Microsoft と CrowdStrike は月曜日(編集部註:)、他の脅威情報企業と協力し「攻撃集団の命名法を明確化する」と仰々しく発表した。
国家を後ろ盾とする攻撃組織、金銭目的の攻撃組織、ハクティビスト型の集団等々は合わせて 200 を超えるが、その追跡を任務とするネットワーク防御担当者にとって、これは大きな助けとなるだろう素晴らしいアイデアだ。というのも、主要セキュリティベンダーや政府機関は、これらの集団をそれぞれ異なる名称で呼んでいるからだ。たとえば、Cozy Bear は Midnight Blizzard、APT29、あるいは UNC2452 などと呼ばれている。
「我々の共通の顧客は常に明確さを求めている」と、Microsoft でセキュリティ事業部門担当バイスプレジデントを務めるヴァス・ジャッカル氏は書いている。「複数の名称の攻撃集団に共通する既知の特徴を同業他社と直接すり合わせると物事がより明確に見え、防御側がとるべき行動がよりはっきりと示される」
ただ残念なことに、各社はこれまで、このような明確さをもたらすための対策(たとえば特定のサイバー犯罪集団を追う際に、合意の上で同一名称を使うなど)を事実上何も講じてこなかった。
このような対策に代わるものとして、Microsoft と CrowdStrike が行ったのは、彼らが「2 社による攻撃集団のジョイントマッピング第 1 バージョン 」と呼ぶリストの公開だった。特定集団に対して Microsoft が用いる名称と、同じ集団に対して使われている「別名称」を並べた一覧表をひたすら延々とスクロールする必要があった。
中には、2 桁の数の名称を持つ集団もある。たとえば、ロシアの軍事情報ユニット74455 のサイバー作戦部隊は、Sandworm として最もよく知られているが、10 もの別名称がある。Microsoft はこの組織を Seashell Blizzard と呼んでいるが、他にも IRIDIUM、VOODOO BEAR、BE2、UAC-0113、Blue Echidna、PHANTOM、BlackEnergy Lite、APT44 といった名称が使われている。
中国政府を後ろ盾にもつある集団は、Microsoft が Satin Typhoon として追跡しているのであるが、CANDIUM、DYNAMITE PANDA、COMBINE、TG-0416、SILVERVIPER、Red Wraith、APT18、Elderwood Group、Wekby とも呼ばれている。
これが明確かって? それほどでもないだろう。
