米国における金融詐欺による損失は2024年に166億ドルに達し、2020年の42億ドルから増加しました。これらの数字の背後には、構造的な問題があります。詐欺を阻止する責任を持つチーム、つまり詐欺捜査官とサイバーセキュリティ分析官は、歴史的に別々に活動し、異なるツール、異なる用語、攻撃がどのように展開するかについて異なる思考モデルを使用してきました。
MITRE Fight Fraud FrameworkはF3として知られており、両チームに詐欺キャンペーンを説明、検出、および破壊するための共通の構造を提供するように設計された行動ベースのモデルです。
観察された詐欺行動から構築されたモデル
F3は実際のインシデントから引き出されたタクティクスとテクニックに詐欺師の行動を整理しています。タクティクスは攻撃の完全なライフサイクルをカバーしています。偵察、リソース開発、初期アクセス、防御回避、ポジショニング、実行、および収益化です。
これらのタクティクスの2つ、ポジショニングと収益化は、MITRE ATT&CK(サイバー攻撃行動の確立されたフレームワーク)には登場しません。ポジショニングはアクセス取得後の選択された環境における敵対者の行動をカバーしており、データ収集または実行の準備が含まれます。収益化は盗まれた資産を使用可能な資金または価値に変換することをカバーしています。これらの追加は、詐欺を他のサイバー攻撃と区別する金銭的な最終目標を反映しています。
タクティクスまたはテクニックがATT&CKに既に存在する場合、F3はそれを詐欺固有の結果に対して定義を変更して直接使用します。ATT&CKの外部にある詐欺固有のテクニックは、より広いATT&CKスキーマとの互換性を維持するためにF1XXXシリーズの指定を受けます。
F3をルールベースの検出と区別するもの
組織は現在、トランザクションデータに事前定義された条件を適用し、アクティビティを承認、拒否、またはフラグを立てるという決定をトリガーするルールベースの詐欺検出システムに依存しています。F3は異なるレベルで動作します。
Help Net Securityに話を聞いた、MITRE CTIDリサーチチームは区別を説明しました:「F3は詐欺がどのように発生するかをマップする行動ベースのモデルです。それは実際のインシデントに基づいて、ライフサイクル全体を通じて詐欺行為者のタクティクスとテクニックを成文化します。本質的に、F3は『敵対者がこの段階で何を達成しようとしており、彼らは通常どのようにそれを行うのか?』という質問に答えます。そうすることで、組織は孤立した疑わしいイベントではなく、完全な詐欺キャンペーンを理解および説明することができます。」
チームは、F3が観察された詐欺行動および攻撃シーケンスに検出ロジックを根付かせることにより、ルール設計を通知および改善できることに注意しています。F3自体はトランザクションをスコアリングまたは強制決定を行いません。機械学習モデル、ルール、またはヒューリスティックスは、アクティビティを許可、ブロック、またはエスカレーションするかどうかを決定するために必要なままです。
詐欺チームとサイバーチームを一堂に集める
MITRE Fight Fraud Frameworkは、詐欺分析官が一貫した行動を使用してインシデントを説明する方法を提供し、サイバーチームに敵対者のテクニックを検出および検証するための構造を提供し、セキュリティリーダーに詐欺が実際にどのように展開するかに関連するリスク評価の基盤を提供します。
MITRE CTIDリサーチチームは、フレームワークの使用を開始する組織のための実用的なパスを概説しています:「詐欺チームとサイバーセキュリティチームを統合します。共有ワークフロー、コラボレーション、および共同分析を通じて詐欺捜査官とサイバー分析官を一堂に集め、検出と対応機能を強化します。MITRE F3を使用してインシデントとトレンドを文書化します。MITRE F3フレームワークを使用して、詐欺シナリオ、テクニック、およびパターンが記録される方法を標準化します。F3テクニックをデータソースにマップします。文書化されたF3テクニックを組織のデータソースと整列させて、敵対者の行動をより適切に識別および監視します。」
F3の背後にある設計原則
4つの原則がフレームワークの構築を導きました。機関は詐欺インシデント中にテクニックの効果を観察できる必要があります。F3のすべてのインシデントには、フィッシング、マルウェア、または不正アクセスなど、少なくとも1つのデジタルまたは技術的方法が含まれています。テクニックは敵対者の行動を説明し、エンティティまたはツールではなく、異なる、観察可能なアクションに焦点を当てます。複数の具体的な形式で表示される動作は、フレームワークを一貫したレベルの抽象化に保つために、サブテクニックとしてキャプチャされます。
これらの原則はF3を観察可能な詐欺行動に結び付け、サイバー脅威インテリジェンス、検出エンジニアリング、およびセキュリティ制御設計に適用可能なままにしています。
生きているフレームワーク
F3は、新しい詐欺スキームが出現し、敵対者がテクニックを適応させるにつれて、継続的に更新されるように設計されています。MITREはフレームワークが成長するにつれて、詐欺師のテクニックを検出するためのデータソースと推奨される軽減策を追加する予定です。組織はフレームワークをレビューし、編集を提案し、将来のコンテンツを優先順位付けし、F3ウェブサイトで新しいテクニックまたは改善に貢献できます。
翻訳元: https://www.helpnetsecurity.com/2026/04/13/mitre-fight-fraud-framework-f3/
