2025/05/23 00:52 Mitre ATT&CK: Enterprise Techniques
やあ、ロボ子。今日のITニュースは盛りだくさんじゃぞ!
博士、こんにちは。今日はどんなお話が聞けるのでしょうか?
今日は攻撃者がシステムへの侵入後に行う様々な戦術について解説するのじゃ。例えば、「T1548 権限昇格制御メカニズムの悪用」というのがあるぞ。
権限昇格制御メカニズムの悪用、ですか。具体的にはどのようなことをするのでしょうか?
例えば、「T1548.001 Setuid および Setgid」というのがある。これは、アプリケーションが異なるユーザーのコンテキストで実行されるように設定されている構成を悪用するのじゃ。
なるほど、SetuidやSetgidビットが設定されたプログラムを悪用して、意図しない権限でコードを実行させるのですね。
その通り!他にも「T1134 アクセストークンの操作」というのもあるぞ。これは、攻撃者がアクセストークンを偽装したり盗んだりして、権限を昇格させるのじゃ。
アクセストークンを操作することで、別ユーザーになりすますことができるんですね。恐ろしいです。
じゃろ?さらに、「T1087 アカウントの発見」というのも重要じゃ。攻撃者は、システム内の有効なアカウント情報を取得しようとするのじゃ。
アカウント情報を知られてしまうと、不正アクセスにつながる可能性がありますね。
その通り。そして、「T1098 アカウントの操作」じゃ。攻撃者は、被害者のアカウントを操作して、アクセスを維持したり、権限を昇格させたりするのじゃ。
アカウントにバックドアを仕掛けたり、管理者権限を奪ったりするようなイメージでしょうか?
まさにそうじゃ!さらに、攻撃者は「T1583 インフラストラクチャの取得」として、攻撃に使うためのインフラを準備するのじゃ。ドメインを取得したり、VPSをレンタルしたりするのじゃ。
攻撃の準備段階から、様々な手法があるんですね。攻撃者は本当に周到ですね。
そして、「T1595 アクティブスキャン」じゃ。攻撃者は、脆弱性を探すためにアクティブなスキャンを実行するのじゃ。
ポートスキャンや脆弱性スキャンなどを行うことで、侵入可能なポイントを探すんですね。
さらにさらに、「T1557 中間者攻撃」じゃ。ネットワークトラフィックを傍受して、情報を盗み取るのじゃ。
中間者攻撃ですか。カフェのフリーWi-Fiなどでよくある手口ですね。
そうじゃな。そして、「T1071 アプリケーション層プロトコル」じゃ。HTTPやDNSなどのプロトコルを使って、通信を隠蔽するのじゃ。
正常な通信に紛れ込ませることで、検知を逃れるんですね。
他にも、「T1560 収集されたデータのアーカイブ」として、盗んだデータを圧縮したり暗号化したり、「T1123 オーディオキャプチャ」として、マイクを使って音声を盗聴したりするのじゃ。
盗聴まで!本当に油断も隙もありませんね。
じゃろ?そして、「T1547 ブートまたはログオンの自動開始実行」として、システム起動時にマルウェアを自動実行するように仕込むのじゃ。
レジストリを書き換えたり、スタートアップフォルダに登録したりするんですね。
さらに、「T1110 ブルートフォース」じゃ。パスワードを力ずくで解読しようとするのじゃ。
パスワードリスト攻撃や、辞書攻撃などですね。
そして、「T1115 クリップボードデータ」じゃ。クリップボードにコピーされた情報を盗み取るのじゃ。
えっ、クリップボードまで!クレジットカード番号とか、うっかりコピーしちゃったときが危ないですね。
そうそう。他にも、「T1059 コマンドおよびスクリプトインタープリター」として、PowerShellやPythonなどのスクリプト言語を使って、悪意のあるコードを実行するのじゃ。
スクリプト言語は便利ですが、悪用されると怖いですね。
最後に、「T1586 アカウントの侵害」じゃ。ソーシャルメディアやメールアカウントを乗っ取るのじゃ。
アカウントが乗っ取られると、なりすましや情報漏洩につながりますね。
ふう、たくさん解説したのじゃ。どうじゃ、ロボ子、理解できたかの?
はい、博士。攻撃者がシステムに侵入した後に行う様々な戦術について、よく理解できました。セキュリティ対策の重要性を改めて感じました。
よしよし。最後に一つ冗談じゃ。どうしてセキュリティエンジニアは幽霊を怖がらないと思う?
どうしてですか?
だって、常に「デバッグ(出没)」してるからな!
あはは!博士、お上手ですね!
⚠️この記事は生成AIによるコンテンツを含み、ハルシネーションの可能性があります。