脅威アクター
脅威アクター とは何ですか?
脅威アクターサイバー活動を通じて情報システム、組織、または人々に意図的に被害を与え、あるいは与えようとする個人または集団。
脅威アクターは、脅威インテリジェンスとインシデント対応の現場でサイバー活動上の敵対者を総称するために用いられる言葉です。代表的なカテゴリは国家アクター、組織犯罪、ハクティビスト、内部関係者、テロ組織、単独犯、スクリプトキディです。各アクターは動機(諜報、金銭、妨害、思想)、能力、洗練度、インフラ、MITRE ATT&CK に対応した TTPs によりプロファイリングされます。ベンダーは APT、FIN、UNC、Mandiant 一時名、CrowdStrike の Spider/Panda/Bear、Microsoft の気象名、Recorded Future の TAG など独自の命名規則を用います。プロファイルの把握は検知優先度、インテリ要件、防御策の立案に役立ちます。
● 例
- 01
防衛関連企業に対して長期的な諜報活動を行う国家アクター。
- 02
ランサムウェアのアフィリエイトが初期アクセスブローカーから侵入経路を購入し、製造業へ LockBit を展開する。
● よくある質問
脅威アクター とは何ですか?
サイバー活動を通じて情報システム、組織、または人々に意図的に被害を与え、あるいは与えようとする個人または集団。 サイバーセキュリティの 防御と運用 カテゴリに属します。
脅威アクター とはどういう意味ですか?
サイバー活動を通じて情報システム、組織、または人々に意図的に被害を与え、あるいは与えようとする個人または集団。
脅威アクター はどのように機能しますか?
脅威アクターは、脅威インテリジェンスとインシデント対応の現場でサイバー活動上の敵対者を総称するために用いられる言葉です。代表的なカテゴリは国家アクター、組織犯罪、ハクティビスト、内部関係者、テロ組織、単独犯、スクリプトキディです。各アクターは動機(諜報、金銭、妨害、思想)、能力、洗練度、インフラ、MITRE ATT&CK に対応した TTPs によりプロファイリングされます。ベンダーは APT、FIN、UNC、Mandiant 一時名、CrowdStrike の Spider/Panda/Bear、Microsoft の気象名、Recorded Future の TAG など独自の命名規則を用います。プロファイルの把握は検知優先度、インテリ要件、防御策の立案に役立ちます。
脅威アクター からどのように防御しますか?
脅威アクター に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
脅威アクター の別名は何ですか?
一般的な別名: 敵対者。
● 関連用語
- defense-ops№ 714
国家支援アクター
戦略・情報・軍事・経済目的のためにサイバー活動を行う、政府支援または政府関連の脅威アクター。
- defense-ops№ 901
ランサムウェアギャング
金銭目的のサイバー犯罪グループで、ランサムウェアを開発・運用・配布し、ファイル暗号化とデータ漏洩の脅迫によって組織を恐喝する。
- defense-ops№ 057
APT グループ
ベンダーや政府が長年追跡する名前付き脅威アクター(多くは国家支援)で、特定の組織や業界に対して目的を絞った長期かつ潤沢な侵入活動を行う。
- defense-ops№ 542
内部脅威
現職または元従業員、契約業者、パートナーなど正当なアクセスを持つ者が、故意または過失でその権限を悪用するリスク。
- defense-ops№ 1148
脅威インテリジェンス
脅威と攻撃者に関する、指標・TTP・背景を含むエビデンスベースの知識。セキュリティの意思決定と検知を導くために用いられる。
- defense-ops№ 1131
戦術・技術・手順(TTPs)
脅威アクターの活動を「戦術(なぜ)・技術(どう)・手順(具体的な実装)」の階層で表現したもの。
● 関連項目
- № 458ハクティビスト
- № 977スクリプトキディ
- № 268Cybercrime-as-a-Service(CaaS)
- № 418FIN 脅威グループ
- № 1191UNC クラスタ(未分類)
- № 457ハッカー
- № 098ブラック ハット ハッカー