ソフォスはMITRE ATT&CK Enterprise 2025 Evaluation で過去最高の結果を達成しました

製品MITRE ATT&CKSophos XDR

大きなマイルストーン: Sophos XDR は、最新の ATT&CK Evaluationで 100% の検知範囲を実現します。

202512月 10作成者:

MITRE ATT&CK® Evaluations は、業界で最も評価されている独立したセキュリティテストの 1つです。このテストでは、現実世界の攻撃者が使用する戦術、手法、手順 (TTP) をエミュレートし、各参加ベンダーが脅威を検知・分析・説明する能力を、MITRE ATT&CK® Frameworkフレームワークの言語と構造に沿って評価されます。これらの評価は、私たちが保護する組織の利益のために、当社の能力を継続的に強化します。

結果が出ました。

MITRE は、エンタープライズ セキュリティ ソリューションに関する最新の ATT&CK® Evaluationの結果を発表し、Sophos XDRを含む参加 EDR および XDR 製品が高度な脅威グループの複雑な戦術をどのように検知し報告するかを評価しました。

この評価ラウンドでこれまでで最高の結果を達成できたことを嬉しく思います。ソフォスはこれらの評価において毎年一貫して優れた成績を収めており、ソフォスの脅威検知および対応能力の強力さと精度を実証し続けています。Enterprise 2025 Evaluation において、Sophos XDR は次の点を評価しました。

  • 16の攻撃ステップと90のサブステップをすべて検知し、ソフォスのオープンなAIネイティブプラットフォームが高度なサイバー脅威に対する防御力を実証しました。
  • 100% 検知1:ソフォスは、すべての攻撃者の活動を検知し、実用的な脅威検知を提供しました見逃しゼロです。
  • 最高得点:ソフォスは、評価対象となった90の攻撃活動のうち86について、完全なテクニックレベルの検知を生成しました。

この短い動画で評価の概要をご覧いただき、その後、結果の詳細をご確認ください:

評価の概要

今回は、製品に焦点を当てた MITRE ATT&CK Evaluations for Enterprise の第 6 ラウンドであり、Sophos XDR などの EDR ( Endpoint Detection and Response) 製品が、巧妙な多段階攻撃に対する防御にどのように役立つかをより理解できるようにすることを目的としています。

今回のラウンドでは、次の既知の攻撃グループから着想を得た挙動に焦点が当てられていました。

  • Scattered Spider:金銭目的のサイバー犯罪集団
    MITRE チームは、このグループがソーシャル エンジニアリングを使用して認証情報を盗み、リモート アクセス ツールを展開し、多要素認証をバイパスする手法を模倣しました。クラウド リソースを標的にして足場を築き、機密性の高いシステムやデータにアクセスしました。このシナリオには、Windows デバイスと Linux デバイスが含まれ 、初めて AWS クラウド インフラストラクチャも含まれました。
  • Mustang Panda:中華人民共和国(PRC)の諜報組織
    ソーシャル エンジニアリングと正規のツールを使用してカスタム マルウェアを展開することで知られる、中国政府が支援するサイバースパイグループ。MITRE チームは、中国のサイバーオペレーションエコシステム全体で一般的に見られる行動を反映して、その戦術とツールを模倣しました。


結果の詳細

この評価では、MITRE は、合計 16 ステップと 90 のサブステップで構成される 2 つの個別の攻撃シナリオ (Scattered Spider 用と Mustang Panda 用) を実行しました。ソフォスは両方のシナリオで素晴らしい結果を達成しました。

攻撃シナリオその 1: Scattered Spider

サマリー:ソーシャル エンジニアリング、クラウド エクスプロイト、ID の不正使用、Living Off-The-Land (既存環境を悪用する) 技術を組み合わせた複雑なハイブリッド侵入。攻撃者はスピア型フィッシングを使用して認証情報を盗み、リモートアクセスを取得します。ネットワーク探索を実行し、被害者の AWS 環境にアクセスして防御を回避し、ネイティブ AWS ツールを使用して攻撃者の S3 バケットにデータを流出させます。

このシナリオは、Windows と Linux で実行される 7 つのステップと 62 のサブステップで構成されていました。

  • サブステップで 100% 検知されました1。見逃しはありません。
  • サブステップごとに実用的な脅威検知が生成されます。
  • 62 個のサブステップのうち 61 個で最高のテクニック レベルの評価を達成しました。

 

攻撃シナリオその 2: Mustang Panda

サマリー:検知を回避するために、攻撃者はソーシャルエンジニアリング、正規ツール、永続化、カスタムマルウェアを組み合わせた巧妙な侵入を実行します。攻撃は、悪意のあるDOCXファイルを含むフィッシングメールから始まり、Windowsワークステーションへのアクセスを提供し、C2サーバーに接続します。その後、攻撃者は重要なシステムを探索し、データを流出させ、痕跡を隠すためにツールを削除します。

このシナリオは、Windows のみで実行される 9 つのステップと 28 のサブステップで構成されていました。

  • サブステップで 100% 検知されました1。見逃しはありません。
  • サブステップごとに実用的な脅威検知が生成されます。
  • 28 個のサブステップのうち 25 個で最高のテクニック レベルの評価を達成しました。

詳細については、sophos.com/mitre をご覧ください。また、MITRE の Web サイトでは、すべての結果を確認できます。

 

この評価は何を意味しますか?

