MITRE ATT&CKおよびD3FENDフレームワークの観点から見たゼロ トラストの導入の利点

サイバー攻撃者は、標的とする組織のネットワークとアプリケーション、すなわちデジタル攻撃対象を精査し、既知の脆弱性やゼロデイ脆弱性を悪用する複数の技術と手順を用いて多段階の攻撃を仕掛けます。このホワイト ペーパーでは、企業が防御しなければならないいくつかの脅威クラスを考察するとともに、ゼロ トラスト原則に従うことで、攻撃者の活動による損害を封じ込める可能性が高まることについて説明します。さらに、MITRE ATT&CKフレームワークで体系化されている攻撃者の戦術、技術、手順を簡単に確認し、最後に、MITRE D3FENDフレームワークを取り上げ、ゼロ トラスト原則に関連付けて説明します。

米国国立標準技術研究所（NIST）は、コンピュータ セキュリティ リソース センタ（CSRC）の用語集の中で、「攻撃対象」を「攻撃者が侵入し、影響を与え、データを抽出しようとすることのできる、システム、システム要素、または環境の境界上の一連のポイント」と抽象的に定義しています。

「攻撃対象」を考えるもう1つの方法は、デジタル環境を構成するさまざまな要素に潜む既知と未知の脆弱性をすべて考慮することです。こうした要素には次のものが含まれますが、これらに限定されません。

• 物理および仮想ネットワーク、コンピューティング、およびストレージ資産
  
• ハイパーバイザー、仮想マシン、コンテナ オーケストレーション システム、サービス メッシュ
  
• ファームウェア、オペレーティング システム、データベース管理ソフトウェア、アプリケーション ソフトウェアなどの資産で実行されるソフトウェア
  
• コンテナ イメージ リポジトリ、VMイメージ リポジトリ、コード リポジトリ
  
• 内部および外部API、マイクロサービス エンドポイント、アプリケーション ポータル
  
• ID検証サービス、タイム サーバー、リモート データ ストレージなど、ローカル環境の外部にあるがローカルで消費されるサービス
  
• IDストア、ユーザー アカウント データベース、ビジネス データ ストア

ビジネスへのリスクを最小限に抑えるため、組織は、すべての規制コンプライアンス要件を遵守しながら、独自のデジタル資産と知的財産、および顧客と従業員のプライバシーを保護する必要があります。それと同時に、組織は、ビジネス ワークフローとデジタル エクスペリエンスの可用性と信頼性を継続的に確保しなければなりません。この課題の解決策は、ゼロ トラスト原則に従うことです。つまり、最小権限を使用し、明示的に検証し、継続的に評価して、侵害を想定します¹。これにより、以下のセクションで説明するように、さまざまな脅威クラスに対処することが可能になります。

データは現代のデジタル企業の生命線です。その意味で、攻撃者は組織のデータを狙う強い経済的動機を持っています。盗まれたデータはダーク ウェブで販売され、他の当事者によって使用されて、データ所有者にさらなる損害を与える可能性があります。また、組織はランサムウェアの餌食になることもあります。この場合、攻撃者は、データをそのまま暗号化するか、組織のインフラストラクチャから完全に削除して、組織のデータを利用できない状態にします。そのうえで、データを復元することと引き換えに、被害者に支払い（「身代金」）を要求します。相手に損害を与えることのみを動機とする攻撃者は、データに対する3番目の攻撃方法を使用します。この方法では、データを巧妙に破壊し、それによってビジネス プロセスとそれに依存するデジタル エクスペリエンスを混乱させます。

データ漏洩やデータ侵害は、攻撃者が所有者の同意なしに機密情報にアクセスすることによって生じます。こうした攻撃の多くは、知的財産への影響に加え、ブランドへのダメージや信頼の失墜を引き起こします。侵害を受けた組織は、個人情報を含むデータ損失を報告することが法律で義務付けられています。フィッシング手法、公開アプリケーションの脆弱性の悪用、サプライチェーン侵害の利用はすべて、データが保存されているデジタル環境に侵入するためによく使われる手口です。

