About MITRE ATT&CK

1. アタック No.1 について
森口裕史（もりぐちひろふみ）
Twitter @hmorigu
40～50年くらい前の
バレーボールアニメでは。
どうセキュリティと話がつ
ながるの？

2. マルウェア対策について
従来のマルウェア対策
EPP（Endpoint Protection Platform
シグネチャベースでのハッシュ値比較
新しいマルウェア対策
EDR（Endpoint Detection and Response）
マルウェアが侵入してきた後に被害を最小化する。
操作・動作の記録・監視を行い検知する。
→ EPPの限界

3. EDRの中で優れた製品は？
EDR各社の製品、Webサイトには以下のような記載
MITRE社のATT&CK製品評価テストにおいて最高レベルの評価
MITREのATT&CKを用いた製品評価において最高峰の結果
MITRE社によるATT＆CK評価でリーダーの地位を獲得
MITRE社のATT＆CK評価に関して、リーダーの地位を獲得
MITRE社のATT＆CK評価において業界をリード
MITRE ATT＆CKで最も高い評価
どの社のどの製品が1位なんだ？
そもそも、MITRE ATT&CKってなんなんだ？

4. MITRE ATT&CKって何？
 MITRE とは
「マイター」と読みます。
正式には The MITRE Corporation
米国連邦政府が資金援助をする非営利の団体
脆弱性の CVE番号 を管理
 ATT&CK とは
「アタック」と読みます。
MITRE による、 Adversarial Tactics, Techniques, and Common
Knowledge （敵の戦術、テクニック、および常識）のこと。
各種攻撃パターンを体系化したもの
各社の点数を付けたりランキングするものなの？

5. MITRE ATT&CK
https://attack.mitre.org/
https://www.socyeti.jp/posts/4873582

6. 各社の評価は？
 各社の比較って？
 Evaluations https://attackevals.mitre.org/
→ APT3 というサイバー攻撃集団による攻撃をどう検知対応できる
か、各製品を評価
検知できているか、リアルタイム検知できているかなどの評価を
している。
→ あくまでできるかできないかだけで、点数付けや、順位などはな
い。
各社の評価をもとに、（都合よく？）順位付けなどするので、各
社「わが社が最高評価」となる。

7. 結論
 APT3 では、初期７社 + 追加５社の現在12社だが、APT29
の対応状況調査がされており、21社が参加。
→ この結果が公開されると、更に「○○に関しては1
位！」というのが増えそう。
 実運用を考えると、製品だけ評価するのではなく、運用負
荷の観点などもトータルに考えて。
 MITRE ATT&CK の評価1位！ という言葉に惑わされ過ぎない。
「アタックNo.1 に振り回されない！」