80% of Att&Ck Mitre Techniques Now Dedicated to Evasion and Persistence
2026/02/17 SecurityBoulevard — Picus Labs の調査によると、攻撃者たちの戦術は、即時的な妨害や破壊から、長期的なアクセスの獲得/維持へと移行しているようだ。”The Red Report 2026 — The Top 10 Most Prevalent MITRE ATT&CK Techniques” は、110 万件以上の悪意のファイルを分析した結果である 2025 年の 1,550 万件超の攻撃アクションを、 MITRE ATT&CK にマッピングしたレポートである。これまでの 10 年間において、CISO の主要な懸念はランサムウェアによる業務中断であったとしながらも、リスク・プロファイルが反転したことを、今年の調査結果は示している。
研究者たちは、「Data Encrypted for Impact が 38% 減少する一方で、不可視性およびスパイ活動に特化した技術の大幅な増加を観測した。これは、脅威環境における深刻な進化を裏付けるものである」と述べている。Process Injection が支配的となり、破壊よりも滞留時間や潜伏時間を、攻撃者たちが優先していることが明らかになった。その目的は、システムをクラッシュさせることではなく、気付かれずに内部へ居続けることである。
懸念すべき点として、Virtualization and Sandbox Evasion が第 4 位へ急上昇した。このレポートには、「コンテキスト・アウェア型マルウェアは、アーティファクト・チェック/タイミング/ユーザー・インタラクション・パターンを通じて、分析環境 (例: サンドボックス) を検出できるようになっている」と記されている。実際、多くのサンプルは、監視下での実行を拒否する。その結果、ファイルは自動解析ゲートウェイを通過し、本番環境でのみ起動/活性化する。ここに、偽りの安全という危険性が生じる。
さらに、研究者たちが確認したのは、攻撃者が OpenAI や Amazon Web Services などの高信頼性サービス経由で Command-and-Control (C2) 通信を行い、通常の業務トラフィックに紛れ込むことでブロック・リストを回避している点である。それと同時に、国家に支援される脅威アクターたちは、IP-KVM などのリモート・アクセス機器を悪用し、エンドポイント・エージェントを完全に迂回している。その結果、EDR の可視性は低下し、防御側はアイデンティティ/ネットワーク/ワークロードのテレメトリへ依存せざるを得ない状況にある。
アイデンティティは深刻な弱点である。Picus Labs は、「Password Stores および Command and Scripting Interpreter が Top 10 に入っていることから、攻撃者はアイデンティティ・システムと管理ツールを武器化している」と指摘している。実際、Top-10 に入る技術の 80% は、回避および持続性の確保に特化したものだ。
ColorTokens のチーフ・エバンジェリスト Agnidipta Sarkar は、「最新ガイダンスとは異なり、初期の MITRE ATT&CK バージョンは簡潔かつ汎用的であり、実践的かつ実行可能な詳細を欠いていた。いまの大半の組織は、クラウド/コンテナ/エンドポイント/ICS/SaaS を混在させて運用している。そのため、検知エンジニアリングにおいて必要となるのは、ATT&CK オブジェクトからログ/アラート/各プラットフォームへのマッピングを自動化し、カバレッジを常に最新に保つ方式である」と指摘している。
彼は、「初期バージョンでは、自動化やエンジニアリング・ワークフローへと、検知されたコンテンツを直接統合することが難しかった。現状においても、依然として理想から大きく乖離している。たとえば、ラテラル・ムーブメントに対しては、さらなるアップデートが必要である」と述べている。
Fortinet の FortiGuard Labs の Chief Security Strategist and Global VP of Threat Intelligence である Derek Manky は、「今後の 1 年で、FortiGuard Labs が “machine-speed defense” と呼ぶ領域へと、セキュリティ・オペレーションは近づく」と述べている。それは、インテリジェンス/検証/封じ込めを継続的に実行し、検知から対応までの時間を、数時間から数分へと短縮するプロセスである。
Derek Manky は、「Continuous Threat Exposure Management (CTEM) や MITRE ATT&CK のようなフレームワークは、防御側がアクティブな脅威を迅速にマッピングし、エクスポージャーを特定し、ライブ・データに基づいて修復の優先順位を決定するために活用される必要がある」と述べている。
防御側にとって必要なことは、アイデンティティをセキュリティ・オペレーションの基盤とすることである。組織は人間の認証だけではなく、自動化/エージェント/AI プロセス/マシン間通信といった Non-Human Interaction (NHI) も認証する必要がある。大規模な権限昇格およびデータ漏洩の防止において、NHI の管理が決定的に重要となる。
攻撃者たちの戦略が、破壊よりも長期的な潜伏と検知回避を優先する方向へと変化しています。Data Encrypted for Impact が減少する一方で、Process Injection や Virtualization and Sandbox Evasion が増加し、分析環境では動作を隠す手法が広がりました。さらに OpenAI や Amazon Web Services 経由の C2 や、IP-KVM 悪用による EDR 回避などにより、従来の可視性が低下しています。加えて Password Stores や Command and Scripting Interpreter の悪用が進み、アイデンティティ管理の弱点が主要な侵入口となっていることが、この傾向を支えていると、この記事は指摘しています。
IoT OT Security News 
You must be logged in to post a comment.