ssecutils
Security / Browser-native guide

MITRE ATT&CK入門 - 戦術・技術・手順とID体系、実務での使い方

著者 aki公開 10

MITRE ATT&CK(アタック)は、実際に観測された攻撃者の振る舞いを体系化した知識ベースです。「攻撃者は何を狙い(戦術)、どうやって実現するのか(技術)」を共通の語彙で整理しており、SOC・脅威ハンティング・検知エンジニアリング・脅威インテリジェンスの事実上の共通言語になっています。非営利の MITRE が無償で公開・更新しており、最新は2026年4月リリースの v19 です。

本記事は ATT&CK の構造(戦術・技術・手順)とID体系を入門レベルで押さえ、実務でどう使うか、そして Cyber Kill Chain など他フレームワークとの違いまでをまとめます。当サイトの個別攻撃記事( LOLBins ClickFix など)が ATT&CK のどこに位置づくかも見えてきます。

ATT&CK とは何か(OWASPとの違い)

ATT&CK は Adversarial Tactics, Techniques, and Common Knowledge の略。脆弱性のカタログではなく、「攻撃者が侵入後に何をするか」という“行動”のカタログです。ここが OWASP Top 10 との大きな違いです。OWASP は「Webアプリのどんな弱点を作り込みがちか(守る側の作り込みリスク)」を扱うのに対し、ATT&CK は「攻撃者の実際の手口」を網羅的に扱います。両者は補完関係にあります。

対象範囲(マトリクス)は3つに分かれます。

  • Enterprise:Windows/macOS/Linux、クラウド、コンテナ、ネットワーク機器など。最も使われる。
  • Mobile:iOS / Android。
  • ICS:産業制御システム。

3層構造:戦術・技術・手順

ATT&CK の肝は、攻撃を抽象度の異なる3つの層で表すことです。よく「TTPs(Tactics, Techniques, and Procedures)」と呼ばれます。

Tactics(戦術)= なぜ(攻撃者の目的)

マトリクスのにあたる、攻撃者の「達成したいゴール」です。Enterprise には14の戦術があり、おおむね攻撃の進行順に並びます。

偵察(Reconnaissance) → リソース開発(Resource Development)
→ 初期アクセス(Initial Access) → 実行(Execution)
→ 永続化(Persistence) → 権限昇格(Privilege Escalation)
→ 防御回避(Defense Evasion) → 認証情報アクセス(Credential Access)
→ 探索(Discovery) → 横展開(Lateral Movement)
→ 収集(Collection) → C2(Command and Control)
→ 持ち出し(Exfiltration) → 影響(Impact)

各戦術には TA0001 のようなIDが振られています(例: Initial Access = TA0001)。

Techniques(技術)= どうやって

戦術を達成する具体的な手段です。T+4桁の番号で表し、より細かいサブ技術.001 のように枝番が付きます。例:

v18時点で Enterprise は 216技術・475サブ技術を収録しています。

Procedures(手順)= 実際の実装例

特定の攻撃グループやマルウェアが、その技術を具体的にどう実行したかの記録です。「APT29 が PowerShell でこういうコマンドを使った」といった粒度で、検知ルール作成の素材になります。

知識ベースを支える4つの要素

ATT&CK は技術だけでなく、攻撃の文脈を結びつける情報も持ちます。

  • Groups(Gxxxx):APT29、Lazarus などの攻撃グループ。使う技術が紐づく。
  • Software(Sxxxx):マルウェアやツール(Cobalt Strike など)。
  • Campaigns(Cxxxx):特定の攻撃作戦。期間や標的が紐づく。
  • Mitigations / Detection Strategies:各技術に対する緩和策と検知の指針。v18(2025年10月)で従来の Data Sources/Detections がDetection Strategies と Analytics に刷新され、より実装に近い検知記述になりました。

なおv19(2026年4月)では、肥大化していた Defense Evasion(防御回避)戦術が Stealth(隠密)と Defense Impairment(防御妨害)に分割されるなど、構造の見直しが続いています。フレームワークは生き物であり、バージョンを意識して参照することが大切です。

