TTP (戦術、技法、手順)とは？

TTP (戦術、技法、手順)とは、攻撃者の行動と、サイバー攻撃を実行するための構造化されたフレームワークを指します。攻撃者は、ハクティビストや趣味で活動するハッカーから、単独で活動するサイバー犯罪者、地下組織、国家が支援する敵対者まで多岐にわたります。

サイバー攻撃のキルチェーンに含まれる戦術、技法、手順を理解することで、企業はプロアクティブなアプローチでセキュリティ脅威を発見して評価し、対応することができます。

では、さっそく見てみましょう。

セキュリティにおけるTTP：戦術、技法、手順の定義

TTPとは、システムアーティファクトや行動の特徴を包括的に示すものであり、主にセキュリティ担当者によって実際に観察される指標です。権限を持たない者が、次のようなブロックされたアクティビティや禁止されたアクティビティを行う際の詳細が示されています。

• ネットワークの変更
• 機密性の高いコンピューティングリソースへのアクセス
• 外部のコマンドサーバーやコントロールサーバーへのデータの送信

これらの行動指標は通常、一貫したフレームワークに従っており、差し迫ったサイバーセキュリティリスクが進行中であることを示唆します。TTPを効果的に活用すれば、サイバー脅威インテリジェンスやプロアクティブな脅威ハンティングなど、他のセキュリティユースケースにも役立ちます。

セキュリティフレームワークの1つであるMIRE ATT&CKには、攻撃者が実際に使用するTTPが包括的にまとめられています。

TTPを構成する3つの要素は、次のように定義されています。

• 戦術：攻撃者の行動と戦略の概要。戦術には、特定の目的を達成するために敵対者が採用する一連の行動と振る舞いが含まれます。
• 技法：戦術的な行動がどのように実現されるかを説明する大まかなガイドラインと、その過程で使用される方法。
• 手順：攻撃戦術を実行するために、技法を使って行われる一連のアクション。手順には、攻撃者が目標を達成できるようにカスタマイズされたアクティビティに関する詳しい説明が含まれます。

それでは、戦術、技法、手順について詳しく見ていきましょう。

戦術

攻撃者の戦術とは、サイバー攻撃キルチェーンのさまざまな段階における攻撃者の振る舞いを示します。キルチェーンには次のような段階があります。

• 偵察
• 配送と攻撃
• 目的の実行

潜在的な脅威を特定のキャンペーンによるものと容易に判断できるかどうかは、攻撃の新規性と洗練度によって異なります。脅威の指標が一般的な攻撃パターン(DDoS攻撃など)を示している場合、次のようなデータを収集することで、そのキャンペーン戦術の次の段階を予測できます。

• 最初の侵入経路
• 侵害されたノードや認証情報

高度な攻撃戦術では、悪意のあるペイロードを送り込むか、データ資産を外部のコマンドサーバーやコントロールサーバーに流出させるまで気付かれないように振る舞うことに集中しており、侵害したネットワークに対してごくわずかな変更しか加えません。

戦術を明らかにする方法

このような攻撃を検出する方法の1つは、異常なネットワークインシデントにつながるアーティファクト、ツール、インフラの変更を詳細に分析することです。

• ゼロデイ脆弱性を悪用する巧妙なサイバー攻撃は、高度に難読化または多層化され、解析が困難なカスタムツールを利用している場合があります。
• 対照的に、高度なスキルを持たないハッカーは、オープンソースや誰でも利用できるツールだけを使用する傾向があります。

攻撃者の戦術的な行動(侵入経路、攻撃ツール、インフラの変更、ネットワークトラフィックの挙動)のフィンガープリントを使用すれば、プロファイルを敵対者に関連付け、防御のための対抗措置をプロアクティブに承認できます。

技法

技法とは、あらゆる種類の問題を引き起こすための攻撃者の行動です。

• ネットワークに侵入する。
• コマンドセンターとコントロールセンターを確立する。
• トレースを残さずにネットワーク内を横方向に移動する。
• 分散されたネットワークの場所にマルウェアの感染を拡散する。
• 制御を確立して、インフラの変更やデータ転送を追跡できないようにする。

これらの技法はどちらかといえば一般的で、あらゆるサイバー攻撃キャンペーンに適用できます。そのため、攻撃者がシステムを侵害するために使用できる方法やツールを理解することが極めて重要です。

重要な違い：技法は、技術を特定するものではなく、キャンペーンの方法論にのみ焦点を当てており、関連する一連のアクションの指針となるものです。

たとえば、ソーシャルエンジニアリングによるスピアフィッシングの手口は、無防備なユーザーを騙してリンクをクリックさせ、悪意のあるペイロードをローカルマシンにダウンロードさせて、ログイン認証情報を盗むために使用されることがあります。この技法は、ソーシャルエンジニアリング攻撃をより説得力のあるものにするために、限られたユーザーを標的にするよう特別に設計されている場合があります。

技法の検出

攻撃の後半の段階、特にペイロードの送信、ネットワーク全体での展開、構成の変更、脆弱性の検出が見られる場合には、ツールの選択が重要となります。

この段階では、攻撃者は脆弱なシステムコンポーネントにカスタムコードをすでにインストールしている可能性があります。インストールの痕跡がまだ見つかっていない場合、情報セキュリティチームは次の点についてシステムを分析する必要があるでしょう。

• 設定の悪用
• インフラの変更
• 権限のエスカレーション
• システムに対するその他の不正な変更

サイバー攻撃の技法の最終段階では、方法論とツールが一緒に使用される場合があります。たとえば攻撃者は、侵害したデータ資産を、選択したネットワークプロトコルと暗号化スキームを使用して最初に難読化し、盗み出します。

手順

手順とは、選んだ技法と、慎重に作成した正確かつ実行可能な一連のアクション(つまり手順)を使用して戦術を実行する方法を詳細に説明したものです。

こうしたアクションは高度にカスタマイズされており、そのプロセスは、攻撃者が仕様に従って正確に実行できるように文書化されています。こうしたアクションは広範囲に及び、頻繁に繰り返される傾向にあります。

悪意のあるコードが送信されて、脆弱なソフトウェアに適用されると、データが自動的に収集される可能性があります。このようなコードは自動的に復号化され、関連するサービスやツールとやり取りします。

手順を理解する

セキュリティの分析担当者は、ネットワークログやイベントログを分析することで、こうした手順を再構築できます。また、この情報を分析するサイバーフォレンジックチームは、拡張キルチェーンプロセスや、攻撃者が採用した技法と戦術の解明にも注力します。

TTPはサイバー脅威インテリジェンスの基盤

TTP情報は、セキュリティ監視中に検出された脅威の兆候とトレースに関する、コンテキストに即したナレッジを得るための重要なガイドラインとなります。またTTPは、米国国立標準技術研究所(NIST)が推奨するコミュニティベースのオープンなサイバーセキュリティプログラムの一部でもあります。NISTは、TTPナレッジベースの共有に関するガイドラインを提供して、企業のセキュリティ態勢の改善を支援しています。

このブログはこちらの英語ブログの翻訳です。