評価中にエミュレートされた各攻撃者の活動(または“サブステップ”)には、MITREによって次のいずれかの評価が割り当てられます。これは、MITRE ATT&CK®フレームワークの言語と構造を用いて、その挙動を検知・分析・説明するソリューションの能力を反映しています。

  • テクニック (最高精度の検知)
    このソリューションは、攻撃者の活動をATT&CKのテクニックまたはサブテクニックレベルで特定するアラートを生成しました。証拠には、実行、影響、攻撃者の挙動に関する詳細が含まれ、 誰が、何を、いつ、どこで、どのように、なぜ行ったかというという明確な洞察を提供します。

    ➡️ソフォスは、90 (最高評価) のサブステップのうち 86 を達成しました。

  • 戦術(部分的な検知とコンテキスト)
    このソリューションは、攻撃者の活動を戦術レベルで特定するアラートを生成しましたが、テクニックレベルの分類はありません。証拠には、実行、影響、攻撃者の挙動に関する詳細が含まれ、 誰が、何を、いつ、どこで、なぜ行ったのかという明確な洞察が提供します。

    ➡️ソフォスは1つのサブステップでこの評価を受けました。

  • 一般 (General)
    このソリューションは、攻撃者の活動を潜在的に不審または悪意のあるものとして特定するアラートを生成しました。証拠には、実行、影響、攻撃者の挙動に関する詳細が含まれ、 誰が、何を、いつ、どこで行ったか という明確な洞察を提供します。

    ➡️ソフォスは 3つのサブステップでこの評価を受けました。

  • なし(検知なし、潜在的可視性)
    攻撃者の活動は成功しましたが、ソリューションはアラートを生成せず、活動を不審または悪意のあるものとして特定できませんでした。

    ➡️ソフォスは、どのサブステップでもこの評価を受けていません。見逃しはありません。

  • 評価なし(N/A)
    技術的な制限、環境上の制約、またはプラットフォームの除外により、評価は実行されませんでした。

General、戦術、テクニック に分類された検知は、ソリューションがテレメトリを実用的な脅威検知に変換する能力を示す指標である「分析カバレッジ」の定義に基づいてグループ化されます。

 

結果の解釈

ATT&CK® Evaluationsの結果を解釈する方法は 1 つではなく、MITRE は参加者をランク付けしたり評価したりしません。評価は単に観察されたものを提示するだけであり、「勝者」や「リーダー」は存在しません。

各ベンダーのアプローチ、ツール設計、データの提示方法はそれぞれ異なり、最終的には組織の固有のニーズとワークフローによってチームに最適なものが決まります。

検知品質は、アナリストが迅速に調査して対応するために必要な洞察を提供するための鍵となります。ATT&CK® Evaluationsの結果を解釈する最も有益な方法の 1 つは、攻撃者の行動に関する豊富で詳細な検知 (分析カバレッジ) を生成したサブステップの数と、最も精度の高い「テクニック」レベルのカバレッジを達成したサブステップの数を比較することです。

今回も、ソフォスはこの評価で優れたパフォーマンスを発揮しました。

MITRE は、ATT&CK Evaluations の参加ベンダーをランク付けしたり、評価したりすることはありません。

 

ソフォスがこれらの厳格な評価で一貫して優れたパフォーマンスを示したことは、ソフォスの脅威検知および対応能力の強力さと精度、そして世界で最も高度なサイバー脅威を阻止するというソフォスの取り組みを強調するものです。

EDR または XDR (Extended Detection and Response) ソリューションを検討する際には、検証済みのカスタマーレビューやアナリスト評価など、信頼できる第三者による評価と併せて、ATT&CK Evaluations の結果を確認してください。

Sophos EDR と Sophos XDR の最近の評価は次のとおりです。

 

Sophos XDR Protection を始める

今回の評価結果により、ソフォスが業界をリードする Endpoint Detection and Response (EDR) および Extended Detection and Response (XDR) 機能のプロバイダーとして、世界 45,000 以上の組織に認められていることがさらに証明されました。

ソフォスがお客様のセキュリティ運用を効率化し、組織に優れた成果をもたらす方法について詳しくは、 弊社の Web サイト にアクセスするか、Sophos パートナー ポータルから 販売リソースをダウンロードする か、Sophos XDR の無料トライアルを推奨するか、Sophos の担当者または販売代理店にお問い合わせください。

この評価の結果の詳細については、sophos.com/mitreをご覧ください。

 

1Enterprise 2025 評価の「構成変更」実行において。

著者について

Paul is Senior Director, Product Marketing at Sophos (Security Operations and Endpoint). Paul has over twenty years’ experience of SaaS and cybersecurity offerings across Product Management, Product Marketing and User Experience design.