脅威グループ

Secureworks Counter Threat Unit™ (CTU)の役割は、脅威の状況を把握し、その知見を活用してお客様を保護し、情報を提供することです。脅威グループ名は、関連があると評価されたアクティビティのクラスターを追跡するために使用されます。脅威グループは侵入セットまたは観測されたアクティビティのクラスターであり、サイバースペース上に存在し、私たちはお客様に被害を与えようとする、または他者に被害を与えたという報告があるのを確認しています。

これは攻撃者とは異なります。攻撃者は現実世界の人物や組織であり、実際の所在地を持っています。脅威グループは攻撃者に_マッピング_されますが、その対応関係は必ずしも一対一ではありません。下請け業者が新しい契約を獲得したり、グループがインフラを共有したり、外国の情報機関が同じ目的を持ちながらもターゲットや手法、インフラの観点で全く異なる複数のチームを運用したりすることがあります。

脅威グループを理解することで、どのお客様がどの攻撃者からリスクを受ける可能性があるかを判断し、適用可能なプレイブックを特定できます。また、この情報はターゲットや被害者が誰なのかを理解するのに役立ち、それがどのように、なぜにつながる可能性もあります。これらのインサイトは、セキュリティ投資、トレーニング、コントロールの推進につながります。最悪の場合でも、対応の焦点、スピード、規模を決定する助けとなります。

攻撃者を理解することも重要です。なぜなら、観測されたアクティビティから推測できる以上のなぜをより良く評価できる可能性があるからです。しかし、信頼性をもって行うのは難しく、脅威グループに焦点を当てるよりも直接的なセキュリティ価値は低いとも言えます。CTUのレポートやプラットフォーム内の検知では、定期的に名前付きの脅威グループが参照されます。

特定の脅威グループについて、その戦術、技術、手順、関連するマルウェアファミリーなどの詳細情報を調べるには、Threat Intelligence Explorerをご覧ください。

脅威グループの命名規則

新しい脅威グループが特定されるたびに、リストからランダムに選ばれた名前が割り当てられます。その脅威グループが特定の国やテーマ領域（例：金銭目的のサイバー犯罪者）に帰属すると判断された場合は、その帰属を示すプレフィックスが付与されます。脅威グループの理解が進むにつれて、既存の別のグループに統合されたり、2つ以上の異なるグループに分割されたりすることもあります。例として、ネットワーク侵入の分析により、CTUの研究者が観測されたツールや行動のセットが既存の脅威グループのいずれにも関連付けられないと結論付けたとします。したがって、それは新しい脅威グループであり、HILLTOPというランダムな名前が割り当てられます。その後、CTUの研究者がHILLTOPが中国政府のために活動していると評価した場合、中国政府支援の脅威グループを示すBRONZEというプレフィックスが付与され、_BRONZE HILLTOP_となります。

脅威グループに割り当てられるテーマ別プレフィックスの一覧は以下の通りです。

出身/テーマ	金属/合金
パレスチナ	ALUMINUM
中国	BRONZE
イラン	COBALT
パキスタン	COPPER
サイバー犯罪	GOLD
ロシア	IRON
レバノン	LITHIUM
北朝鮮	NICKEL
アメリカ合衆国	PLATINUM
レッドチーム	RADIUM
シンガポール	SILVER
イギリス	STEEL
ベトナム	TIN
韓国	TUNGSTEN
インド	ZINC

命名規則の歴史

2016年11月、CTUの研究者は、数値による脅威グループ識別形式（例：TG-1234）から、単語ベースの命名規則への移行を開始しました。新しい名前は脅威の出身やカテゴリを反映しており、お客様が認識しやすく、覚えやすいことを意図しています。これらの古い脅威グループ名が参照されることも時折あります。例えば、BRONZE UNIONは中国の著名な脅威グループで、かつてはTG-3390と呼ばれていました。この脅威グループの呼称は、CTUの研究者による先駆的な研究に基づき公に知られるようになり、その後BRONZE UNIONに関する一連の公開レポートやお客様向けレポートが続きました。両者の関係を維持することで、読者は同じグループであること、名前が変わっただけであることを理解できます。

脅威グループのプロファイル一覧については、Secureworksの記事Threat Profilesをご覧ください。