ATT&CK可視化対応！MITREフレームワークを全面アクセスするMCP脅威情報ツール

Complete Mitre Attack MCP Server

MITRE ATT&CK MCPサーバーはAIネイティブの脅威インテリジェンスツールで、Model Context Protocolを通じてMITRE ATT&CKフレームワークに全面的にアクセスできます。200以上の技術、140以上の脅威組織、700以上のソフトウェアエントリの検索機能を備え、ATT&CK Navigatorの可視化レイヤー生成をサポートし、セキュリティチームとAIエージェント向けに設計されています。

セキュリティ研究とデータ #脅威インテリジェンス #セキュリティフレームワーク #AIツール #MCPサービス .Python

スコア : 2ポイント

ダウンロード数 : 0

更新時間 : 2025-12-29

サイトを開く

MITRE ATT&CK MCPサーバーとは？

これはModel Context Protocol (MCP)に基づくサーバーで、AIシステムがMITRE ATT&CKフレームワークにアクセスできるように専用に設計されています。MITRE ATT&CKは世界で最も権威ある敵対者の戦術、技術、手順(TTPs)の知識ベースです。このサーバーは複雑な脅威インテリジェンスデータをLLMに適した構造化形式に変換し、AIアシスタントがセキュリティ専門家のように脅威情報を検索、分析できるようにします。

MITRE ATT&CK MCPサーバーの使い方は？

インストール後、AIアシスタント（Claude Desktopなど）は自然言語でMITRE ATT&CKデータを直接検索できます。たとえば、「APT29が使用する初期アクセス技術は何ですか？」や「ランサムウェア組織のATT&CKナビゲーションマップを生成してください」といった質問ができます。サーバーは自動的に公式データをダウンロードし、ローカルにキャッシュして、迅速な応答を提供します。

適用シーン

セキュリティチーム、脅威ハンター、検出エンジニア、AI研究者、および脅威インテリジェンスをインテリジェントにアクセスする必要があるすべてのユーザーに適しています。脅威分析、検出ルール開発、レッドチーム演習計画、セキュリティ状況評価、自動化セキュリティレポート生成に使用できます。

主な機能

ATT&CKフレームワークを完全にカバー

エンタープライズ版、モバイル版、産業用制御システム(ICS)版のATT&CKをサポートし、200以上の攻撃技術、140以上の脅威組織、700以上のマルウェアツール、100以上の緩和策、およびすべての戦術段階を含みます。

65以上の専用検索ツール

専用に設計されたMCPツールを提供します。IDで技術を検索、脅威組織を検索、ソフトウェアの関連付けを探す、可視化レイヤーを生成するなど、すべてのATT&CKエンティティと関係をカバーします。

ATT&CKナビゲーションマップ生成

自動的にATT&CK Navigator互換のJSONレイヤーファイルを生成し、公式ナビゲーターウェブサイトにアップロードして可視化分析を行うことができます。脅威カバレッジマップ、検出ギャップ分析などをサポートします。

インテリジェントキャッシュと自動更新

初回実行時に自動的に公式STIXデータ（約59MB）をダウンロードし、ローカルにキャッシュします。その後の検索ではネットワーク接続が不要で、迅速な応答とデータの一貫性を保証します。

LLMに適した出力

すべてのデータは構造化され、理解しやすい形式に変換され、大規模言語モデル用に最適化されています。自然言語検索と複雑な推論をサポートします。

複数プラットフォームでのインストールサポート

Python pipでのインストール、Node.js npmでのインストール、npxでの直接実行をサポートし、macOS、Windows、Linuxシステムと互換性があります。

利点

MITREウェブサイトを手動で検索する必要がなく、AIアシスタントが最新の脅威インテリジェンスに直接アクセスできます

構造化データは自動化分析とレポート生成に便利です

複雑な関係の検索（「特定の技術を使用する組織はどれですか」など）をサポートします

可視化出力により脅威状況を迅速に理解できます

公式MITREデータに基づいているため、正確性と信頼性が保証されます

Claude DesktopなどのMCPクライアントとシームレスに統合されます

制限

初回使用時に約59MBのデータファイルをダウンロードする必要があります

基本的なMCPクライアントの設定知識が必要です

高度なカスタム分析には他のツールを組み合わせる必要がある場合があります

データ更新はMITREの公式リリースサイクルに依存します

使い方

サーバーをインストールする

あなたの環境に適したインストール方法を選択してください。npxを使用するとインストール不要ですが、pipでPythonバージョンをインストールすることもおすすめです。

Claude Desktopを設定する

Claude Desktopの設定ファイルにMCPサーバーの設定を追加してください。macOSの設定ファイルは~/Library/Application Support/Claude/claude_desktop_config.jsonにあり、Windowsの場合は%APPDATA%\Claude\claude_desktop_config.jsonです。

