防御回避(Defense Evasion).

検知を回避し、セキュリティ製品を無効化し、活動を隠すために攻撃者が用いる手法をまとめた MITRE ATT&CK 戦術(TA0005)。 サイバーセキュリティの 防御と運用 カテゴリに属します。

検知を回避し、セキュリティ製品を無効化し、活動を隠すために攻撃者が用いる手法をまとめた MITRE ATT&CK 戦術(TA0005)。

防御回避(MITRE ATT&CK 戦術 TA0005)は、セキュリティ統制を回避・盲目化・誤認させるためのテクニック群で、ATT&CK マトリクスの中でも特に大規模な戦術の 1 つです。難読化・暗号化されたペイロード、プロセスインジェクション、DLL サイドローディング、署名済みバイナリを介した実行(LOLBins)、EDR/AV の無効化・アンインストール、イベントログの消去、正規プロセスへのなりすまし(マスカレード)、信頼済みディレクトリの悪用、ルートキット、BYOVD(脆弱なドライバの持ち込み)などが含まれます。侵入の各段階に交差して現れることが多いのが特徴です。防御側は、カーネルレベルのテレメトリ、EDR のタンパープロテクション、改ざん不能なログ、署名済みバイナリの資産管理、活動連鎖に着目した振る舞い検知で対抗します。

防御回避(Defense Evasion) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

一般的な別名: 防御回避戦術, TA0005。