マイクロソフトは、天気(気象)をテーマにした新しい脅威アクターの名前付け分類に移行することを発表しました。
Microsoft shifts to a new threat actor naming taxonomy - Microsoft Security Blog
今までは、元素、樹木、火山、および DEV の名称で名前付けされていました。
脅威の複雑さ、規模、量は増大しており、脅威を迅速かつ明確に理解できるよう再考したそうです。
名前を読むだけで脅威アクターのタイプを即座に知ることが出来るとしています。
上記リンク先には、アイコンと共に名前付けの例が掲載されています。
Blizzard ー Russia
Sleet ー North Korea
Typhoon ー China
Sandstorm ー Iran
Storm ー Groups in development
Tempest ー Financially motivated
Tsunami ー Private sector offensive actor
Flood ー Influence operations
マイクロソフトの脅威リサーチでは、160 の民族国家アクター、50 のランサムウェアグループ、数百のランサムウェアアクターを含む 300 以上を追跡するまでになっています。
新しい分類では、気象イベント名は民族国家のアクターの帰属や動機のいずれかを表します。
例えば、
・ Typhoon ー 中国への期限または帰属を示す
・ Tempest ー 金銭的な動機のあるアクターを示す
また、同じ気象ファミリ内の脅威アクターには、異なる TTP(戦術/戦略/手順)、インフラストラクチャ、目的、その他の識別パターンを区別するための形容詞が付きます。
例えば、ロシアとイランの命名例は、
ロシア(Blizard)
・ Midnight Blizzard
・ Forest Blizzard
・ Aqua Blizzard
イラン(Sandstorm)
・Mint Sandstorm
・ Gray Sandstorm
・ Hazel Sandstorm
これらは、ファミリ名ごとのアイコンで、視覚的にも補助されます。
そして、未知または新たな脅威アクティビティのクラスターには、Storm(以前の DEV)と 4桁の番号で一時的な命名がされます。
例えば、
Groups in development
・ Storm-0257
・ Storm-0539
マイクロソフトでは、既存の脅威アクターを新しい分類に再割り当てし、今後数週間で一般向けコンテンツや製品内を更新しはじめ、2023年9月までに優先度の高い製品内のアップデートを完了する、としています。
脅威アクター名称については、以下のリファレンスページが公開されています。
https://aka.ms/threatactors