headless 曰く、

Microsoft は 19 日、脅威アクターの新しい命名法とアイコンを発表した (Microsoft Security Blog の記事、 Microsoft Learn の記事、 Ghacks の記事、 Neowin の記事)。

脅威アクターはセキュリティ企業や研究者によりさまざまな名前が付けられているが、Microsoft ではこれまで元素名や火山名、植物名のほか DEV-<4桁の数字> のような名前を使用してきた。新しい命名法では脅威アクターを 5 つの主要なグループ (国家・金銭的動機・攻撃的民間部門・影響操作・発展中) に分け、国家は国別、あとはグループごとに気象用語のファミリーネームが割り当てられる。

ファミリーネームが割り当てられている国家は中国 (Typhoon: 台風)・イラン (Sandstorm: 砂嵐)・レバノン (Rain: 雨)・北朝鮮 (Sleet: みぞれ)・ロシア(Blizzard: 猛吹雪)・韓国 (Hail: ひょう)・トルコ (Dust: 砂塵)・ベトナム (Cyclone: サイクロン) の 8 か国。

金銭的動機を持つアクター (Tempest: 暴風雨) はサイバー犯罪者/組織によるサイバーキャンペーン/グループで、国家や民間団体と結び付いていないことが確実なもの、攻撃的民間部門のアクター (PSOA、Tsunami: 津波) はサイバー兵器を製造・販売する既知の民間企業によるサイバー活動、影響操作 (Flood: 洪水) はターゲットの見解や決定等を変えさせるためのオンライン・オフラインでの情報キャンペーンを示すグループ名となる。なお、Microsoft Learn の記事は日本語版も公開されているが、ここではいくつか異なる訳語を使用している。

発展中 (Storm: 嵐) zは属するグループが明確でない未知・新興・発展中のアクターに割り当てるファミリーネームであり、これまでは「DEV-<4桁の数字>」と名付けられていた。今後は「Storm-<4桁の数字>」という形式になり、既存のアクター名は DEV- と共通の数字 4 桁を使用する。

Storm 以外のグループでは修飾語とファミリーネームを組み合わせたものがアクター名となる。たとえば、これまで Strontium (APT28、Fancy Bear)と呼ばれていたロシアのアクターは「Forest Blizzard」という名称になる。修飾語は「Aqua」「Pink」「Brass」「Canvas」「Ghost」「Ruby」「Spandex」「Zigzag」「Secret」「Midnight」「Cadet」など幅広く、選択の基準は示されていない。