再起動して使用を開始する

Claude Desktopを完全に終了し、再起動してください。サーバーは初回実行時に自動的にMITREデータをダウンロードします。その後は自然言語でATT&CK情報を検索できます。

使用例

脅威インテリジェンス分析

セキュリティアナリストは特定の脅威組織（APT29など）の攻撃パターンと技術使用状況を迅速に把握する必要があります。

検出ルール開発

検出エンジニアは特定の攻撃技術（プロセスインジェクションT1055など）の検出方法とデータソースを把握する必要があります。

レッドチーム演習計画

レッドチームは模擬攻撃演習を計画する際、特定のプラットフォーム（Windowsなど）の一般的な攻撃技術を把握する必要があります。

セキュリティ状況評価

CISOは組織の現在のセキュリティコントロールが一般的な脅威に対するカバレッジを評価する必要があります。

よくある質問

使用するためにネットワーク接続が必要ですか？

データはどのくらいの頻度で更新されますか？

どのMCPクライアントがサポートされていますか？

可視化チャートを生成するにはどうすればいいですか？

サブ技術を検索できますか？

データはどこに保存されますか？保存場所をカスタマイズできますか？

🚀 🛡️ MITRE ATT&CK MCP Server

世界をリードする脅威インテリジェンスフレームワークをAIネイティブで利用可能にするサーバーです。LLMやエージェントシステムが、MITRE ATT&CKの知識ベースをクエリ、推論、可視化できます。

主な機能 • インストール • クイックスタート • 利用可能なツール • クエリ例 • ロードマップ

🚀 クイックスタート

1. インストール

pip install mitre-mcp-server

2. Claude Desktopの設定

claude_desktop_config.jsonに以下を追加します。

macOS: ~/Library/Application Support/Claude/claude_desktop_config.json
Windows: %APPDATA%\Claude\claude_desktop_config.json

{
  "mcpServers": {
    "mitre-attack": {
      "command": "npx",
      "args": ["-y", "@imouiche/mitre-attack-mcp-server"]
    }
  }
}

3. Claude Desktopを再起動

Claude Desktopを完全に終了し（macOSではCmd+Q）、再度開きます。

4. クエリを開始！

Claudeに以下のような質問をしましょう。

"APT29が初期アクセスに使用する手法は何ですか？"
"ランサムウェアグループのATT&CKナビゲーターレイヤーを生成してください。"
"すべてのWindows特権昇格手法を表示してください。"

初回実行時に自動的にデータがダウンロードされます（約59MB、~/.mitre-mcp-server/data/にキャッシュされます）。

✨ 主な機能

✅ ATT&CKドメイン（エンタープライズ、モバイル、ICS）にわたる65以上のMCPツール
✅ 初回実行時の自動STIXダウンロードとキャッシュ
✅ ネイティブのATT&CKナビゲーターレイヤー生成
✅ LLMsとMCP互換クライアント向けに設計
✅ 即時クエリ応答のためのメモリ内キャッシュ
✅ Pydanticモデルによる型安全
✅ クリーンで本番環境に対応した自己完結型サーバー
✅ 包括的なテストカバレッジ

📦 インストール

PyPI経由（推奨） - Pythonユーザー

pip install mitre-mcp-server

npm

npm install -g @imouiche/mitre-attack-mcp-server

npx（インストール不要）

npx @imouiche/mitre-attack-mcp-server

uv経由（最新のPython）

uv pip install mitre-mcp-server

ローカル開発

git clone https://github.com/imouiche/complete-mitre-attack-mcp-server.git
cd complete-mitre-attack-mcp-server
npm install

uvを使用する（Pythonパッケージマネージャー）

git clone https://github.com/imouiche/complete-mitre-attack-mcp-server.git
cd complete-mitre-attack-mcp-server
uv sync

📦 MCPレジストリ

このサーバーは、Model Context Protocol (MCP) レジストリに正式に登録されています。

レジストリID: io.github.imouiche/mitre-attack-mcp-server

公式レジストリで表示: https://registry.modelcontextprotocol.io/?q=mitre-attack-mcp-server

インストールオプション

オプション1: 直接NPM

npm install -g @imouiche/mitre-attack-mcp-server

オプション2: NPX（インストール不要）

npx @imouiche/mitre-attack-mcp-server

オプション3: レジストリから検索

MCPレジストリにアクセスします。
"mitre-attack"を検索します。
サーバーのカードをクリックしてインストール手順を確認します。

🛠️ 利用可能なツール

このサーバーは、主要なMITRE ATT&CKエンティティと関係をカバーする50以上のMCPツールを公開しています。

📊 インフラストラクチャとメタデータ

ツール	説明
`get_data_stats`	ダウンロード状態、ファイルパス、サイズ、およびATT&CKリリースバージョンを表示します。
`generate_layer`	ATT&CKナビゲーターレイヤーを生成します（JSON出力）。
`get_layer_metadata`	ナビゲーターレイヤーのメタデータテンプレートを返します。

