MITRE ATT&CK チートシート

MITRE ATT&CKフレームワークのクイックリファレンス。初期アクセス、実行、永続化、権限昇格、防御回避、認証情報アクセス、探索、横展開、収集、持出しを網羅

関連カテゴリ:セキュリティ

50 件のコマンド

T1566 - フィッシング

メール添付やリンクで悪意あるコンテンツを配信

検知: メールゲートウェイでSPF/DKIM/DMARC検証

T1190 - 公開アプリの悪用

公開されたWebアプリの脆弱性を悪用

検知: WAFルール + パッチ管理の徹底

T1133 - 外部リモートサービス

VPNやRDPなどの外部向けリモートサービスを悪用

対策: MFA必須 + VPNログ監視

T1078 - 有効なアカウント

正規の認証情報を使用して初期アクセスを取得

検知: 異常なログイン時間帯・場所をアラート

T1195 - サプライチェーン攻撃

ソフトウェアサプライチェーンを介して侵入

対策: SBOMの管理 + 依存関係の署名検証

T1059 - コマンド/スクリプト実行

PowerShell/Bash/Pythonなどでコマンドを実行

検知: Sysmon Event ID 1 でプロセス作成を監視

T1059.001 - PowerShell

PowerShellスクリプトやコマンドを悪用

対策: Constrained Language Mode + ScriptBlock Logging

T1047 - WMI

Windows Management Instrumentationでリモート実行

検知: wmic process call create をログ監視

T1053 - スケジュールタスク

タスクスケジューラやcronでコード実行をスケジュール

検知: schtasks /create をSIEMで監視

T1204 - ユーザー実行

ユーザーに悪意あるファイルやリンクを実行させる

対策: セキュリティ意識向上トレーニング

T1547 - ブート/ログオン自動起動

レジストリやスタートアップフォルダで自動起動を設定

検知: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 監視

T1053 - スケジュールタスク/cron

永続化のためタスクスケジューラやcronジョブを作成

検知: crontab -l / schtasks /query で定期チェック

T1136 - アカウント作成

永続アクセスのため新規アカウントを作成

検知: net user /add のイベントログ監視

T1543 - サービス作成/変更

システムサービスを作成または変更して永続化

検知: sc create / systemctl enable の監視

T1505.003 - Webシェル

Webサーバーにバックドアシェルを設置

検知: Webルート内の新規/変更ファイルを監視

T1548 - 権限制御メカニズムの悪用

sudo/UAC等の権限制御メカニズムを回避

検知: sudo -l の実行 + UACバイパスパターン監視

T1068 - 脆弱性の悪用

カーネルやソフトウェアの脆弱性で権限昇格

対策: カーネルとソフトウェアを最新に保つ

T1055 - プロセスインジェクション

正規プロセスにコードを注入して権限を取得

検知: Sysmon Event ID 8 (CreateRemoteThread) 監視

T1574 - DLLハイジャック

DLL検索順序を悪用して悪意あるDLLを読み込ませる

検知: 不正なDLLパスからのロードをプロセスモニターで監視

T1134 - アクセストークン操作

Windowsアクセストークンを操作して権限を取得

検知: Token impersonation APIコールの監視

T1070 - ホスト上の痕跡削除

ログやファイルを削除して活動の痕跡を消去

検知: イベントログ消去イベント (Event ID 1102) 監視

T1027 - 難読化されたファイル/情報

マルウェアや通信を難読化して検出を回避

検知: エントロピー分析 + サンドボックス実行

T1562 - 防御機能の無効化

ウイルス対策やファイアウォールを無効化

検知: Windows Defender無効化イベントを監視

T1036 - マスカレード

正規のファイルやサービスに偽装

検知: 署名検証 + ファイルハッシュのホワイトリスト

T1218 - LOLBins実行

Living Off the Land Binaries (正規ツール)を悪用

検知: mshta, certutil, rundll32 の不審な使用を監視

T1003 - OS資格情報ダンプ

SAM/LSASS/etc.から認証情報をダンプ

検知: LSASS.exeへのアクセスを監視 (Sysmon Event ID 10)

T1110 - ブルートフォース

パスワードの総当たり攻撃を実行

対策: アカウントロックアウト + レート制限

T1555 - パスワードストアからの取得

ブラウザやキーチェーンからパスワードを取得

検知: ブラウザのCredentialファイルへのアクセス監視

T1558 - Kerberoasting

Kerberosチケットをオフラインで解析して認証情報を取得

検知: TGSリクエストの異常な増加を監視

T1557 - 中間者攻撃

ネットワーク通信を傍受して認証情報を取得

対策: ネットワーク暗号化 (TLS) + 証明書ピンニング

T1082 - システム情報の探索

OS、ハードウェア、パッチ情報を収集

検知: systeminfo / uname -a の実行を監視

T1083 - ファイル/ディレクトリの探索

重要なファイルやディレクトリを列挙

検知: dir /s / find / ls -la の大量実行を監視

T1046 - ネットワークサービスの探索

ネットワーク上のサービスをスキャン

検知: 内部ネットワークのポートスキャンをIDS/IPSで検出

T1087 - アカウントの探索

ローカル/ドメインアカウントの一覧を取得

検知: net user / net group の実行を監視

T1016 - ネットワーク設定の探索

ネットワークインターフェースやルーティング情報を収集

検知: ipconfig / ifconfig / route の実行を監視

T1021.001 - RDP

リモートデスクトッププロトコルで水平移動

検知: RDP接続ログ (Event ID 4624, Logon Type 10) 監視

T1021.002 - SMB/Windows共有

SMBファイル共有を利用して水平移動

検知: SMBログオンイベント + 異常な共有アクセス監視

T1021.004 - SSH

SSH接続で水平移動

検知: SSH認証ログ + 鍵ベース認証の強制

T1570 - ツールの転送

攻撃ツールを水平移動先に転送

検知: 内部ファイル転送の異常パターンを監視

T1550 - 代替認証の使用

Pass-the-Hash/Ticketで認証情報なしに移動

対策: Credential Guard有効化 + NTLM制限

T1005 - ローカルシステムのデータ

ローカルファイルシステムから機密データを収集

検知: 大量ファイル読み取りのパターンを監視

T1114 - メール収集

メールボックスからデータを収集

検知: Exchange/M365のメールアクセスログ監視

T1056 - キーロギング

キーストロークを記録して機密情報を取得

検知: SetWindowsHookEx APIコールの監視

T1113 - スクリーンキャプチャ

画面のスクリーンショットを撮影して情報を収集

検知: BitBlt API / スクリーンキャプチャツールの監視

T1560 - データの圧縮・暗号化

持ち出し前にデータを圧縮・暗号化

検知: 7z / rar / tar の不審な実行を監視

T1041 - C2チャネル経由の持ち出し

既存のC2チャネル経由でデータを持ち出し

検知: C2通信の帯域異常をネットワーク監視

T1048 - 代替プロトコルでの持ち出し

DNS/ICMP等の代替プロトコルでデータを持ち出し

検知: DNSトンネリングパターンの検出

T1567 - Webサービス経由の持ち出し

クラウドストレージや正規Webサービスにデータを送信

検知: 大量アップロードをプロキシログで監視

T1029 - スケジュールされた転送

スケジュールに従ってデータを定期的に持ち出し

検知: 定期的な大量アウトバウンド通信パターンを検出

T1537 - クラウドアカウントへの転送

攻撃者管理のクラウドアカウントにデータを転送

検知: 新規外部クラウドサービスへの通信を監視