「LAPSUS$」は「Strawberry Tempest」に──Microsoftの新脅威分名方式
Microsoftは脅威アクター(サイバー攻撃者)の命名法を従来の化学元素名から気象現象名に変更する。国や規模が分かりやすくなるとしている。たとえばNSO Group(DEV-0336)には「Night Tsunami」という新たな名前を付ける。
米Microsoftの脅威インテリジェンス対策チームは4月18日(現地時間)、脅威アクターの新しい命名分類法への移行を発表した。従来の化学元素名から気象現象関連の名前に変更する。
脅威アクターとは、マルウェアなどの多様なツールを使って企業や個人にサイバー攻撃を仕掛ける攻撃者を指す。最近の例ではiOSマルウェア「KingsPawn」を開発したイスラエルのQuaDreamなどがある。MicrosoftはQuaDreamを従来の命名方法で「DEV-0196」と名付けたが、新たな名前は「Carmine Tsunami」になる。
命名法を変更するのは、複雑さ、規模、量が増大している脅威を迅速かつ明確に理解できるようにするのが目的という。「顧客やセキュリティ研究者により良いコンテキストを提供し、脅威に優先順位を付けられるように」する。
新分類法では、台風や津波などの気象現象を「family name」とし、背景にいる国家の属性または攻撃の動機のいずれかを示す。例えば「Typhoon」(台風)は中国を表し、「Tempest」(暴風雨)は経済的動機を表す。
既存のすべての脅威アクターに新しい名前が付けられた(一覧表)。
脅威アクターの命名はMicrosoft以外のセキュリティ企業なども別途実施しており、例えばMicrosoftがこれまで「NOBELIUM」と呼び、今後は「Midnight Blizzard」とするロシアの脅威アクターはAPT29あるいはCozy Bearとして知られている。
例えばNSO Group(Microsoft名は「DEV-0336」)は「Night Tsunami」に、LAPSUS$(Microsoft名は「DEV-0537」)は「Strawberry Tempest」になる。
Microsoftは、「業界の他のベンダーも、独自の命名分類法を持っていることは認識している」ので、「顧客が十分な情報に基づいた決定を下せるように、セキュリティ製品に(他のベンダーによる)別名も併記していくよう務める」としている。
関連記事
- “サイバー傭兵”によるiPhoneスパイウェア「KingsPawn」についてMicrosoftとCitizen Labが解説
iPhone向けゼロクリックマルウェア「KingsPawn」についてMicrosoftが解説した。イスラエルQuaDreamが開発し、国家政府向けに販売した。主にiOS 14搭載iPhoneを狙い、カレンダー招待状を悪用して配信され、音声や位置情報等を盗む。 - Microsoft、ハッキンググループLapsus$の手口や対策を公開
Microsoftは、同社からもソースコードの一部を盗んだLapsus$の手口や対策を説明する公式ブログを公開した。電話によるソーシャルエンジニアリングやSIMスワッピングなどを使う。Microsoftはコードの機密性に依存していないため、公開されてもリスクは高まらないとしている。 - 米商務省、スパイウェア「Pegasus」のNSO Groupをエンティティリストに追加
米商務省産業安全保障局は、スパイウェア「Pegasus」のNSO Group他3社をエンティティリスト(米製品輸出禁止対象企業一覧)に追加した。これらの外国企業が米国の国家安全保障または外交政策の利益に反する活動に従事しているという判断だ。 - 不正侵入からスパイ活動まで、闇社会で台頭する「雇われハッカー」ビジネス
闇社会で、さまざまなサイバー攻撃を請け負う「雇われハッカー」ビジネスが台頭している。Void Balaurという組織では、電子メールやSNSアカウントのハッキングサービスを展開しており、被害に遭った組織や個人は世界で3500を超す。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.