🎯 手法

ツール	説明
`get_technique_by_id`	ATT&CK ID（例：T1055）で手法を取得します。
`search_techniques`	名前または説明で手法を検索します。
`get_all_techniques`	すべての手法を取得します。
`get_all_parent_techniques`	親手法のみを取得します。
`get_all_subtechniques`	すべてのサブ手法を取得します。
`get_subtechniques_of_technique`	親手法のサブ手法を取得します。
`get_parent_technique_of_subtechnique`	サブ手法の親手法を取得します。
`get_technique_tactics`	手法に関連付けられた戦術を取得します。
`get_techniques_by_tactic`	戦術に属する手法を取得します。
`get_techniques_by_platform`	プラットフォームに適用される手法を取得します。
`get_revoked_techniques`	取り消された手法を取得します。

🧑‍💻 グループ（脅威アクター）

ツール	説明
`get_group_by_name`	名前またはエイリアスでグループを検索します。
`search_groups`	グループを検索します。
`get_all_groups`	すべてのATT&CKグループを取得します。
`get_groups_by_alias`	エイリアスでグループを検索します。
`get_groups_using_technique`	手法を使用するグループを取得します。
`get_groups_using_software`	ソフトウェアを使用するグループを取得します。
`get_groups_attributing_to_campaign`	キャンペーンに関連付けられたグループを取得します。

🧪 ソフトウェア（マルウェアとツール）

ツール	説明
`get_software`	すべてのソフトウェアを取得します。
`search_software`	ソフトウェアを検索します。
`get_software_by_alias`	エイリアスでソフトウェアを検索します。
`get_software_used_by_group`	グループが使用するソフトウェアを取得します。
`get_software_used_by_campaign`	キャンペーンで使用されるソフトウェアを取得します。
`get_software_using_technique`	手法を使用するソフトウェアを取得します。

📌 キャンペーン

ツール	説明
`get_all_campaigns`	すべてのキャンペーンを取得します。
`get_campaigns_by_alias`	エイリアスでキャンペーンを検索します。
`get_campaigns_using_technique`	手法を使用するキャンペーンを取得します。
`get_campaigns_using_software`	ソフトウェアを使用するキャンペーンを取得します。
`get_campaigns_attributed_to_group`	グループに関連付けられたキャンペーンを取得します。

🛡️ 軽減策

ツール	説明
`get_all_mitigations`	すべての軽減策を取得します。
`get_mitigations_mitigating_technique`	手法を軽減する軽減策を取得します。
`get_techniques_mitigated_by_mitigation`	軽減策によって軽減される手法を取得します。

🧭 戦術、データソース、ICS

ツール	説明
`get_all_tactics`	すべての戦術を取得します。
`get_all_datasources`	すべてのデータソースを取得します。
`get_all_datacomponents`	すべてのデータコンポーネントを取得します。
`get_datacomponents_detecting_technique`	手法を検出するデータコンポーネントを取得します。
`get_all_assets`	ICSアセットを取得します。
`get_assets_targeted_by_technique`	手法のターゲットとなるアセットを取得します。

💻 使用例

脅威インテリジェンス

"APT29が初期アクセスに使用する手法は何ですか？"
"金融機関をターゲットにするグループはどれですか？"
"すべてのランサムウェア関連ソフトウェアを表示してください。"
"ラザラスグループのエイリアスは何ですか？"

検知エンジニアリング

"資格情報のダンピングを検出するデータソースは何ですか？"
"EDR機能のカバレッジマップを生成してください。"
"Windows特権昇格のすべての手法をリストアップしてください。"
"T1055（プロセスインジェクション）を検出できるものは何ですか？"

脅威ハンティング

"PowerShellを使用する手法は何ですか？"
"Linuxの横方向移動手法を表示してください。"
"Cobalt Strikeを使用するグループはどれですか？"
"macOSをターゲットにする永続化手法は何ですか？"

軽減策と防御

"フィッシング攻撃に対する軽減策は何ですか？"
"特権昇格に対するすべての軽減策を表示してください。"
"MFAが軽減する手法は何ですか？"

コンプライアンスとギャップ分析

"私たちのEDRがカバーするすべての手法のレイヤーを生成してください。"
"APT29のTTPを私たちの検知能力と比較してください。"
"私たちの環境で軽減されていない手法を表示してください。"

