収集(Collection・MITRE 戦術).

外部送信(エクスフィルトレーション)前に関心ある情報を収集・整理する手法を扱う MITRE ATT&CK 戦術(TA0009)。 サイバーセキュリティの 防御と運用 カテゴリに属します。

外部送信(エクスフィルトレーション)前に関心ある情報を収集・整理する手法を扱う MITRE ATT&CK 戦術(TA0009)。

収集(MITRE ATT&CK 戦術 TA0009)は、攻撃者がエクスフィルトレーション前に価値あるデータを特定・準備するためのテクニックの集合です。スクリーンキャプチャ、キー入力記録、クリップボード監視、音声・映像のキャプチャ、ローカルおよびネットワークドライブ上のファイルのアーカイブ化、Microsoft 365 や Google Workspace のメールボックス収集、自動収集スクリプト、クラウドストレージバケットへのアクセスなどが含まれます。攻撃者は通常、データを一時ディレクトリの .zip・.rar・.7z などのステージング用アーカイブに圧縮・暗号化し、ネットワーク帯域と DLP シグネチャ回避を意識します。防御側は、DLP ルール、メールボックス監査ログ、異常なファイルアクセスパターン、大きなローカルアーカイブの作成、スクリーンキャプチャ/キーロガー API への EDR 検知、読み取りで発報するハニーファイルなどで検出します。

収集(Collection・MITRE 戦術) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

一般的な別名: データステージング, TA0009。