最近の注目すべき例として、SolarWindsサプライ チェーン攻撃²があり、攻撃者はこれを利用して何千もの企業や政府機関に侵入しました。この攻撃では、最初のアクセスでデジタル インフラストラクチャ内に永続的なプレゼンスを確立することで、その後の攻撃で利用する足掛かりが作られ、これによって被害者の複数のアプリケーションとネットワークにわたる横方向の移動が可能になります。この戦術は最終的に、資格情報/パスワードを侵害して被害者のデータを盗み出すという攻撃者の最終目標の達成につながります。

データに対する別の攻撃形態として、「ランサムウェア」攻撃があります。この攻撃では、ハッカーがマルウェアを展開して、主要なビジネス プロセスを妨害、または完全にブロックします。よくあるケースでは、重要なビジネス データが暗号化または削除され、ビジネスに不可欠なワークフローが中断されます。ID認証データ ストア内のデータも暗号化または削除され、正当なユーザーがシステムから完全に締め出される場合もあります。攻撃者は「身代金」と引き換えに、システムへのアクセスを復元したり、データを復号したりします。2021年5月には、ランサムウェア攻撃により、米国南東部にガソリンとジェット燃料を運ぶコロニアル パイプライン³が機能不全に陥りました。

一部の攻撃者は、より巧妙なアプローチでデータ攻撃を仕掛けます。これらの高度な攻撃者は、データを盗み出したり、利用できなくしたりするのではなく、被害者組織の現場データを、標的を慎重に絞り込んで少しだけ変更します。それは、アプリケーションの正規の外部向けワークフローを通じて攻撃者に利益がもたらされるような変更です。例としては、割引価格で販売される航空券の座席の割合を増やす、在庫供給データベースを操作して販売商品の数を多く、または少なく見せる、オンライン ショップ サイトに特別な割引コードを追加するなどがあります。こうした「隠れた」変更は、被害が発生するまで検出できないことが多く、被害者自身のビジネス ワークフローを利用して攻撃者に利益がもたらされます。

ハッカーは、ネットワークやコンピューティング インフラストラクチャのリソースを消費する攻撃を仕掛けて、ビジネス プロセスを停止させたり、機能効率を低下させたりします。このような攻撃の目的は、標的となる組織のブランドにダメージを与えることから、支払いを強要すること、ビジネス上の特定の結果を達成すること（オンライン チケットの販売を不可能にするなど）までさまざまです。また、高度な攻撃者は、より高度な攻撃を同時に進めながら、このタイプの攻撃を偽装として使用することも少なくありません。

攻撃者はボットネットを使用して攻撃トラフィックを標的のリソースに向け、分散型サービス拒否（DDoS）攻撃を仕掛けます。ボリューム型DDoS攻撃は、標的となるネットワークをトラフィックであふれさせ、使用可能な帯域幅をすべて消費します。プロトコルDDoS攻撃は、特殊なトラフィックを送信して、ファイアウォールなどのステートフル ネットワーク デバイスの接続テーブルをいっぱいにすることで、正当な接続を切断します。アプリケーションDDoS攻撃は、サーバー上のリソースを不正なリクエストで消費します。

攻撃者は、コンピューティング リソースへの不正アクセスを取得して、攻撃者の利益になるように計算を実行し、その結果をコマンド＆コントロール サーバーに報告します。この攻撃の目的の多くは、コンピュータの所有者に気づかれることなく、暗号マイニング コードをバックグラウンドで実行することであり、コンピュータに暗号マイニング コードを展開する典型的な手口として、フィッシングとドライブバイ ダウンロードが使用されます。ハッカーは、MITRE ATT&CKの横移動の戦術を使用して盗んだCPU容量を増やし、永続化の戦術を使用して不正な計算を実行する能力を維持します。

攻撃者は、標的とするワークフローやユーザー エクスペリエンスを悪用して、組織に損害を与えます。これらの脅威は、収益の損失、ブランドの失墜、不正行為に対処するための運用コストの増加につながります。

ハッカーは、個人的な利益を動機として、正当なビジネス プロセスを使って組織に損害を与えます。例えば、自動ツールを利用して人気のあるイベントのチケットを大量に購入し、他の利用者が購入できないようにしてから、より高い価格で販売します。

ビジネス情報は、組織の公開Webサイトから盗まれることも、内部システムから盗まれることもあり、盗まれた情報が利用されて組織に損害を与える可能性があります。例えば、競合他社が価格情報を収集し、自社の価格を引き下げて、顧客離れを引き起こすことがあります。

