脅威アクターの命名法
脅威アクターの命名法は、従来サイバーセキュリティ業界において使用されていた方式を補完し、情報の不確実性を反映して柔軟に管理できるように設計しました。脅威アクターは単体のグループに限らず、個人の脅威アクター、雇われた脅威アクターなど、複数のタイプが存在し得ることを考慮しました。
アンラボの新規命名法を基準に、脅威アクターは大きな枠組みで ▲Larva(幼虫): 識別されていない脅威アクター ▲ Arthropod(節足動物): 識別された脅威アクターに区分されます。
これは、幼虫が初期には似た姿をしていても、時間の経過とともにそれぞれ異なる節足動物へと変化する過程に着想を得た概念で、分析の進展に伴い脅威アクターの実体が徐々に明らかになる様子を直感的に表現しています。
Larva(幼虫) : 識別されていない脅威アクター
Larva は、正体が識別されていない身元不詳の攻撃者を意味します。すべての脅威アクターは最初に確認された時、追加の帰属情報が確認されるまで Larva から始まり管理されます。
Larva の名称を付与した脅威アクターは「Larva-YY###」形式の管理番号に基づいて表記されます。「YY」は検知年度、「###」はその年の検知順序を意味します。例えば、「Larva-26001」は 2026年に初めて確認された識別されていない脅威アクターを意味します。
Larva は後述する「脅威行為の 3段階管理法」のうち、1段階に該当する「Incident(個別の攻撃事件)」単位以上で付与される脅威アクター名称です。さらなる分析により帰属情報が確認されると、識別された脅威アクターを意味する Arthropod に結びつけます。
Arthropod への結びつきは流動的であり、新たな情報が確認されるといつでも修正(追加、変更、削除)されることがあります。例えば、北朝鮮の脅威アクターと識別されていた攻撃グループが、さらなる分析によって中国の脅威アクターと判明した場合、Larva と結びついた Arthropod も Ant から Cricket に変更されることがあります。

Arthropod(節足動物) : 識別された脅威アクター
Larva に関する十分な帰属情報が確保されると、特定の国または組織との関連性を考慮し、該当する Arthropod の名称に結びつけます。
Arthropodは、大きく国家関与の脅威アクターと非国家の脅威アクターに区分されます。
国家関与の脅威アクター
国家関与の脅威アクターは、関与が推定される国家を基準に分類・管理します。
高度な持続的脅威(APT)の特性を持つものの、関与する国家が明確に特定できない場合は、Mantis(カマキリ)として分類されます。
国家関与の脅威アクターは、単一のグループではなく複数のグループとして存在する可能性があります。これらを識別し区別するために、アンラボは以下のような命名構造を採用しています。
TA + Modifier + Arthropod
この方式は、国家単位での代表性を維持しつつ、同一国家内に存在する多様な脅威アクターの特性や違いをより明確に識別できるよう設計されています。
例:
- TA-GiantAnt - Lazarus として知られる北朝鮮系攻撃グループ
- TA-RedAnt - RedEyes として知られる北朝鮮系攻撃グループ
- TA-ShadowCricket - ShadowForce として知られる中国系攻撃グループ
非国家の脅威アクター
サイバー犯罪者、ランサムウェアグループ、ハクティビストも特定の国と関連している可能性がありますが、これらの分類においては、国家との関連性よりも活動目的や攻撃の種類がより重要な基準となります。これに基づき、非国家脅威アクターは主な活動目的と攻撃の特性に基づいて分類・管理します。
非国家の脅威アクターの名称は、以下の構造に従います。
TA + Arthropod + YY + ###
例: TA-Beetle-25001

3段階の脅威行為管理システム
アンラボが定義した 3段階の脅威行為管理システムは、サイバー脅威のレベルを基準に「Incident(個別の侵害事件) → Operation(攻撃活動) → Campaign(長期的かつ組織的な攻撃活動)」で構成されています。各段階において様々な脅威要素を総合的に管理し、個別の攻撃から長期的な攻撃キャンペーンまで、体系的に分析できるフレームワークを提示します。

1. Incident : 個別の攻撃事件
Incident は、被害者や被害を受けた組織が確認された個別の攻撃事件を意味します。各 Incident には固有の管理番号「INC-YYMMDD-###」を付与しますが、意味を紐解くと「INC(侵害事件)-YYMMDD(年月日)-###(順序)」と解釈されます。Incident については事件の特性、被害範囲、使用された技術などに関する分析を実施し、当該事例がどのような特徴を持つのかを把握することに重点を置いています。これによって、単体の攻撃事件を正確に識別し、上位段階である Operation を構成する基礎を構築することができます。
2. Operation : 攻撃活動
Operation は、複数の Incident を一つの攻撃活動として構成した単位です。攻撃の特徴、目標、使用された技術などを総合的に分析し、複数の事件同士の関連性を把握して攻撃活動のパターンと意図を理解することに重点を置きます。Operation の名称は「OP-YYMMDD-###」で付与されますが、その構造は Incident の名称構造と同じです。
Operation の分析には様々な要素を考慮しますが、主な項目は以下の通りです。
- - Goal : 攻撃者の究極的な目標
- - Target : 攻撃対象(組織、産業分野、地域 等)
- - Malware : 使用されたマルウェアの種類と特徴
- - Tool : 攻撃に利用されたツールとソフトウェア
- - Vulnerability : 悪用された脆弱性
- - Technique : 攻撃の手法と戦術
- - Infrastructure : 攻撃に使用されたインフラ(C&C サーバー、プロキシ 等)
このように、様々な要素を総合的に分析することで、各 Operation の固有の特性とパターンを識別し、脅威アクターの活動をより正確に追跡することができます。
脅威アクター分析の観点から見ると、分析の初期段階では Operation が識別されていない脅威アクターである Larva により行われたものと見なします。これは、分析を開始した時点では脅威アクターの帰属情報が明確でないため、Larva と命名して管理し、情報の不確実性に対処するものです。その後、より確実な情報が追加されると脅威アクターを Arthropod に結びつけることができます。
Operation 段階において重要な点は、一つの攻撃活動に複数の脅威アクターが関与し得るという点です。本システムではサイバー攻撃が複数の脅威アクター同士の協力の下で行われる可能性を考慮し、Larva に複数の Arthropod が結びつくようにしました。実際の攻撃事例を見ても、個人、雇われた脅威アクター、または脅威グループが共通の目標を持って協力するケースが多いです。
3. Campaign : 長期的かつ組織的な攻撃活動
Campaign は長期的かつ組織的な攻撃活動であり、最短で数か月から 1年以上続いた攻撃活動を含みます。Campaign は二つ以上の Operation で構成され、長期的な目標を達成するために長い期間にわたり様々なの攻撃手法を活用します。このような Campaign についても、長期的な分析の後に名称を定義します。
Campaign の分析では、単体の攻撃活動ではなく、長期的な目標を達成するために複数の Operation が連携した攻撃活動を分析することに重点を置きます。この段階は、攻撃者の究極的な目的と長期的な戦略を把握することが目標です。このために、複数の脅威アクターが長期間にわたり協力する、または独立的に活動を行った事例を分析します。
アンラボが新たに開発した脅威アクター分類システムと命名法の詳細については、ページ上部の PDF レポートと ASEC ブログをご参照ください。