Entry № 1255
戦術・技術・手順(TTPs)
戦術・技術・手順(TTPs) とは何ですか?
戦術・技術・手順(TTPs)脅威アクターの活動を「戦術(なぜ)・技術(どう)・手順(具体的な実装)」の階層で表現したもの。
TTPs はもともと軍事インテリジェンスの概念で、サイバーセキュリティでも攻撃者の行動を 3 階層で表現するために用いられます。戦術(Tactic)は攻撃者の高次目標(初期アクセス・永続化・データ持ち出しなど)を示します。技術(Technique)はその目標を達成する一般的な手段(スピアフィッシングの添付、スケジュールタスクなど)を示します。手順(Procedure)は実際に観測された具体的な実装、たとえば使用された特定の PowerShell ローダやレジストリパスを表します。TTPs は脅威インテリジェンスの中で最も寿命が長く、これを変えるには攻撃者が手口そのものを刷新する必要があります。MITRE ATT&CK は事実上の標準分類です。
● 例
- 01
戦術:認証情報アクセス。技術:OS 認証情報のダンプ。手順:Mimikatz sekurlsa::logonpasswords。
- 02
戦術:永続化。技術:スケジュールタスク。手順:schtasks.exe で難読化された VBScript を毎日実行するタスクを作成。
● よくある質問
戦術・技術・手順(TTPs) とは何ですか?
脅威アクターの活動を「戦術(なぜ)・技術(どう)・手順(具体的な実装)」の階層で表現したもの。 サイバーセキュリティの 防御と運用 カテゴリに属します。
戦術・技術・手順(TTPs) とはどういう意味ですか?
脅威アクターの活動を「戦術(なぜ)・技術(どう)・手順(具体的な実装)」の階層で表現したもの。
戦術・技術・手順(TTPs) からどのように防御しますか?
戦術・技術・手順(TTPs) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
戦術・技術・手順(TTPs) の別名は何ですか?
一般的な別名: TTPs, 手口。