米Microsoftの脅威インテリジェンス対策チームは4月18日(現地時間)、脅威アクターの新しい命名分類法への移行を発表した。従来の化学元素名から気象現象関連の名前に変更する。
脅威アクターとは、マルウェアなどの多様なツールを使って企業や個人にサイバー攻撃を仕掛ける攻撃者を指す。最近の例ではiOSマルウェア「KingsPawn」を開発したイスラエルのQuaDreamなどがある。MicrosoftはQuaDreamを従来の命名方法で「DEV-0196」と名付けたが、新たな名前は「Carmine Tsunami」になる。
命名法を変更するのは、複雑さ、規模、量が増大している脅威を迅速かつ明確に理解できるようにするのが目的という。「顧客やセキュリティ研究者により良いコンテキストを提供し、脅威に優先順位を付けられるように」する。
新分類法では、台風や津波などの気象現象を「family name」とし、背景にいる国家の属性または攻撃の動機のいずれかを示す。例えば「Typhoon」(台風)は中国を表し、「Tempest」(暴風雨)は経済的動機を表す。
既存のすべての脅威アクターに新しい名前が付けられた(一覧表)。
脅威アクターの命名はMicrosoft以外のセキュリティ企業なども別途実施しており、例えばMicrosoftがこれまで「NOBELIUM」と呼び、今後は「Midnight Blizzard」とするロシアの脅威アクターはAPT29あるいはCozy Bearとして知られている。
例えばNSO Group(Microsoft名は「DEV-0336」)は「Night Tsunami」に、LAPSUS$(Microsoft名は「DEV-0537」)は「Strawberry Tempest」になる。
Microsoftは、「業界の他のベンダーも、独自の命名分類法を持っていることは認識している」ので、「顧客が十分な情報に基づいた決定を下せるように、セキュリティ製品に(他のベンダーによる)別名も併記していくよう務める」としている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR