Unit 42 Unveils Attribution Framework to Classify Threat Actors Based on Activity
2025/08/01 CyberSecurityNews — Palo Alto Networks の脅威研究チーム Unit 42 が導入するのは、脅威アクターのアトリビューションに関する画期的かつ体系的なアプローチであり、サイバー・セキュリティ・インテリジェンス分析における長年の課題に対処するものだ。これまで、科学よりも芸術と見なされてきたアトリビューション手法を、サイバー脅威を分析/分類するための構造化された方法論へと変革するものが、2025年7月31日に発表された Unit 42 Attribution Framework である。
このフレームワークは、初期段階の活動観察から脅威アクターの最終的な特定に至るまでの、三段階をカバーする分類システムを提供し、脅威インテリジェンス領域に存在していた重大なギャップを解消するという。
研究者たちの専門知識に依存するという、従来からの手法とは異なり、この手法では Diamond Model of Intrusion Analysis と Admiralty System を統合し、信頼性/信憑性を評価するための標準化スコアリング・メカニズムを構築している。
防御リソース配分の誤りを引き起こす可能性のある、脅威グループの命名規則の不統一や、早期アトリビューションへの判断に、サイバー・セキュリティ専門家たちは長年にわたり苦慮してきた。
.webp)
(Source – Palo Alto Networks)
Unit 42 Attribution Framework における、追跡対象アクティビティの三段階分類では、各アトリビューション・レベルに明確な評価基準を設け、次の階層へと進む前には、複数の情報源と包括的な分析の裏付けを求めている。
Palo Alto Networks のアナリストたちが観察していたのは、サイバー・セキュリティ・コミュニティ全体において、脅威アクターへの命名法に関する混乱が顕著であるという点であり、そこから、このアプローチの必要性を認識したという。
本フレームワークは、以下の7つの主要脅威データ・カテゴリに対して、厳格な基準を適用する:
TTP (techniques and procedures)
コンフィグレーション操作
マルウェア・コード分析
運用セキュリティの一貫性
タイムライン分析
ネットワーク・インフラ
被害者パターン
このアトリビューション・プロセスは、アクティビティ・クラスターから開始される。このクラスターは接頭辞 “CL-” を付加して識別される。その後に続くのが、動機指標に基づく分類である、 STA (国家主導)/CRI (犯罪動機)/UNK (不明動機) の、いずれかとなる。
それぞれのクラスターで求められるのは、侵害の兆候/TTP の類似性/時間的近接性を共有する、少なくとも2件の関連イベントの存在である。たとえば、金融機関を標的とする複数のフィッシング・キャンペーンにおいて、SHA256 ハッシュが一致する場合には、同一のアクティビティ・クラスターとして分類できる。
高度な技術実装とケーススタディ分析
このフレームワークの、高度な技術的な特徴が明示されるのは、脅威グループ (Temporary Threat Group) に対する暫定的な格付けの基準である。この基準では、6か月以上の観察期間と、攻撃者/インフラ/能力/被害者という、Diamond Model の4つの頂点をカバーするマッピングが要求される。
暫定グループには “TGR-” というプレフィックスが付され、動機に応じた識別がなされる。
この手法は、高度なインフラ分析の手法を内包しており、IPアドレスやドメインに加えて、共有ホスティング・プロバイダや、登録パターンなどの、コンフィグレーション要素間の関係性も分析対象に取り込まれる。
コードの類似性の分析は、単なるハッシュ値の一致にとどまらず、構造的機能/共有ライブラリ/共通開発ソースに由来する特性を精査するものとなる。
Example Attribution Scoresheet Elements:
Source Reliability: A-F scale (A=Reliable, F=Unknown)
Information Credibility: 1-6 scale (1=Confirmed, 6=Uncertain)
Default IoC Scores: IP addresses (4), File hashes (2), Domains (3)
このフレームワークの実用性は、2015年に確認された Bookworm トロイの木馬に始まり、その後の 10年にわたり活動してきた、Stately Taurus に対する分析で実証された。
Unit 42 の研究者たちは、SHA256 ハッシュを用いて、無関係に見えるキャンペーン間のインフラ連携をマッピングする新しい手法により、2025年の時点で関連性の明確化に成功した。
このフレームワークに取り込まれる、高度な OPSEC 分析機能により、コード内のタイポ/メタデータ内の開発者ハンドル/オープンなインフラ・コンフィグといった、脅威アクターたちが繰り返すミスが追跡されていく。
こうした OPSEC フィンガープリントが、時間的な相関の分析や地政学イベントとのマッピングと組み合わされることで、アトリビューションの貴重な証拠が確認されていく。
この体系的アプローチは、脅威インテリジェンスの成熟化へと向けた、重要な進展である。それにより、サイバー・セキュリティ・コミュニティ全体における共同研究の強化と、再現可能な方法論による、透明なアトリビューション判断が実現されるだろう。
Unit 42 Attribution Framework ですが、アトリビューションに対する精緻で構造的な取り組みが具現化したようですね。特に、信頼性や情報の信憑性を数値化する仕組みが導入されている点は、脆弱性の背景にあるアクターの動機や行動パターンを明確にするのに役立つはずだと、この記事は指摘しています。このような取り組みが、オープンなかたちで進み、すべてのセキュリティ・ベンダーが共有するというのが、最も理想的な展開です。よろしければ、カテゴリ SecTools を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.