Lazarus サブグループ分類に見る「アトリビューションの実務的課題」とは

　一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は1月20日、Lazarus のサブグループ分類に見るアトリビューションの実務的課題についての解説記事を発表した。JPCERT/CC早期警戒グループマネージャーの佐々木勇人氏が執筆している。

　佐々木勇人氏は「Lazarus」について、一つの攻撃グループを指す名称ではなく、実際には多数のサブグループの集合を指すもので、もともとは一つのグループ、あるいはごく限られた規模の集団による活動を示していたが、活動体の規模が拡大し、複数のユニットに規模が拡大・枝分かれしたのではないかと推測している。同氏は規模が拡大したことで、旧来の「Lazarus」という呼称が当てはまらなくなってきたと考えるのが現実的としている。

　Lazarusに限らず、同じ（サブ）グループでもセキュリティベンダー間で呼称が異なっていたり、同一のマルウェアでもそれぞれ違う呼称を使うケースが散見されるなど、極めて全体像が把握しにくくなっており、分析レポート公表時も、「攻撃グループ名（またはサブグループ名）」を中心に据えるのか、「攻撃キャンペーン名」とするのか発表者毎にバラバラであることが、この混乱により一層の拍車をかけているとしている。

　同氏が特にLazarusのサブグループ群への対処にて、明確なサブグループ特定が必要と主張する理由として、アクターのグルーピングを困難にさせる、Lazarusのサブグループ群固有の特徴・傾向として「複数のサブグループ間でTTPの重複がある」こと、「従来のサブグループ編成に捕らわれないタスクフォース的グループ等が出現している」ことを挙げている。

　また、APTアクターの特定では、実行犯の特定やその背後関係、特定国家への責任帰属といった「アトリビューション」問題が注目されがちななかで、同氏がバーチャルな区分でしかない「サブグループ」の特定が必要なのか、下記の理由を挙げている。

・理由1：注意喚起等による中長期的な被害予防効果をより確実にするため
サブグループ毎の標的分野や目的をより高い精度で捕捉できるようになれば、注意喚起のような情報伝達力の弱い方法ではなく、個別分野・組織へのピンポイントの情報提供が可能となる。

・理由2：対抗措置・対抗オペレーションのため
今後、国全体としてAPTアクターによる攻撃活動に対処していくにあたり、長期的にアクター個別の活動を捕捉し、これらLazarusのサブグループ群の背後にある政府機関等がどのような活動意図を持っているか正確な脅威分析を行うにあたり、サブグループの正確な捕捉が重要となる。

・理由3：攻撃者側への「メッセージ」
パブリックアトリビューションといった脅威側にけん制等の影響を与える目的の情報開示を行うのであれば、影響を与えたい対象者（実行者、実行組織）に情報を伝えるための正確なサブグループ特定・明示は最低条件となる。