脅威グループに名前は必要か? 名付けることで懸念されるデメリット:Cybersecurity Dive
脅威グループはあくまで防御側と同じで人間にすぎないが、セキュリティ業界では彼らに特有の名前を付けて特別な組織であるかのように扱ってしまう。この風潮に対して有識者たちがコメントした。
どんな悪質な行為についても、人々は反射的に「誰がなぜやったのか」「なぜ行われたのか」を知りたがる。しかしサイバー攻撃に直面している企業にとって、それらは重要ではない。
防御側が組織を標的とする脅威グループや犯罪者に過度に焦点を合わせると、リスクをより効果的に軽減できる戦略的な優先事項を意図せず損なうことになる。
脅威グループに名前は必要? 名付けることで懸念されるデメリット
Palo Alto Networksのセキュリティ専門チームである「Unit 42」で脅威インテリジェンスを担当するアンディ・ピアッツァ氏(シニアディレクター)は、セキュリティカンファレンス「Black Hat USA 2024」でのインタビューで「大多数の組織は、サイバー犯罪グループの追跡という混乱に対応する時間やリソースを持っていない」と述べた。
ピアッツァ氏は「防御者としては、それらを気にすべきではない」とも話した。同氏によると、防御者は悪意のある戦術や技術、手順を検出し、対応する能力を開発することで、組織により良い貢献ができるという。
「Scattered Spider」や「Midnight Blizzard」「Fancy Bear」のような名前が付けられた犯罪グループには注目が集まるが、サイバー攻撃者を神話のように扱うことは、悪質な活動を検知し、阻止する防御者の能力を低下させる可能性がある。
多くのサイバーセキュリティベンダーや脅威インテリジェンスチームは、脅威グループに対して独自の命名規則を採用している。
IBM Security X-ForceとMandiantは命名規則に数字を使用しているが、CrowdStrikeやMicrosoft、Unit 42は名前を作成する。Microsoftは、脅威グループに割り当てる気象システムや色を決定する分類法まで持っている(注1)。
記憶に残る名前は、しばしば業界全体の会話に定着するものだが、派手な名前が能力を誇張してしまう懸念がある。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)のジェン・イースタリー氏(ディレクター)はBlack Hat USA 2024の基調講演で以下のように述べた。
「悪役はフードをかぶった見知らぬ者で、謎めいた姿で暗躍する。それらの犯罪者は地獄からの悪魔であり、聖書に登場する獣のような存在だ。私たちは、それらのグループに力とカリスマ性を示唆するような名前を付けている」
「残念ながら、私たちは、それらのグループを『痩せた厄介者』『弱いイタチ』『弱いフェレット』、あるいは私が気に入っている『ドジなディンゴ』とは呼ばない。私たちは、畏敬の念を持っているかのように、それらのグループの話題を囁くように話す。それらのグループは持続する脅威であり、巧妙なエクスプロイトや恐ろしいゼロデイを使用する」(イースタリー氏)
脅威グループの“像”を物理的につくったCrowdStrikeの主張
脅威グループの構成と相互関係は常に変化している。2024年上半期にUnit 42が活動的な53のランサムウェアグループを追跡したところ、そのうちの6つのグループが全攻撃の半数以上に関わっていた。
サイバー攻撃者が使用する攻撃手法やランサムウェアの亜種は、通常繰り返し使用され、大幅に変更されることはほとんどない。
「一部のグループは新しいエクスプロイトの開発にリソースを投入するが、ほとんどの場合、古い脆弱(ぜいじゃく)性を使い回している。ときには、単に運が良いというだけの理由で攻撃に成功する。これらの悪役には超能力はない。そう扱うべきでないが、私たちはこれらのグループを過大評価してしまっている」(イースタリー氏)
セキュリティ企業が“脅威グループやサイバー攻撃者の神話”を作り出すことは珍しいことではない。ここ数年、主要なサイバーセキュリティカンファレンスにおいて、CrowdStrikeは超大型の像を使って脅威グループを擬人化している。
2023年の「RSA Conference」において、CrowdStrikeは「Wizard Spider」と呼ばれる脅威グループの像を展示した。
CrowdStrikeはBlack Hat USA 2024においても、メインエントランスの展示ホール入り口付近の一等地に、ホテル事業を営むMGM Resortsや(注2)、カジノ運営企業のCaesars Entertainment(注3)、消費財メーカーのCloroxに対する大規模な攻撃を実行した「Scattered Spider」を表現するために同様の巨大な像を展示していた(注4)。
CrowdStrikeにとって、これらの描写は象徴的なものだ。同社の広報担当者は「Cybersecurity Dive」に対して電子メールで次のように述べた。
「これらの像は、敵を理解し、先手を打つことで侵害を阻止するというCrowdStrikeの使命を象徴するものだ。敵対者を美化しているのではなく、敵対者の悪意を擬人化し、サイバーセキュリティの会話をメインストリームに押し上げることを目的としている」
また、広報担当者は「敵対者の存在は全てのサイバー攻撃の背後にはキーボードを操作する人間がいることをサイバーコミュニティーに思い起こさせる」とも述べている。
専門家によると、サイバー攻撃の背後に誰がいるのかを深く追求せず、組織や防御者は、リスクを軽減するために最も実用的な方法の活用を優先すべきだという。その方法には、脆弱性管理やパッチ管理、ネットワーク境界とエンドポイントセキュリティ、多要素認証などが含まれる。
「インシデント対応者や法執行機関は『誰が、どのようにして、どのような攻撃を実行するのか』に関心を持つべきであり、防御者は『どのように防御を講じるのか』に関心を持つべきである。防御者の代わりに私たちが全てのグループについて心配しよう」(ピアッツァ氏)
(注1)Microsoft summons weather events to name threat actors(Cybersecurity Dive)
(注2)MGM Resorts’ Las Vegas area operations to take $100M hit from cyberattack(Cybersecurity Dive)
(注3)Caesars Entertainment faces class action lawsuits following rewards database hack(Cybersecurity Dive)
(注4)Clorox warns of quarterly loss related to August cyberattack, production delays(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
- AWS ALBに脆弱性 1万5000以上のアプリケーションに影響
Miggo Securityが、AWSのアプリケーションロードバランサー(ALB)に重大なセキュリティ脆弱性が存在すると発表した。影響を受けるアプリケーションは1万5000以上に及ぶ。 - ZabbixにCVSS 9.9の「緊急」の脆弱性が見つかる 速やかなアップデートが必要
監視ソリューション「Zabbix」に深刻な脆弱性があると公表した。CVE-2024-22116と特定されたこの脆弱性はリモートコード実行を可能にし、システム全体の安全が脅かされる。緊急のアップデートが推奨されている。 - 脆弱性管理だけでは不十分 攻撃者が「めんどくさい」と思う組織になるには
サプライチェーンの脆弱性が話題の昨今、脆弱性管理をしっかりと実施することは非常に大事です。ただ、これさえやれば大丈夫かと言われると少し懸念が残ります。攻撃者が狙うのを「めんどくさい」と思う組織になるにはどうすればいいのでしょうか。 - 半田病院を襲ったランサムウェア被害 当時者が語る「生々しい被害実態」と「教訓」
2021年10月、徳島県つるぎ町立半田病院の電子カルテシステムが停止し、プリンタからは犯行声明が印刷された。のちに世間を大きく注目されることになるランサムウェア被害から同院はどう復旧したのか。生々しい実態を当事者が語った。