日本電気株式会社(NEC)は5月27日、2022年5月版の「MITRE ATT&CK 頻出手口 トップ10」を同社セキュリティブログで発表した。
同社では、2020年度の下期(2020年10月~2021年3月)から半期ごとに国内外のサイバー脅威分析レポートを対象に、攻撃手口をMITRE ATT&CKフレームワーク(v10)へマッピングし独自に分析した結果を公表している。
2021年10月から2022年3月に収集・分析した脅威分析レポート101件の中で、MITRE ATT&CK に基づくサイバー攻撃の手口(Technique)の出現数トップ3は下記の通り。
1位(出現数152):T1059 Command and Scripting Interpreter(コマンドとスクリプトインタプリタ)
2位(出現数102):T1036 Masquerading(偽装)
3位(出現数93):T1027 Obfuscated Files or Information(難読化されたファイルや情報)
ATT&CK v10ではTechniqueが188、Sub-Techniqueが379で合計567のATT&CK IDがEnterpriseドメインでは定義されているが、今回の集計では、少なくとも1回は出現した攻撃手口は288で全体の約半数、10回以上出現した攻撃手口は67で全体の1割強であった。
前回や前々回の集計結果と比較すると、順位に若干の入れ替わりはあるが、上位にランクインしている攻撃手口は変わっておらず、コマンドやスクリプトインタプリタの実行、マルウェアの正規ファイルへの偽装、マルウェアや悪意あるファイルの難読化、攻撃インフラから追加の攻撃ツールの取得といった手口は、攻撃者がサイバー攻撃を行う上で欠かせないものであると考察している。同ブログではさらに、よく使われる手口に加え、新しく出てきた脅威についても十分注意する必要があると指摘している。
また同ブログでは、2022年4月25日に公開されたATT&CK v11についての大きな変化として、MobileドメインにもSub-Techniqueが導入されたこと、ICSドメインがATT&CKのサイト(attack.mitre.org)に統合されたことを挙げている。