実務での使い方

  1. 共通言語にする:インシデントや脅威情報を「T1566.002 のフィッシングから T1059.001 で実行」のように記述すると、チーム間・ツール間で齟齬なく共有できる。
  2. 検知エンジニアリング:自社の検知ルール(SIEM/EDR)を技術IDにマッピングし、「どの技術を検知できているか」を棚卸しする。
  3. カバレッジの可視化ATT&CK Navigator でマトリクスをヒートマップ化し、検知できている技術/いない技術を色分け。防御の穴が一目でわかる。
  4. 脅威インテリジェンス主導の優先順位付け:自社の業界を狙う Group が使う技術を優先的に塞ぐ。やみくもに全216技術を追わず、関連の高いものから
  5. パープルチーム/演習:レッドチームが技術IDで攻撃を再現し、ブルーチームが検知できるかを検証。ATT&CK Evaluations はベンダー製品の検知力比較にも使われる。

図解案:個別攻撃を ATT&CK にマッピング

戦術:   初期アクセス → 実行 → 認証情報アクセス → C2 → 影響
        ─────────────────────────────────────────────
ClickFix  T1566 ── T1059(PowerShell)
                       │
インフォ              └─▶ T1555/T1539(Cookie/PW窃取)
スティーラー                         │
                                    └─▶ T1071(C2) → ランサムT1486

★ 個別の攻撃も、ATT&CK上では「戦術×技術の連なり」として一望できる

他フレームワークとの違い

  • Cyber Kill Chain(Lockheed Martin):7段階の直線的なモデル。攻撃の大きな流れを捉えるのに向くが、各段の具体的手口は粗い。ATT&CK は手口を網羅的・実証的に深掘りする点で補完的。
  • Diamond Model:敵・能力・インフラ・被害者の関係を分析する枠組み。ATT&CK の技術情報と組み合わせて使われる。

まとめ

MITRE ATT&CK は、攻撃者の振る舞いを「戦術×技術×手順」で体系化した共通言語です。脆弱性ではなく“行動”を扱う点で OWASP と補完関係にあり、検知の棚卸し・脅威情報の整理・防御の穴の可視化に直結します。まずは自社に関係する技術から ATT&CK Navigator でマッピングしてみるのが、最初の一歩として実用的です。

当サイトの攻撃解説—— ClickFix LOLBins セッション窃取 サプライチェーン攻撃 ——は、いずれも ATT&CK の特定の戦術・技術に対応します。フレームワークを軸に読み返すと、点だった知識が攻撃ストーリーとしてつながります。

※ 本記事のバージョン情報・統計値は MITRE の公表内容に基づきます(最新は v19・2026年4月)。ATT&CK は定期的に更新されるため、参照時は公式サイトで最新版をご確認ください。

この記事を書いた人
akiサイバーセキュリティ実務者 / エンジニア

サイバーセキュリティ業界で実務に携わるエンジニア。脆弱性・認証・暗号・ネットワークなど、現場で必要になる知識を開発者・運用担当者向けにかみ砕いて解説しています。

運営者・編集方針について

本記事は一般的な情報提供を目的とした解説であり、特定環境での動作・安全性・成果を保証するものではありません。実際の対策の適用は、各自の環境と責任において判断してください。

Related reading

関連記事

Security22
日本国内の主要セキュリティインシデント事例(2020–2025)国内の主要なセキュリティインシデント12件を一覧で俯瞰し、VPN未更新・委託先/グループ経由・弱い認証という繰り返し現れる侵入経路と失敗パターン、日本企業が今すぐ確認すべき対策チェックリストを事例研究として整理します。
Security12
ノートン vs ウイルスバスター 比較2026 - どちらを選ぶべきかNorton 360とウイルスバスタークラウドを料金・機能・サポート・動作の軽さで比較。VPN・バックアップ内蔵のオールインワンか、Pay Guard・24時間日本語電話サポートの国内安心感か。用途別の選び方を解説します。
Security10
ウイルスバスター クラウド レビュー - 機能・料金・特徴を解説トレンドマイクロのウイルスバスタークラウドの機能・料金プランを解説。AI検知・ランサムウェア対策(フォルダシールド)・Pay Guard・フィッシング対策など、国内シェアNo.1セキュリティソフトの全体像をまとめます。
Security10
ノートン 360 レビュー - 機能・料金・特徴を解説【世界No.1】世界販売台数No.1のノートン(Norton 360)の機能・料金プランを解説。リアルタイム保護・VPN・パスワードマネージャー・クラウドバックアップ・ダークウェブモニタリングなど、オールインワンセキュリティの全体像をまとめます。