MITRE ATLASとは何か？：概要編

MITRE ATLASとは？

MITRE ATLAS^TM（以下、ATLAS）は、Adversarial Threat Landscape for Artificial-Intelligence Systems（編集部仮訳：AIシステムに対する敵対的脅威の情勢）の略で、非営利団体MITREが2021年に公開しました。MITREのWebサイトによればATLASは、AIシステムに対する攻撃者の戦術と攻撃手法に関する、世界的にアクセス可能な最新のナレッジベースであり、現実に起こった攻撃の観察と、AIレッドチーミングやセキュリティグループ活動によるリアルなデモンストレーションに基づいたものです。

MITREといえばMITRE ATT&CK®がすぐに思い浮かぶことでしょう（以下、ATT&CK）。こちらも、現実世界におけるサイバーセキュリティの観察に基づいた、攻撃者の戦術（Tactics）・攻撃手法（Techniques）・攻撃手順（Procedures）に関するナレッジベースです。ATLASはATT&CKを基盤としたうえで、AI（人工知能）やML（機械学習）に固有の脅威、攻撃方法、脆弱性を特定し分類しています。

参考記事：
・MITRE ATT&CKとは？～Detection&Responseが効果を発揮するには“攻撃シナリオ”ベースの検知こそ重要～
・MITRE Engenuity ATT&CK®Evaluationsの活用方法と注意点

次の図はATLASマトリクスです。攻撃で使用される戦術（Tactics）の進行を左から右へ示し、各戦術に属する攻撃手法（Techniques）をその下に記載しています。青字はATT&CKから適用したものです。赤字、および赤セルの項目はAIまたはML特有であり、ATT&CKマトリクスにはありません（MITRE ATLASの公式ページの情報を参照）。

図：ATLASマトリクス（MITRE ATLASのWebサイトをもとにトレンドマイクロで作成）

比較のため、ATT&CKのマトリクスを以下に示します。

図：ATT&CKの主な構成要素（Enterprise用フレームワークの場合。MITREの情報を基にトレンドマイクロが整理）

ATT&CKのマトリクスと比較すると、ATLASのほうには14の戦術（Tactics）とそれに属する攻撃手法（Techniques）のみが示され、Groups、Software、Campaignsは示されていません。これらの代わりに、ATLASにはケーススタディが記載されています。ケーススタディの一部には、攻撃者グループや使われたソフトウェア、キャンペーンに関する情報が記載されているものもあります。

では、14の戦術がそれぞれどのようなものか、以下に概要を説明します。
また当メディアでは、ATLASが提示している戦術ごとのケーススタディについての解説記事を、順次公開していく予定です。

MITRE ATLASの14の戦術（Tactics）

Reconnaissance（偵察）ID: AML.TA0002

「偵察」の戦術には、攻撃者が標的組織の選定に利用する情報を、能動的・受動的に収集する攻撃手法が含まれます。収集する情報には、標的組織の機械学習機能や研究活動の詳細が含まれる場合があります。攻撃者はこうした情報を、次のような他の攻撃フェーズにも利用します。
・収集した情報を使用して、関連する機械学習のアーティファクト（成果物）を取得する
・標的組織が使用する機械学習機能を標的にする
・標的組織が使用する特定の機械学習モデルに合わせて攻撃をカスタマイズする
・さらなる偵察活動を方向づけ、推進する、など

Resource development（攻撃ツールや環境の整備）ID: AML.TA0003

この戦術には、攻撃者が標的組織の選定に使用できる攻撃ツールや環境を作成、購入、または侵害・窃取する攻撃手法が含まれます。こうした攻撃ツールや環境には、機械学習のアーティファクト、インフラストラクチャ、アカウント、機能などがあります。攻撃者はこれらを、「機械学習システムへの攻撃準備」などの他の攻撃フェーズでも利用することがあります。

Initial Access（初期アクセス）ID: AML.TA0004

攻撃者は機械学習システムにアクセスしようとします。
標的となるシステムは、ネットワーク、モバイルデバイス、またはセンサープラットフォームなどのエッジデバイスの場合があります。システムで使用される機械学習機能は、ローカルのもの、またはクラウド対応のものもあります。
初期アクセスは、標的組織のシステム内に最初の足場を築くための、さまざまなエントリベクトル（初期侵入口）を使用する攻撃手法で構成されます。

ML Model Access（機械学習モデルへのアクセス）ID: AML.TA0000

攻撃者は機械学習モデルへの何らかのレベルのアクセスを取得しようとします。
この戦術では、攻撃者が情報収集や攻撃の展開、また、モデルにデータを入力する手段として利用できる機械学習モデルへの、様々なタイプのアクセスを使用する攻撃手法が利用可能です。アクセスのレベルはさまざまで、モデルの内部に関する完全な知識から、機械学習モデルで使用するデータが収集される物理環境へのアクセスなどがあります。攻撃者は、攻撃の段階分けから、最終的に標的組織のシステムに影響を及ぼすまでの過程において、さまざまなレベルのアクセスを使用する可能性があります。

機械学習モデルにアクセスするには、モデルが格納されているシステムへのアクセスが必要になる場合があります。モデルはAPI経由でパブリックにアクセス可能である場合や、プロセスの一部として機械学習を利用する製品またはサービスとのやり取りを通じて間接的にアクセスされる場合があります。

Execution（実行）ID: AML.TA0005

攻撃者は、機械学習のアーティファクト（成果物）またはソフトウェアに埋め込まれた不正なコードを実行しようとします。
この戦術では、攻撃者が制御するコードをローカルまたはリモートシステム上で実行する攻撃手法が含まれます。こうした攻撃手法は、より広範な目標を達成するために、他のあらゆる戦術の攻撃手法と組み合わされることがよくあります。たとえば、リモートアクセスツールを使用して、リモートシステム検出を行うPowerShellスクリプトを実行する場合などです。

Persistence（攻撃の永続性の確保）ID: AML.TA0006

攻撃者は機械学習のアーティファクトやソフトウェアを通じて、標的組織のシステム内に足場を維持しようとします。
この戦術では、標的組織のシステム再起動や資格情報の変更のように、アクセスを遮断するような動きがあっても、攻撃者がアクセスを維持するために使用する攻撃手法が含まれます。そのなかには、変更された機械学習アーティファクト（例：汚染されたトレーニングデータ、バックドアが仕掛けられた機械学習モデル）を、標的組織のシステム内に残すことなどがあります。

Privilege Escalation（権限昇格）AML.TA0012

この戦術は、標的組織のシステムまたはネットワークでより上位の権限を取得するために攻撃者が使用する攻撃手法で構成されます。攻撃者は、権限なしでネットワークに侵入して探索することはありますが、目的達成には上位の権限が必要です。一般的なアプローチは、システムの弱点、誤設定、脆弱性を利用することです。上位権限のアクセスの例は次のとおりです。

●SYSTEM/ルートレベル
●ローカル管理者
●管理者に近いアクセス権を持つユーザアカウント
●特定のシステムにアクセスしたり、特定の機能を実行したりできるユーザアカウント

この戦術の攻撃手法は「Persistence（攻撃の永続性の確保）」の攻撃手法と重複することがよくあります。というのも、攻撃者が標的組織のシステムへのアクセスを維持できるようにするOS機能が、上位権限で実行できるためです。

Defense Evasion（防御回避）ID: AML.TA0007

この戦術には、攻撃者が標的組織への侵入中に検出を回避するために使用する攻撃手法が含まれます。これには、マルウェア検出など、機械学習対応セキュリティソフトウェアの回避が含まれます。

Credential Access（資格情報へのアクセス）ID: AML.TA0013

この戦術には、アカウント名やパスワードなどの資格情報を窃取するための攻撃手法が含まれます。これには、キーロギングやクレデンシャルダンピングなどがあります。正規の資格情報を使用することにより、攻撃者はシステムにアクセスし、検出されにくくなり、また、目的達成のためにさらに多くのアカウントを作成することもできます。

Discovery（侵害後の情報収集）ID: AML.TA0008

攻撃者は標的組織の機械学習環境を把握しようとします。
この戦術では、標的組織のシステムと内部ネットワークに関する知識を得るために攻撃者が使用する攻撃手法が含まれます。それらの攻撃手法は、攻撃者が標的の環境を観察し、自分の現在地を確認し、今後の行動を決めるのに役立ちます。また、現在の目的に役立てられるかどうか把握するため、攻撃者自身がコントロールできるものや、エントリポイント周辺にあるものを探索します。ネイティブオペレーティングシステムツール（※編集部注：OSに標準搭載されたコマンドやツールなど）は、この侵害後の情報収集の目的のためによく使用されます。

参考記事：サイバー攻撃でよく悪用される正規ツールとは？

Collection（データ収集）ID: AML.TA0009

攻撃者は、機械学習のアーティファクトや、目的達成につながる他の関連情報を収集しようとします。
多くの場合、データ収集後の次の目標は、機械学習のアーティファクトを窃取するか、収集した情報を使用して今後の攻撃オペレーションを準備します。一般的に標的となるソースには、ソフトウェアリポジトリ、コンテナレジストリ、モデルリポジトリ、オブジェクトストアなどがあります。

ML Attack Staging（ステージング環境での機械学習システムへの攻撃準備）ID: AML.TA0001

攻撃者は、標的組織のシステムに関する知識とアクセスを活用して、攻撃をカスタマイズします。
この戦術では、攻撃者が標的とする機械学習モデルへの攻撃準備に使用する攻撃手法で構成されます。これには、プロキシモデルのトレーニング、モデルの汚染、モデルに入力する敵対的データの作成などがあります。一部の手法はオフライン（※編集部注：サイバー攻撃者が自ら用意したステージング環境など）で試行できるため、軽減が困難です。また、これらの手法は、攻撃者の最終目標を達成するためによく使用されます。

