ロシア・北朝鮮・中国などの悪質な脅威アクターに「津波・台風・ブリザード」など気象現象にちなんだ名を付ける新ルールをMicrosoftが開始
ロシアの脅威アクターに「○○ブリザード」、中国の脅威アクターに「○○台風」、影響工作に対しては「○○洪水」など、さまざまな脅威アクターに対して気象現象にちなんだ命名ルールを適用することをMicrosoftが発表しました。
Microsoft shifts to a new threat actor naming taxonomy - Microsoft Security Blog
https://www.microsoft.com/en-us/security/blog/2023/04/18/microsoft-shifts-to-a-new-threat-actor-naming-taxonomy/
How Microsoft names threat actors | Microsoft Learn
https://learn.microsoft.com/en-us/microsoft-365/security/intelligence/microsoft-threat-actor-naming
Microsoftによると、脅威の複雑さ、規模、数の増大につれて、「Microsoftが脅威をどう語るか」だけではなく「ユーザーが脅威を迅速かつ明確に理解できるようにする方法」について考える必要が出てきたとのこと。そこで生み出された新たな脅威アクターの分類法が、気象現象に基づいた命名法です。
Microsoftは脅威アクターを5つの主要なグループに分類しています。
1つ目は「国家アクター」。スパイ活動、金銭的利益、報復のいずれを目的としているかに関係なく、国家や国家に関連するプログラムに代わって行動していたり、あるいはプログラムの指示を受けていたりするサイバーオペレーターです。ほとんどの国家アクターは、これまでのスパイ活動や監視活動の延長線上で、政府機関・国際的な政府間組織・非政府組織・シンクタンクに作戦と攻撃を集中させ続けているとのこと。
2つ目は「金銭的動機のあるアクター」。既知の国家や団体と高い信頼性での関連付けがなく、金銭的利益を動機とする犯罪組織または人物が指揮するサイバーキャンペーンやグループのこと。ランサムウェアやビジネスメール攻撃、フィッシング、恐喝などを用いるグループが含まれます。
3つ目は「民間部門攻撃アクター」。サイバー兵器を生み出して顧客に販売する、商業アクターが主導するサイバー活動です。こうしたサイバー兵器は反体制派や人権活動家、ジャーナリスト、市民社会の擁護者、さらには民間人を対象に用いられていることが確認されていて、世界的な人権活動を脅かしています。
4つ目は「影響工作攻撃」。国家やグループの利益と目的達成に向けて、対象者の認識・行動・意思決定を変化させるために、オンラインやオフラインで行われる情報キャンペーンです。
5つ目は「成長中のグループ」。これは、脅威が確認されながらも、活動の背後にある攻撃者の起源や身元について、高い信頼性に達するまで設定される一時的な状態です。基準を満たすと、名前付きアクターに変換されるか、既存の名前に合併されます。
具体的には以下のような命名規則となっています。
| 脅威アクター分類 | 脅威アクター | 分類名 |
|---|---|---|
| 国家アクター | 中国 | Typhoon(台風) |
| イラン | Sandstorm(砂嵐) | |
| レバノン | Rain(雨) | |
| 北朝鮮 | Sleet(みぞれ) | |
| ロシア | Blizzard(ブリザード) | |
| 韓国 | Hail(あられ) | |
| トルコ | Dust(ちり) | |
| ベトナム | Cyclone(サイクロン) | |
| 金銭的動機のあるアクター | Tempest(暴風雨) | |
| 民間部門攻撃アクター | Tsunami(津波) | |
| 影響工作攻撃 | Flood(洪水) | |
| 成長中のグループ | Storm(嵐) | |
具体的には、たとえばロシアの脅威アクターだと「Midnight Blizzard」「Forest Blizzard」「Aqua Blizzard」、イランの脅威アクターだと「Mint Sandstorm」「Gray Sandstorm」「Hazel Sandstorm」のような名前が付けられることになります。
新発見のアクターの場合、まずは「Storm-0257」「Storm-0539」のように4ケタの番号がつけられ、アクターの起源や身元について信頼性の高い情報が得られたとき、名前付きアクターに変換されます。
なお、この新たな命名規則についてチーフセキュリティアドバイザーのサラ・アームストロング=スミスさんがLinkedInに投稿したところ、他のユーザーからは「役に立たない作業で、より多くの混乱を招くでしょう」「Microsoftはシンプルで意味のあるものを、意味がなくて紛らわしくてコミュニティとまったく一致しないものに変えます。冗談であることを願います」「不必要にわかりにくいと思います」といったコメントが寄せられています。
LinkedInのSarah Armstrong-Smith: Microsoft shifts to a new threat actor naming taxonomy - Microsoft… | 36件のコメント
https://www.linkedin.com/feed/update/urn:li:share:7054119643635974145
・関連記事
「中国の国家利益」のためにサイバー攻撃やスパイ活動を行う3つのグループとは? - GIGAZINE
サイバー攻撃レポートで明らかになったロシアのサイバー攻撃体制とは? - GIGAZINE
Microsoftの診断ツールに見つかったゼロデイ脆弱性「Follina」を中国関連の脅威アクターが悪用している - GIGAZINE
ロシア政府支援のハッキング組織がフィッシング詐欺やDDoS攻撃でウクライナや周辺地域を攻撃しているとGoogleの脅威分析グループが暴露 - GIGAZINE
脅威アクター「PazzleMaker」に悪用されていた脆弱性がWindows Updateにより修正 - GIGAZINE
シチリアの州都パレルモで全システムがオフライン、脅威アクターKillnetによるイタリア攻撃とは別件か - GIGAZINE
・関連コンテンツ
