脅威グループ

Secureworks Counter Threat Unit™ (CTU)の役割は、脅威の状況を把握し、その知見を活用してお客様を保護し、情報を提供することです。脅威グループ名は、関連があると評価されたアクティビティのクラスターを追跡するために使用されます。脅威グループは侵入セットまたは観測されたアクティビティのクラスターであり、サイバースペース上に存在し、私たちはお客様に被害を与えようとする、または他者に被害を与えているという報告を受けることがあります。

これは攻撃者とは異なります。攻撃者は現実世界の人物や組織であり、実際の所在地を持っています。脅威グループは攻撃者に_マッピング_されますが、その対応関係は必ずしも一対一ではありません。下請け業者が新しい契約を獲得したり、グループがインフラを共有したり、外国の情報機関が同じ目的を持ちながらもターゲットや手法、インフラの観点で大きく異なる複数のチームを運用したりすることがあります。

脅威グループを理解することで、どのお客様がどの攻撃者からリスクを受ける可能性があるかを判断し、適用可能なプレイブックを特定できます。また、この情報はターゲットや被害者が誰なのかを理解するのに役立ち、それがどのように、なぜにつながる可能性もあります。これらのインサイトは、セキュリティ投資、トレーニング、コントロールの推進につながります。最悪の場合でも、対応の焦点、スピード、規模を決定する助けとなります。

攻撃者を理解することも重要です。観測されたアクティビティから推測できるなぜをより良く評価できる可能性があるからです。しかし、信頼性をもって行うのは難しく、脅威グループに注目するよりも直接的なセキュリティ価値は低いとも言えます。CTUのレポートやプラットフォーム上の検知では、定期的に名前付きの脅威グループが参照されます。

特定の脅威グループの戦術、技術、手順、関連するマルウェアファミリーなどの詳細情報を調べるには、Threat Intelligence Browserをご覧ください。

脅威グループの命名規則

新しい脅威グループが特定されるたびに、リストからランダムに選ばれた名前が割り当てられます。その脅威グループが特定の国やテーマ領域（例：金銭目的のサイバー犯罪者）に帰属すると判断された場合は、その帰属を示すプレフィックスが付与されます。脅威グループの理解が時間とともに変化するにつれ、他の既存グループに統合されたり、2つ以上の異なるグループに分割されたりすることがあります。例として、ネットワーク侵入の分析により、CTUのリサーチャーが観測されたツールや行動のセットが既存の脅威グループのいずれにも関連付けられないと結論付けたとします。したがって、それは新しい脅威グループであり、HILLTOPというランダムな名前が割り当てられます。その後、CTUのリサーチャーがHILLTOPが中国政府のために活動していると評価した場合、中国政府支援の脅威グループを示すBRONZEというプレフィックスが付与されます。これにより、_BRONZE HILLTOP_となります。

脅威グループに割り当てられるテーマ別プレフィックスの一覧は以下の通りです。

出身/テーマ	金属/合金
パレスチナ	ALUMINUM
中国	BRONZE
イラン	COBALT
パキスタン	COPPER
サイバー犯罪	GOLD
ロシア	IRON
レバノン	LITHIUM
北朝鮮	NICKEL
アメリカ合衆国	PLATINUM
レッドチーム	RADIUM
シンガポール	SILVER
イギリス	STEEL
ベトナム	TIN
韓国	TUNGSTEN
インド	ZINC

命名規則の歴史

2016年11月、CTUのリサーチャーは、数値による脅威グループ識別形式（例：TG-1234）から単語ベースの命名規則への移行を開始しました。新しい名前は脅威の出身地やカテゴリを反映しており、お客様がより認識しやすく、覚えやすいように意図されています。これらの古い脅威グループ名が参照されることも時折あります。例えば、BRONZE UNIONは中国の著名な脅威グループで、かつてはTG-3390と呼ばれていました。この脅威グループの呼称は、CTUのリサーチャーによる先駆的な研究に基づき公に知られるようになり、その後BRONZE UNIONに関する一連の公開レポートやお客様向けレポートが続きました。両者の関係を維持することで、同じグループであること、名前が変わっただけであることを読者が理解しやすくなります。

脅威グループのプロファイル一覧については、Secureworksの記事Threat Profilesをご覧ください。