Exfiltration（データ窃取）ID: AML.TA0010

攻撃者は、機械学習のアーティファクトや機械学習システムに関するその他の情報を窃取しようとします。
この戦術では、攻撃者が標的組織のネットワークからデータを盗むために使用する攻撃手法が含まれます。データは、貴重な知的財産であるがゆえに、あるいは今後の攻撃オペレーションの準備のために窃取されます。

標的組織のネットワークからデータを窃取する手法には、通常、コマンド＆コントロールまたは代替チャネルを介してデータを転送することが含まれ、送信にサイズ制限を設けることも含まれる場合があります。

Impact（最終的な影響）ID: AML.TA0011

攻撃者は、機械学習システムやデータを操作し、妨害し、それらへの信頼を失墜し、破壊しようとします。
この戦術は、ビジネスプロセスや運用プロセスを操作して可用性を妨害したり完全性を損なったりするために攻撃者が使用する手法で構成されます。これには、データの破壊や改ざんが含まれます。場合によっては、一見ビジネスプロセス上は問題ないように見えても、攻撃者の最終目標達成に役立つよう変更されていることがあります（機械学習モデルの改ざんや、機械学習モデルへのバックドア挿入など）。これらの手法は、攻撃者が最終目標を達成するため、または機密性侵害を隠蔽するために使用することがあります。

MITRE ATLASは何に役立つのか？

前述したとおり、ATLASでは、攻撃者の戦術や手法のほかに、緩和策やケーススタディ（これには実例と研究結果が含まれます）も掲載されています。人工知能や機械学習を利用したシステムに対する、実在の、あるいは潜在的な脅威を理解し、意識を高め、必要に応じて対策を取ることに役立ちます。

ただ、現在までのところ、AIに関連する外部からの攻撃事例が少なく、ほとんど報道もされていないため、実感が湧かなかったり想像できなかったりする向きもあるでしょう。
トレンドマイクロと特定非営利活動法人CIO Loungeとの共同調査「生成AIとセキュリティに関する意識調査」（2024年9月実施）において、回答者に生成AIの業務利用においてリスクとして認識しているものを複数回答で挙げてもらったところ、多い順に「法的権利の侵害（64%）」、「情報漏洩（61%）」、「ハルシネーション（56%）」という結果となり、回答者の98%が何らかの利用リスクを挙げました。一方で、「生成AIの普及により、外部からの攻撃リスクは増大すると思いますか」という問いに対しては、「増大すると思う」という回答者は66%、「増大すると思わない」と「わからない」という回答者の合計が34%となっています。つまり、一定数の組織にとってAIに関するリスクとは、使用方法に起因する情報漏洩や著作権侵害・事実誤認などが認識される傾向にあり、外部からの攻撃リスクに対する認識はまだ高くはないということが言えます。

図：生成AIの普及により、外部からの攻撃リスクは増大すると思うかどうかを回答。「生成AIとセキュリティに関する意識調査」より。

こうした状況下でATLASは、従来のATT&CKに則り、攻撃者の戦術ごとに分けて、それぞれのケーススタディを提供することにより、いまだ捉えがたい外部からの攻撃リスクをより明確に把握することを支援するフレームワークと言えるでしょう。一部のケーススタディからは、攻撃者が標的のシステムやAIそのものを研究し、情報を収集し、着々と攻撃準備を進めていることがうかがえます。いつ、現実のものとなるとも知れない「AIに対する外部からの攻撃」。どの組織が標的になってもおかしくないという危機感を持ち、MITRE ATLASを一読しておくことをお勧めします。

＜関連記事＞
・MITRE ATT&CKとは？～Detection&Responseが効果を発揮するには“攻撃シナリオ”ベースの検知こそ重要～
・MITRE Engenuity ATT&CK®Evaluationsの活用方法と注意点
・2024年の法人組織のAI活用動向～「生成AIとセキュリティに関する意識調査」考察～
・OWASPが提示するAIリスクのTop 10を読み解く

記事協力

サイバーセキュリティ・イノベーション研究所
スレット・インテリジェンス・センター

トレンドマイクロのサイバーセキュリティ・イノベーション研究所の中核センターの一つ。サイバースレットリサーチを通じ、日本社会と国内組織の安全なセキュリティイノベーション推進を支援する研究組織。日本国内を標的にした高度なサイバー攻撃や国家が背景にあるサイバー攻撃など、グローバルとリージョン双方の視点で地政学的特徴や地域特性を踏まえた脅威分析を行い、日本社会や国内組織に情報提供や支援を行う。