CrowdStrikeのインテリジェンスチームは、各サイバー攻撃者グループの活動を追跡し、理解を追究することに尽力しています。私たちはこれまで、国家主導の犯罪グループや金銭を目的としたネット犯罪者、ハクティビストなど、さまざまな形態・規模の攻撃者グループを合計100以上も追跡してきました。
CrowdStrikeでは、コードネームを使って攻撃者を分類しています。たとえば、「Anchor Panda(アンカーパンダ)」は、可愛い動物の名前ではありません。攻撃を後押しする国家と、その攻撃対象(この場合は、民間人と海軍)をこのように表現しています。
一部の攻撃者グループは国家に支援されています。このケースでは、中国に紐づく国家主導の活動を「パンダ」と総称しています。国家主導以外の攻撃者グループは、地理的な分類ではなく、その意図によって区別しています。たとえば、シリアのハッカー集団「シリア電子軍」には、その意図や思想を表す「Jackal(ジャッカル)」という名前を与えています。CrowdStrikeが攻撃者の分類に使用しているコードネームの例を以下に示します。
国家主導の攻撃者
・Bear(熊) = ロシア
・Buffalo(バッファロー) = ベトナム
・Chollima(千里馬)(朝鮮の伝説上の馬) = 北朝鮮
・Crane(鶴) = 韓国
・Kitten(子猫) = イラン
・Leopard(ヒョウ) = パキスタン
・Panda(パンダ) = 中国
・Tiger(虎) = インド
国家主導以外の攻撃者
・Jackal(ジャッカル) = 活動家組織
・Spider(蜘蛛) = 犯罪者組織
2 . APT攻撃者のリスト
最も一般的なサイバー攻撃者を国やグループに分類したリストを以下に示します。攻撃者の名前をクリックすると、既知のエイリアス、対象、攻撃方法などの詳細がわかります。
●中国の攻撃者グループ
中国政府が打ち出した「メイド・イン・チャイナ2025計画」に扇動され、中国の攻撃者グループがテクノロジー、エネルギー、ヘルスケア業界を標的としていることが確認されています。CrowdStrikeは、過去一年の間に、中国と米国との関係悪化が一因となって、中国ベースの攻撃者グループが急増していることを認識しています。
2018年の平均ブレイクアウトタイム4:00:26
・Anchor Panda (APT14)
・Deep Panda (APT19)
・Goblin Panda (APT27)
・Mustang Panda
・Samurai Panda (APT 4)
●イランの攻撃者グループ
イランの攻撃者らは、今年になって新たな戦術・技術・手順(TTP)を採用して攻撃力を高めています。このような新しいTTPでは、戦略的Web侵害(SWC)やモバイルマルウェアなどが関与しており、対抗地域を標的に攻撃したり、反対勢力を阻止したり、あるいは武器を用いない「ソフト・ウォー」攻撃を拡大したりしています。
2018年の平均ブレイクアウトタイム5:09:04
・Clever Kitten
・Helix Kitten (APT34)
●北朝鮮の攻撃者グループ
外交的な圧力に反して、北朝鮮ベースの攻撃者らは、今年もその活動を強化しているようです。北朝鮮ベースの攻撃者の間で最優先とされているのは、金融セクターおよび南北朝鮮関連の諜報活動です。
2018年の平均ブレイクアウトタイム2:20:14
・Stardust Chollima (APT38)
●パキスタンの攻撃者グループ
・Mythic Leopard (APT36)
●ロシアの攻撃者グループ
国家主導の攻撃者グループのなかでも、ロシアの攻撃者グループは、相変わらず最も積極的かつ破壊的な活動を続けています。今年の最大の標的は、ウクライナ政府、司法当局、および軍事組織です。
2018年の平均ブレイクアウトタイム0:18:49
・Cozy Bear (APT29)
・Fancy Bear (APT28)
・Venomous Bear
・Voodoo Bear
●国家主導以外の犯罪者グループ
サイバー犯罪者に関する最も顕著な傾向は「Big Game Hunting(猛獣狩り/大物狙い)」型攻撃の増加でしょう。大規模な組織を標的に、高度なランサムウェア攻撃を行うBig Game Huntingは、サイバー犯罪組織にとって非常に儲かる方法であることが証明されています。
2018年の平均ブレイクアウトタイム9:42:23
・Cobalt Spider
・Dungeon Spider
・Mummy Spider
・Wicked Spider
3 . CrowdStrikeの哲学
備えあれば憂いなし。サイバーセキュリティの世界以上にこの言葉がふさわしい分野はないのではないでしょうか。George KurtzとそのチームがCrowdStrikeを設立したとき、彼らはこの哲学を同社のミッションの中心として打ち立て、「You don’t have a malware problem, you have an adversary problem.(問題はマルウェアではない。誰が敵かということだ。)」というスローガンを掲げました。
