT&CK上では「戦術×技術の連なり」として一望できる他フレームワークとの違い
- Cyber Kill Chain(Lockheed Martin):7段階の直線的なモデル。攻撃の大きな流れを捉えるのに向くが、各段の具体的手口は粗い。ATT&CK は手口を網羅的・実証的に深掘りする点で補完的。
- Diamond Model:敵・能力・インフラ・被害者の関係を分析する枠組み。ATT&CK の技術情報と組み合わせて使われる。
まとめ
MITRE ATT&CK は、攻撃者の振る舞いを「戦術×技術×手順」で体系化した共通言語です。脆弱性ではなく“行動”を扱う点で OWASP と補完関係にあり、検知の棚卸し・脅威情報の整理・防御の穴の可視化に直結します。まずは自社に関係する技術から ATT&CK Navigator でマッピングしてみるのが、最初の一歩として実用的です。
当サイトの攻撃解説—— ClickFix、 LOLBins、 セッション窃取、 サプライチェーン攻撃 ——は、いずれも ATT&CK の特定の戦術・技術に対応します。フレームワークを軸に読み返すと、点だった知識が攻撃ストーリーとしてつながります。
※ 本記事のバージョン情報・統計値は MITRE の公表内容に基づきます(最新は v19・2026年4月)。ATT&CK は定期的に更新されるため、参照時は公式サイトで最新版をご確認ください。