Unit 42の脅威グループの命名方法の更新

This post is also available in: English (英語)

名前が意味すること

サイバー脅威インテリジェンスの仕事における複雑な側面の1つが、追跡している攻撃活動のさまざまな要素をどのようにして識別するかという点です。私たちは、マルウェアファミリ、攻撃手法、侵入セット、そして脆弱性にも名前を付けています。名前は、その脅威を簡単に参照することを可能にする省略表現の役割を果たします。各組織がどのようにこれらの名前を選択するかは、特にサイバー攻撃の背後にいるグループにどのようなコード名を付けるかは、複雑なテーマです。このテーマの詳細に興味がある方は、脅威の命名についてより詳しく解説している、2018年のこちらのUnit 42のポッドキャストをお聞きください。

パロアルトネットワークス脅威インテリジェンスチームUnit 42は、2014年の立ち上げ時、脅威グループの命名についてかなり単純な方針を選択しました。

1. すでに使われている一般的名称があればそれを使用する。たとえばAPT28やFancy Bearと呼ばれるグループは一般的名称の「Sofacy」を使う。
2. 一般的名称がなければリサーチャーの判断でグループに新しい名前を作成する。
3. 可能ならあるグループがほかのグループとどのように関連しているかを理解しやすいようにレポートではグループの既知の別名も含める。

この方針はUnit 42が小規模であったときは問題なく機能しましたが、この8年間でUnit 42は大きく変わりました。パロアルトネットワークスは、世界中のネットワーク、エンドポイント、およびクラウドデプロイメントを保護する自社セキュリティ製品からの非常に多くのテレメトリを扱うようになりました。インシデント対応チームは毎年何百件もの侵害に対応しています。

現在は、一般的名称のない脅威を調査することが多く、弊社のデータセットが他のリサーチチームの報告と明確に一致しないこともよくあります。また、他のセキュリティ リサーチ チームが定義した名前を使用して脅威について報告することを選択したこともあります。これにより、Unit 42での評価を、そのチームのリサーチャーにより作成されたその脅威の定義と密に結び付けることができます。

たとえば先月、私たちはPingPullと呼んでいる新たなリモートアクセス型のトロイの木馬で、複数の業界を標的としている特定の脅威グループの活動に関するレポートを発表しました。このグループに対する一般的名称は見つからなかったため、使用可能な名前の中で最適であった、Microsoft社が定義したGALLIUMという名前を使用しました。

Unit 42はこのグループおよびその他の多くのグループの活動の追跡を継続しており、追跡している脅威を弊社独自のテレメトリと分析に基づいてより明確に参照できるように、命名方針を更新する必要があると考えています。

星座名の活用

脅威グループの命名に対する新たなシステムを作ることには、検討すべき多くのオプションがあり、思うほど簡単ではありません。命名スキームによっては、名前に脅威グループに関する情報を何も含まない、数字を使用する単純なものもあります。一方で、インテリジェンスの利用者が聞いただけでグループについての情報を得ることができる名前もあります。また、動物、元素、昆虫などに基づく命名システムもあります。私たちには、名前の衝突を防ぐために他のシステムと重複せず、またUnit 42が付けた名前を簡単に識別することを可能にするシステムが必要でした。

私たちは、名前によって脅威グループについての情報を伝えられる新たなスキーマを選択しました。これらの名前は、夜空に輝く星座に基づいています。各名前は、星座の名前(Taurus=おうし座、など)と修飾語の2つの部分から構成されます。各星座は脅威グループの包括的なカテゴリを表し、修飾語はそのカテゴリ内の各グループを区別するために使用されます。星座には、金銭的利益やハクティビズムを目的とした脅威のカテゴリを表すものや、スパイ活動を目的とした国家レベルの脅威グループを表すものもあります。

新しいシステムの星座名のデコードリストを以下に示します。

国家レベル以外の脅威グループ

Libra = サイバー犯罪(全般)
Orion = BEC
Scorpius = ランサムウェア
Virgo = ハクティビズム

スパイ活動目的の国家レベルの脅威グループ

Draco = パキスタン
Gemini = インド
Lynx = ベラルーシ
Pisces = 北朝鮮
Serpens = イラン
Taurus = 中国
Ursa = ロシア

いくつかの例を挙げます。たとえば、ロシアが関与している可能性が高いと判断される、スパイ活動を実施しているグループには、Dancing Ursaという名前を付けます。また、一連のBEC攻撃を実施しているグループはScavenger Orionと命名できます。

修飾語には特に意味はありません。単に特定のカテゴリ内のグループを区別するために使用しています。上記のカテゴリに当てはまらない脅威グループに対してもその他の星座名を定義していますが、これまでに発表した調査では上記の名前のみで対応できています。

私たちは多数の新たな攻撃を調査しているため、最初は特定のグループに攻撃を関連付けるには十分な情報がない場合もあります。このような場合は、数字のクラスタ識別子(CLU001など)を割り当てます。活動が特定のグループにより実施されたことを示す十分な証拠が得られたら、そのクラスタをより高いレベルのグループに組み入れるか、適切なカテゴリの新しいグループ名を作成します。

今後の展開

脅威グループの名前空間への新たな名前の追加は、脅威インテリジェンスコミュニティの混乱を招く可能性があることを私たちは認識しています。今後の進め方について、読者が抱くであろういくつかの質問をまとめました。

以前に特定したすべての脅威グループについても、新たな名前を作成しますか?

この数か月で、他のリサーチチームで使用されている名前を識別し、Unit 42の新しい命名システムに適切に関連付ける、社内の「ロゼッタストーン」を完全に書き換えました。以前に作成したすべての名前に新しい名前を割り当てています。多くのレポートで参照されているため、以前に投稿したブログは新しい名前では更新しませんが、今後公開するブログなどでは、新しい名前の使用時には、脅威グループの別名として以前使用していた名前を明示します。

すべての新しい脅威グループ名はどこで確認できますか?

Unit 42 ATOM Viewerには、以前にレポートを公開したグループの更新された名前が含まれています。

Unit 42で以前使用されていた名前を新たな名前と結び付けるにはどうすればよいでしょうか?

レポートでの新しい名前の使用時には、読者が関連付けられるように、以前に使用していた名前を別名として含めます。

$threat_groupに対する新しい名前は何ですか?

新しい脅威グループ名の多くはUnit 42 ATOM で確認できます。

この命名システムはマルウェアや脆弱性などにも適用されますか?

新しい命名システムは脅威グループ(侵入セットとも呼ばれる)にのみ適用されます。マルウェア、脆弱性、キャンペーン、およびその他の種類のツールや活動には、このシステムは使用しません。

おわりに

このブログの読者にこの更新について紹介できることを非常に嬉しく思っています。私たちはこの8年間、世界中の組織を標的とする脅威グループの活動について何百ものレポートを発表してきました。この命名方法の変更は、Unit 42の脅威テレメトリの成長だけでなく、脅威インテリジェンス組織としての私たちの成熟度の向上を反映したものです。