JBサービス株式会社 SOCチーム
JBサービス株式会社では、24時間365日稼働の運用センター「SMAC」を運営しており、その中にセキュリティオペレーションセンター(SOC)チームを有しています。SOCチームは、認定ホワイトハッカー(CEH:Certified Ethical Hacker)を中心としたセキュリティ専門家集団として、契約中のお客様に定期的なセキュリティレポートを提供し、最新の脅威動向や対策ポイントを共有しています。
本シリーズ「SOCセキュリティニュース」では、そのレポートの中から多くのお客様にも知っていただきたい重要なトピックを毎月ご紹介します。日々の業務やセキュリティ対策にぜひお役立てください。
脅威アクター命名の問題点
ランサムウェアによる攻撃や情報窃取などの悪意ある行動は、個人、集団、または組織によって意図的に行われています。サイバーセキュリティの世界では、このようなサイバー脅威を引き起こす主体のことを「脅威アクター」と呼んでいます。
脅威アクターの命名
一つの脅威アクターが複数の攻撃を行うことがあるため、脅威アクターを特定することは攻撃の兆候の早期発見や、防御手法の選定につながります。そのため、主要な脅威アクターには名称が付けられています。しかし、脅威アクターの命名に業界標準は存在せず、各々のセキュリティベンダーが自由に命名を行っているため、同じ脅威アクターに10種類もの別名があるといった状況になることがあります。
例として、ロシア連邦軍参謀本部情報総局に属するとされている脅威アクターは、IRIDIUM, VOODOO BEAR, BE2,UAC-0113, Blue Echidna, Sandworm, PHANTOM, BlackEnergy Lite, APT44, Seashell Blizzardなどの名称で呼ばれています。
脅威を分析する組織によって分析の基準や成熟度が異なるため、脅威活動の可視性のレベルや、追跡対象に対する視点も異なり、このような状況となっています。しかしながら、この状態は情報収集を行うものからしたら非常に問題です。
脅威アクターの分類の標準化
2025年6月2日、CrowdStrike社とMicrosoft社は、共に協力し、脅威アクターの分類を明確化すると発表しました。Google/MandiantとPalo Alto Networks Unit 42も将来的にこの取り組みに参加する予定とのことです。しかしながら、この取り組みは名称の単一化ではなく、セキュリティベンダーがお互いに情報を共有し、別の名称で呼んでいた脅威アクターが同じものであることを明確化する取り組みに過ぎないとのことです。したがって、今後も一つの脅威アクターが複数の名称で呼ばれる状況は続くと考えられます。
セキュリティ運用でお困りがあればJBサービスへ
今回は、脅威アクター命名の問題についてお伝えしました。脅威アクターの情報を収集することは、自組織が攻撃対象となり得る脅威を把握するうえで重要です。一方で、このような状況が続くことは、セキュリティ対策業務にさらなる負荷を与えてしまいます。
JBサービス株式会社のSOCチームでは、セキュリティアナリストを有するSecurity Operation Center(SOC)機能を備え、お客様に代わって重要なセキュリティイベントの早期発見・分析・対応支援を行っています。セキュリティ対策の運用体制に課題をお持ちのご担当者様は、ぜひお気軽にお問い合わせください。
参考
CrowdStrike and Microsoft Unite to Harmonize Cyber Threat Attribution https://www.crowdstrike.com/en-us/blog/crowdstrike-and-microsoft-unite-to-deconflict-cyber-threat-attribution/
Announcing a new strategic collaboration to bring clarity to threat actor naming https://www.microsoft.com/en-us/security/blog/2025/06/02/announcing-a-new-strategic-collaboration-to-bring-clarity-to-threat-actor-naming/
