攻撃者はネットワークに侵入しようとしています。
初期のアクセスには、ネットワーク内に最初の足場を得るため、さまざまな侵入方法や侵入経路を使います。足場を得るために使用される手法には、ターゲットを絞ったスピアフィッシングや、公開Webサーバーの脆弱性の悪用が含まれます。初期アクセスを通じて得られた足場は、有効なアカウントや外部リモートサービスの使用など、継続的なアクセスを許可したり、パスワードの変更によりユーザーの使用が制限されたりする場合があります。 (訳注:主語が違いますが、攻撃者がパスワードを変更することで、正規のユーザーが利用でなくなることがある、という意図で訳しています。)
ID | Name | Description |
---|---|---|
T1189 |
Drive-by
Compromise Web閲覧による感染 |
Web閲覧による感染とは、ユーザーがWebサイトを見ることで攻撃者がユーザーのシステムへのアクセスを得ることです。この手法では、通常、ユーザーのWebブラウザーが攻撃の対象になりますが、攻撃者はアプリケーションへのアクセストークンの取得など、改ざんされたWebサイトを使用することもあります。 |
T1190 |
Exploit Public-Facing Application 外部公開されたアプリケーションへの攻撃 |
意図しないまたは予期しない動作を引き起こすために、インターネットに面したコンピューターシステムまたはプログラムの弱点につけ込んだソフトウェア、データ、またはコマンドの使用。システムの弱点は、バグ、誤動作、または設計の脆弱性です。これらのアプリケーションは多くの場合Webサイトですが、データベース(SQLなど)、標準サービス(SMBまたはSSHなど)、およびWebサーバーや関連サービスなどのインターネットアクセス可能なオープンソケットを備えたその他のアプリケーションを含めることができます。悪用される欠陥に応じて、防御回避の悪用が含まれる場合があります。 |
T1133 |
External Remote
Services 外部のリモートサービス |
VPN、Citrixのようなリモートサービスにより、ユーザーは外部から企業の内部ネットワークリソースに接続できます。多くの場合、これらのサービスの接続と資格情報認証を管理するリモートサービスゲートウェイがあります。 Windows Remote Managementなどのサービスも外部から使用できます。 |
T1200 |
Hardware Additions ハードウェアの追加 |
攻撃者は、アクセス経路として使用するシステムまたはネットワークに、コンピューターアクセサリー、コンピューター、またはネットワークハードウェアを導入する可能性があります。 APTグループによる使用の公開リファレンスはほとんどありませんが、多くのペネトレーションテスターは初期のアクセスにハードウェアを追加します。商用およびオープンソース製品は、パッシブネットワークタッピング、中間者攻撃、キーストロークインジェクション、DMA経由のカーネルメモリ読み取り、既存のネットワークへの新しいワイヤレスアクセスの追加などの機能を利用しています。 |
T1091 |
Replication Through Removable Media リムーバブルメディアを介した複製 |
攻撃者は、リムーバブルメディアにマルウェアをコピーし、メディアがシステムに挿入されて実行される自動実行機能を利用することにより、切断されたネットワークシステムに侵入する可能性があります。ラテラルムーブメントの場合、これはリムーバブルメディアに保存されている実行可能ファイルの変更、またはマルウェアをコピーして正当なファイルのように改名し、ユーザーを別のシステムで実行するように仕向けることにより発生します。初期アクセスの場合、これは、メディアの手動操作、メディアの初期フォーマットに使用されるシステムの変更、またはメディアのファームウェア自体の変更によって発生する場合があります。 |
T1193 |
Spearphishing
Attachment 添付ファイル型スピアフィッシング |
添付ファイル型スピアフィッシングは、スピアフィッシングの亜種です。添付ファイル型スピアフィッシングは、電子メールに添付されたマルウェアを使用するという点で、他のスピアフィッシングとは異なります。スピアフィッシングは、特定の個人、会社、または業界を対象としたソーシャルエンジニアリングによって電子的に配信されます。このシナリオでは、攻撃者はファイルをスピアフィッシングメールに添付し、通常はユーザーが実行してくれることをあてにしています。 |
T1192 |
Spearphishing Link リンク型スピアフィッシング |
リンクを使用したスピアフィッシングは、スピアフィッシングの亜種です。添付ファイルの検査を回避するため、悪意のあるファイルを電子メールに添付する代わりに、マルウェアをダウンロードするリンクが含まれた電子メールを利用するという点で、他のスピアフィッシングとは異なります。 |
T1194 |
Spearphishing via
Service サービスを利用したスピアフィッシング |
サービスを利用したスピアフィッシングは、スピアフィッシングの亜種です。他のスピアフィッシングとは異なり、企業のメールではなく、サードパーティサービスを使用します。 |
T1195 |
Supply Chain
Compromise サプライチェーンの侵害 |
サプライチェーンの侵害とは、データまたはシステムの侵害を目的として、最終消費者が受け取る前に製品、または製品配送メカニズムを操作することです。 |
T1199 |
Trusted
Relationship 信頼関係 |
攻撃者は、狙った被害者にアクセスできる組織に侵入するか、または利用する可能性があります。サードパーティとの信頼関係につけこんだアクセスは、保護されていない接続を利用したり、ネットワークへアクセスする標準的な仕組みよりも緩い監視で受け入れられます。 |
T1078 |
Valid Accounts 正当なアカウント |
攻撃者は、資格情報アクセス技術を使用して特定のユーザーまたはサービスアカウントの資格情報を盗むか、あるいは初期アクセスを得るためのソーシャルエンジニアリングを通じて偵察プロセスの早い段階で資格情報を取得します。 |