MITRE ATT&CK とは

MITRE ATT&CK（マイター・アタック）は、米国の非営利組織 MITRE が公開している、実際のサイバー攻撃で観測された攻撃者の手口を体系的に整理した、世界共通のナレッジベースです。攻撃を「戦術（Tactic）= 攻撃者の目的に沿ったフェーズ」と「技術（Technique）= その目的を達成する具体的な手法」の二層で分類します。

当サイトでは、各事例の「攻撃の流れ」を ATT&CK の戦術レベルで記述しています。公表・確認済みの情報に基づく戦術のみを並べ、未公表の段階は推測せず省略しています。技術ID（例: T1190）は、出典に明記がある場合のみ補助的に添えています。

出典: MITRE ATT&CK 公式サイト（attack.mitre.org）

戦術（フェーズ）の一覧

ATT&CK のフェーズ順。各戦術名をクリックすると、その戦術が観測された事例を一覧で絞り込めます。括弧内は当サイトの登録事例数。

偵察 TA0043 —

攻撃対象の情報を事前に下調べする段階。公開情報や外部公開機器の調査など。
リソース開発 TA0042 —

攻撃に使う基盤（マルウェア・偽サイト・アカウントなど）を準備する段階。
初期アクセス TA0001 20件

組織のネットワークへ最初に侵入する段階。VPN機器の脆弱性悪用やフィッシングが典型。
実行 TA0002 —

侵入先で悪意あるプログラムを実行する段階。
永続化 TA0003 —

再起動や対処後も居座り続けるための足場を作る段階。
権限昇格 TA0004 —

より強い権限（管理者など）を奪取する段階。
防御回避 TA0005 —

ウイルス対策やログ監視などの検知・防御を回避する段階。
認証情報アクセス TA0006 2件

ID・パスワードなどの認証情報を盗み取る段階。使い回しは被害を広げる。
探索 TA0007 —

侵入後に内部のネットワークやサーバ構成を調べる段階。
横展開 TA0008 5件

侵入した1台から他の端末・サーバへ侵害を広げる段階（横展開）。
収集 TA0009 —

窃取・暗号化の対象データを収集する段階。
C2（遠隔操作） TA0011 —

攻撃者が外部から遠隔操作するための通信を確立する段階。
持ち出し（情報窃取） TA0010 14件

収集したデータを外部へ持ち出す段階。情報漏えいに直結する。
影響（暗号化・破壊） TA0040 17件

システムの暗号化・破壊・停止など、実害を与える段階。診療停止の主因。