Initial Access 初期のアクセス

攻撃者はネットワークに侵入しようとしています。

初期のアクセスには、ネットワーク内に最初の足場を得るため、さまざまな侵入方法や侵入経路を使います。足場を得るために使用される手法には、ターゲットを絞ったスピアフィッシングや、公開Webサーバーの脆弱性の悪用が含まれます。初期アクセスを通じて得られた足場は、有効なアカウントや外部リモートサービスの使用など、継続的なアクセスを許可したり、パスワードの変更によりユーザーの使用が制限されたりする場合があります。 (訳注:主語が違いますが、攻撃者がパスワードを変更することで、正規のユーザーが利用でなくなることがある、という意図で訳しています。)

ID: TA0001

Techniques

Techniques: 11
ID Name Description
T1189 Drive-by Compromise 
Web閲覧による感染

Web閲覧による感染とは、ユーザーがWebサイトを見ることで攻撃者がユーザーのシステムへのアクセスを得ることです。この手法では、通常、ユーザーのWebブラウザーが攻撃の対象になりますが、攻撃者はアプリケーションへのアクセストークンの取得など、改ざんされたWebサイトを使用することもあります。

T1190 Exploit Public-Facing Application
外部公開されたアプリケーションへの攻撃

意図しないまたは予期しない動作を引き起こすために、インターネットに面したコンピューターシステムまたはプログラムの弱点につけ込んだソフトウェア、データ、またはコマンドの使用。システムの弱点は、バグ、誤動作、または設計の脆弱性です。これらのアプリケーションは多くの場合Webサイトですが、データベース(SQLなど)、標準サービス(SMBまたはSSHなど)、およびWebサーバーや関連サービスなどのインターネットアクセス可能なオープンソケットを備えたその他のアプリケーションを含めることができます。悪用される欠陥に応じて、防御回避の悪用が含まれる場合があります。

T1133 External Remote Services
外部のリモートサービス

VPN、Citrixのようなリモートサービスにより、ユーザーは外部から企業の内部ネットワークリソースに接続できます。多くの場合、これらのサービスの接続と資格情報認証を管理するリモートサービスゲートウェイがあります。 Windows Remote Managementなどのサービスも外部から使用できます。

T1200 Hardware Additions
ハードウェアの追加

攻撃者は、アクセス経路として使用するシステムまたはネットワークに、コンピューターアクセサリー、コンピューター、またはネットワークハードウェアを導入する可能性があります。 APTグループによる使用の公開リファレンスはほとんどありませんが、多くのペネトレーションテスターは初期のアクセスにハードウェアを追加します。商用およびオープンソース製品は、パッシブネットワークタッピング、中間者攻撃、キーストロークインジェクション、DMA経由のカーネルメモリ読み取り、既存のネットワークへの新しいワイヤレスアクセスの追加などの機能を利用しています。

T1091 Replication Through Removable Media
リムーバブルメディアを介した複製

攻撃者は、リムーバブルメディアにマルウェアをコピーし、メディアがシステムに挿入されて実行される自動実行機能を利用することにより、切断されたネットワークシステムに侵入する可能性があります。ラテラルムーブメントの場合、これはリムーバブルメディアに保存されている実行可能ファイルの変更、またはマルウェアをコピーして正当なファイルのように改名し、ユーザーを別のシステムで実行するように仕向けることにより発生します。初期アクセスの場合、これは、メディアの手動操作、メディアの初期フォーマットに使用されるシステムの変更、またはメディアのファームウェア自体の変更によって発生する場合があります。

T1193 Spearphishing Attachment
添付ファイル型スピアフィッシング

添付ファイル型スピアフィッシングは、スピアフィッシングの亜種です。添付ファイル型スピアフィッシングは、電子メールに添付されたマルウェアを使用するという点で、他のスピアフィッシングとは異なります。スピアフィッシングは、特定の個人、会社、または業界を対象としたソーシャルエンジニアリングによって電子的に配信されます。このシナリオでは、攻撃者はファイルをスピアフィッシングメールに添付し、通常はユーザーが実行してくれることをあてにしています。

T1192 Spearphishing Link
リンク型スピアフィッシング

リンクを使用したスピアフィッシングは、スピアフィッシングの亜種です。添付ファイルの検査を回避するため、悪意のあるファイルを電子メールに添付する代わりに、マルウェアをダウンロードするリンクが含まれた電子メールを利用するという点で、他のスピアフィッシングとは異なります。

T1194 Spearphishing via Service
サービスを利用したスピアフィッシング

サービスを利用したスピアフィッシングは、スピアフィッシングの亜種です。他のスピアフィッシングとは異なり、企業のメールではなく、サードパーティサービスを使用します。

T1195 Supply Chain Compromise
サプライチェーンの侵害

サプライチェーンの侵害とは、データまたはシステムの侵害を目的として、最終消費者が受け取る前に製品、または製品配送メカニズムを操作することです。

T1199 Trusted Relationship
信頼関係

攻撃者は、狙った被害者にアクセスできる組織に侵入するか、または利用する可能性があります。サードパーティとの信頼関係につけこんだアクセスは、保護されていない接続を利用したり、ネットワークへアクセスする標準的な仕組みよりも緩い監視で受け入れられます。

T1078 Valid Accounts
正当なアカウント

攻撃者は、資格情報アクセス技術を使用して特定のユーザーまたはサービスアカウントの資格情報を盗むか、あるいは初期アクセスを得るためのソーシャルエンジニアリングを通じて偵察プロセスの早い段階で資格情報を取得します。