📊 ATT&CKナビゲーター可視化

generate_layerツールは、ATT&CKナビゲーター互換のJSONを生成します。

使い方

Claudeにレイヤーを生成するように依頼します。

"APT29が使用するすべての手法のATT&CKナビゲーターレイヤーを生成してください。"
JSON出力をファイルに保存します（例：apt29_layer.json）。
ATT&CKナビゲーターにアップロードします。
手法のカバレッジ、脅威アクターの使用状況、または軽減策のマッピングを可視化します。

LangGraphを使用した実際の例

実際のレイヤーの使用例

レッドチームのカバレッジ: エクササイズで使用されるすべての手法をマッピングします。
検知ギャップ: 監視されていない手法を強調表示します。
脅威アクターのプロファイル: グループのTTPを可視化します。
軽減策のカバレッジ: 保護されている部分と露出している部分を表示します。

🔧 技術詳細

アーキテクチャ

言語: Python 3.12以上
フレームワーク: Model Context Protocol用のFastMCP
データライブラリ: 公式のmitreattack-python（v5.3.0以上）
非同期/待機: 並行クエリの最適なパフォーマンス
型安全: すべてのデータ構造に対する完全なPydanticモデル
テスト: 包括的なpytestカバレッジ

データ

エンタープライズATT&CK: v18.1以上（約50.9MB）
モバイルATT&CK: v18.1以上（約4.9MB）
ICS ATT&CK: v18.1以上（約3.5MB）
合計: 約59MBがローカルにキャッシュされます
ストレージ: ~/.mitre-mcp-server/data/v{version}/
更新: インストール時に自動ダウンロードされ、以降の実行ではキャッシュされたデータを使用します

パフォーマンス

メモリ内キャッシュ: すべてのドメインが起動時にロードされます
クエリ速度: ほとんどの操作でサブ秒単位
グラフトラバーサル: 効率的な関係クエリ
並行性: 複数の同時リクエストを処理します

要件

Python: 3.12以上
Node.js: 16以上（NPMインストール用）
ディスク容量: 約150MB（依存関係とデータを含む）
メモリ: 実行時に約200MBのRAM

🚀 ロードマップとビジョン

このプロジェクトは、複数のセキュリティ知識ベースとフレームワークを統合して、包括的なエージェント型セキュリティ自動化を構築するという大きなビジョンの最初のコンポーネントです。

現在の状況

✅ MITRE ATT&CK - 脅威インテリジェンスと敵対者のTTP（v18.1）

予定されている統合

🔜 CVE/NVD - 脆弱性インテリジェンスとエクスプロイトマッピング
🔜 MITRE D3FEND - 防御対策の知識グラフ
🔜 Sigma Rules - 検知ルールの翻訳と管理
🔜 CAPEC - 一般的な攻撃パターンの列挙
🔜 CWE - ソフトウェアの弱点列挙
🔜 エージェント型ペンテスト - マルチエージェントの自律的なセキュリティテスト

最終目標

AIエージェントが自律的に以下のことを行えるようにすることです。

🎯 攻撃面をマッピングし、脆弱性を特定する
🛡️ 防御対策を推奨する
🔍 検知ルールを生成し、カバレッジを検証する
🤖 多段階のセキュリティ評価をオーケストレートする
📊 完全な攻撃 - 防御のライフサイクルについて推論する

参加方法

以下の方々からの貢献を歓迎します。

🎓 卒業論文プロジェクトに取り組んでいる学生（サイバーセキュリティ、AI、エージェント型システム）
🔬 AIセキュリティ、脅威インテリジェンス、またはエージェントフレームワークの研究者
💻 セキュリティ自動化に情熱を持つ開発者
🏢 研究パートナーシップまたは商用アプリケーションに興味のある組織

関心のある分野

追加のセキュリティフレームワークの統合（CVE、D3FEND、Sigma）
ペンテストとレッドチームのためのエージェント型ワークフローの構築
検知ルール生成パイプラインの開発
脅威インテリジェンス推論システムの作成
MCPツールとドキュメントの改善

📬 興味がある方は、イシューを開いたり、ディスカッションを始めたり、直接連絡してください！ディスカッションに参加する →

🤝 コントリビュート

バグを見つけた場合、機能リクエストがある場合、またはロードマップに貢献したい場合は、以下の方法でコントリビュートできます。

すべてのコントリビューションを歓迎します！

開発セットアップ

git clone https://github.com/imouiche/complete-mitre-attack-mcp-server.git
cd complete-mitre-attack-mcp-server
uv sync
# uv run pytest (test/ フォルダはまだリリースされていません)
uv run python -m mitre_mcp_server.server