UNC クラスタ(未分類)
UNC クラスタ(未分類) とは何ですか?
UNC クラスタ(未分類)アクターや動機、後援者が APT・FIN へ昇格させるほど確証されていない一連の関連侵害に対して Mandiant が与える追跡ラベル。
UNC は Uncategorized の略で、複数の事案にまたがって観測されているが、まだ高い確信度で帰属できていない活動クラスタに対する Mandiant の作業用呼称です。マルウェア、C2、インフラ、コードのクセ、TTPs、被害分布など技術的な重複から UNC を組み立て、信頼度と裏取りが十分になれば APT(諜報)、FIN(金銭)、あるいは主題的な名称へ昇格させます。逆に他クラスタと統合・分割されることもあります。UNC 番号は早すぎる帰属を避けつつ情報共有のための安定した参照を提供します。Microsoft も DEV-####(現在は Storm-####)という類似の仮称を用います。UNC4841(中国系、2023 年 Barracuda ESG 0day)が代表例です。
● 例
- 01
UNC4841 は 2023 年に Barracuda Email Security Gateway の 0day(CVE-2023-2868)を悪用し、世界各国の政府を攻撃したと報告された。
- 02
UNC2452 は Mandiant が SolarWinds 侵害の背後にいるアクターに最初に与えた呼称で、後に APT29 と結び付けられた。
● よくある質問
UNC クラスタ(未分類) とは何ですか?
アクターや動機、後援者が APT・FIN へ昇格させるほど確証されていない一連の関連侵害に対して Mandiant が与える追跡ラベル。 サイバーセキュリティの 防御と運用 カテゴリに属します。
UNC クラスタ(未分類) とはどういう意味ですか?
アクターや動機、後援者が APT・FIN へ昇格させるほど確証されていない一連の関連侵害に対して Mandiant が与える追跡ラベル。
UNC クラスタ(未分類) はどのように機能しますか?
UNC は Uncategorized の略で、複数の事案にまたがって観測されているが、まだ高い確信度で帰属できていない活動クラスタに対する Mandiant の作業用呼称です。マルウェア、C2、インフラ、コードのクセ、TTPs、被害分布など技術的な重複から UNC を組み立て、信頼度と裏取りが十分になれば APT(諜報)、FIN(金銭)、あるいは主題的な名称へ昇格させます。逆に他クラスタと統合・分割されることもあります。UNC 番号は早すぎる帰属を避けつつ情報共有のための安定した参照を提供します。Microsoft も DEV-####(現在は Storm-####)という類似の仮称を用います。UNC4841(中国系、2023 年 Barracuda ESG 0day)が代表例です。
UNC クラスタ(未分類) からどのように防御しますか?
UNC クラスタ(未分類) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
UNC クラスタ(未分類) の別名は何ですか?
一般的な別名: UNC グループ。
● 関連用語
- defense-ops№ 057
APT グループ
ベンダーや政府が長年追跡する名前付き脅威アクター(多くは国家支援)で、特定の組織や業界に対して目的を絞った長期かつ潤沢な侵入活動を行う。
- defense-ops№ 418
FIN 脅威グループ
Mandiant 流の命名で、決済システム・小売・宿泊・金融機関などを狙う金銭目的の脅威グループ。
- defense-ops№ 1145
脅威アクター
サイバー活動を通じて情報システム、組織、または人々に意図的に被害を与え、あるいは与えようとする個人または集団。
- defense-ops№ 1148
脅威インテリジェンス
脅威と攻撃者に関する、指標・TTP・背景を含むエビデンスベースの知識。セキュリティの意思決定と検知を導くために用いられる。
- attacks№ 017
高度標的型攻撃 (APT)
潤沢な資源を持ち、多くは国家が支援する隠密性の高い攻撃者で、データ窃取や将来の妨害行動の足場確保のために長期間ネットワークに潜伏する。
- defense-ops№ 1131
戦術・技術・手順(TTPs)
脅威アクターの活動を「戦術(なぜ)・技術(どう)・手順(具体的な実装)」の階層で表現したもの。