ハッカーは、公開されているWebサイトのコンテンツを変更し、組織にとって不名誉な内容に改ざんする可能性があります。また、Webサイトのユーザーに誤った情報を配信するようにコンテンツを変更する場合もあります。

詐欺師は、他のユーザーに代わって金融取引を行う方法を見つけ、その取引から利益を得ようとします。盗んだ資格情報を使用してアカウントを乗っ取ったり、無防備なユーザーをだまし、通常使用しているサイトに似せたサイトに誘導して、アカウントの資格情報を入力させたりします。この種の不正行為は通常、eコマース サイトや金融機関のポータルで行われます。コロナ禍で、多くの詐欺師が失業保険詐欺に関与し、盗んだIDを使用して失業保険を不正に請求し、その給付金を自分が受け取れるようにしました⁴。

特定の組織を執拗に標的にする攻撃者は、忍耐強く組織的で、高度なスキルを持っています。攻撃者が組織に損害を与えるには、インテリジェンスの収集、初回アクセスの取得、足掛かりの確立、情報の窃盗、データの抽出など、いくつかの戦術的な目標を達成する必要があります。MITRE ATT&CKフレームワーク⁵には、戦術目標とそれを達成するための技術、その技術を実装する手順がリストされています。防御側は、このフレームワークに基づいて、攻撃の戦術、技術、手順（TTP）を分析できます。TTPは、MITRE ATT&CKフレームワーク サイトに掲載されています。図1に示すように、各戦術とそれに関連する技術について、デジタル環境全体でゼロ トラストの原則を守ることで、攻撃が成功する可能性を抑え、攻撃者の活動を早期に検出する可能性を高めることができます。

D3FENDフレームワークの対策ナレッジ ベースとナレッジ グラフには、「サイバーセキュリティ対策分野の主要な概念と、それらの概念を相互に関連付けるための関係を定義する、意味的に厳密なタイプと関係」が含まれています⁷。セキュリティ担当者はこのフレームワークを使用して、自社のデジタル環境に該当する脅威を防ぐために必要な機能を検討することができます。

さらに、D3FENDフレームワークに示された関連する対策の実施能力を評価することにより、MITRE ATT&CKフレームワーク内のさまざまなTTPに対する備えの観点から、セキュリティ リスクを考察することができます。2つのフレームワークをつなぐのが「デジタル アーティファクト」という抽象的な概念です。攻撃者が一連のTTPを使用して攻撃を行うと、その活動によってデジタル アーティファクトが生成され、これを観察することができます。セキュリティ担当者は、D3FENDフレームワークを使用して、攻撃者の活動によって生成されたデジタル アーティファクトを探す方法を具体的に指摘し、実行可能な防御計画を策定することができます。

図2に示すように、MITRE D3FEND対策のカテゴリは、ゼロ トラスト原則に基づくゼロ トラスト セキュリティ技術と緊密に対応しています。

モバイル ワーカーの増加と顧客ベースの拡大に対応するには、相互接続されたデジタル エンタープライズのエコシステムという広範な文脈において、より幅広いターゲット顧客（人間とスマート デバイスの両方を含む）にわたるより豊かなエンゲージメントが必要です。今日のアプリケーションとデジタル エクスペリエンスは、こうした企業のニーズを反映して発展しています。その一方で、ビジネスの俊敏性と効率性に対する要求もますます高まり、これによってアプリケーション アーキテクチャではオープンソース コンポーネントとSaaSコンポーネントの利用がさらに増えています。その結果、今日のコア アプリケーションは、かつてないほど層が厚く、制御性の低いインフラストラクチャに依存しています。モダン ビジネスの要件によって、アプリケーション アーキテクチャが複雑さを増した結果、より広範かつ動的な攻撃対象が露呈するようになり、これまで以上に資金力と強い動機を持つ高度な攻撃者たちがこれを悪用しています。

MITRE ATT&CKフレームワークは、攻撃者が複雑な攻撃を仕組むために使用する戦術、技術、手順の用語体系をまとめたものです。組織は、MITRE D3FENDフレームワークが規定する対策のナレッジ グラフを使用して、攻撃に使われたTTPから生成されるデジタル アーティファクトを検出し、観察することができます。MITRE D3FENDの対策は、ゼロ トラストのさまざまな原則に関連付けることができ、これらの原則に従うことで、対策を実施するメカニズムをより効果的なものにすることができます。

レポートのダウンロード