CrowdStrikeが企業のネットワークや情報を「悪い奴ら」から守ろうとするとき、マルウェアとは単に重大な問題の兆候にすぎないのであって、堅牢なセキュリティ体制は、そのマルウェアを「誰が」解き放っているのかを理解することに根差すべきものである。それがGeorgeの意図するところでした。
つまり、敵を理解することが攻撃に対する防御の鍵となるのです。もちろんすべての攻撃を予測できるわけではありません。しかし、少なくとも過去の情報から将来の攻撃の可能性を予見して、その影響を軽減することができるのです。企業にとって、敵の情報を取り込み、理解することが重要です。なぜなら、あなた自身を守るためには、誰があなたを狙っているのか、どのように狙っているのかを知る必要があるからです。
CrowdStrikeのインテリジェンスチーム
当社の脅威インテリジェンスチームは、国家主導の攻撃者の活動を追跡・監視することに最大の焦点を当てています。一般的に、収集した情報を開示することで、さらなる情報収集が行いにくくなるならば、それは明らかな損になると考えて、情報開示を控えようとするでしょう。しかし、ある程度の情報を時折開示することが必要となったり、それが利益となることもあります。また、情報収集がしにくくなることよりも、開示することのメリットのほうが大きい場合もあるのです。インテリジェンスのプロたちの間で、このことは「インテリジェンスにまつわる損得」として頻繁に論じられています。
インテリジェンスにまつわる損得
サイバーインテリジェンスの話題が国内外の業界で持ち上がっており、ここ数か月の間にも、サイバーインテリジェンスに関する議論や周知の方法にいくつかの問題があることが提起されています。人々を混乱させる最大のポイントの1つは、攻撃者やマルウェアを表すために私たちが使用している命名体系です。
CrowdStrikeでは、攻撃者に焦点を当てるべきと考えています。攻撃者って何なの?と気になることでしょう。そうです。そこが問題なのです。サイバーセキュリティ業界の一部では、特定のアンチウイルス(AV)ベンダーが使っているマルウェア検出名(例:Hydraq)で攻撃者を表しています。この方法には便利な面もあります。しかし、この攻撃者が「Generic.Downloader.234」として検出されるマルウェアを使用している場合、話はややこしくなります。さらには、各AVベンダーによって異なる名前が使われているという問題があります。たとえば、あるAVベンダーでは、「Generic.Downloader.234」と呼んでいるものが、他では「Downloader.863」であったりします。そのため、同じAVを使用していないグループとは、情報を共有することが難しくなります。
攻撃者は複数のマルウェアパッケージを駆使して攻撃を遂行します。標的とした企業へのアクセスに成功すると、他の一連のツールやユーティリティを使用して、目的を達成しようとします。攻撃者をツールやテクニックによって分類しようとしたのはこのためです。これは確かに正しい切り口ではありますが、複数の名前が出回るようになり、業界での呼び名に不整合が生まれています。たとえば、Comment Crew、A/K/A Comment Team、 A/K/A APT-1、A/K/A Commentなどは皆さんご存知でしょうか。このような問題が生じています。私たちはAV業界で同一の命名体系を開発し始めていますが、これはおそらく混乱を招くことになるでしょう。サイバーセキュリティ業界が命名のジレンマを回避できるように、CrowdStrikeは活発な攻撃者グループに対し当社が使用しているコードネームを研究機関に開示しています。さらに、攻撃者の正体や、その活動時期を私たち皆が知ることができるように、シグネチャの一部を公開して、関係企業がそれらの特定に役立てられるようにしています。
得(プラス面)
・共通で一義的な命名体系を持つことにより、業界各社が攻撃者について議論しやすくなる
・ネットワーク上で攻撃者を検出する能力を獲得できる
・政府組織や企業、人権活動家、非営利団体から知的財産などを盗もうとする標的型攻撃の問題をより明らかにできる
・攻撃者は戦術、テクニック、手口の変更を強いられ、スパイ活動の技術を高めるためのコストがかかるようになる
損(マイナス面)
・一時的に攻撃者を見失う
・攻撃者を追跡し、より多くの情報を収集するための努力が必要とされる
得が損を上回っています。どちらを選ぶかは明白ですね。
4.追加のリソース
・CrowdStrikeが脅威の分析手順を自動化
・The 2019 Global Threat Report(2019年版グローバル脅威レポート) – 無料ダウンロード可
・What is “Breakout Time” and Why it Matters(ブレイクアウトタイムとは?その意義とは?) – ビデオ
・What is “Big Game Hunting”?(「Big Game Hunting」とは何か)
*原文はCrowdStrike Blog サイト掲載 :https://www.crowdstrike.com/blog/meet-the-adversaries/
