ハッカー集団を指す名称がバラバラすぎで対応が遅れる可能性があるとしてMicrosoftとCrowdStrikeが名称をまとめるプロジェクトを開始

サイバー犯罪が発生すると、セキュリティ企業や専門家は攻撃者(脅威アクター)を特定の名前で呼び、その脅威について知らせることがあります。ところが、各所が用いる名前はバラバラで、同じ脅威アクターなのに3つも4つも別名があるということは珍しくありません。こうした状況は対応の遅れを招いてしまう可能性があるとして、MicrosoftとCrowdStrikeが名前をまとめてわかりやすくするプロジェクトを開始しました。

Announcing a new strategic collaboration to bring clarity to threat actor naming | Microsoft Security Blog
https://www.microsoft.com/en-us/security/blog/2025/06/02/announcing-a-new-strategic-collaboration-to-bring-clarity-to-threat-actor-naming/

CrowdStrike and Microsoft Unite to Deconflict Cyber Threat Attribution
https://www.crowdstrike.com/en-us/blog/crowdstrike-and-microsoft-unite-to-deconflict-cyber-threat-attribution/

脅威アクターの名前は大抵バラバラで、例えばMicrosoftが「Midnight Blizzard」と呼ぶロシアの脅威アクターは、「UNC2452」「Cozy Bear」「APT29」など多数の別名で呼ばれることがあります。名前がバラバラだと、実際に攻撃が発生したときに対応が遅れ、攻撃者は誰なのか、対策は何なのかといった情報を集める際に不都合が生じかねません。そうした状況を改善するため、複数ある名前をまとめる作業が行われています。

MicrosoftとCrowdStrikeが策定した命名体形は、気象というテーマに沿って、攻撃者の主目的や拠点とする地域別に名付けを行うというものです。

例えば、国家が関連する脅威アクターの場合、国ごとに気象に関連した名前が付けられます。中国関連の脅威アクターであればTyphoon(台風)、イランであればSandstorm(砂嵐)、ロシアであればBlizzard(暴風雪)といった具合です。

さらに、脅威アクターが利用する戦術や手法によって異なる形容詞を付け、形容詞と気象現象の組み合わせで脅威アクターを特定します。この命名規則で、先述のUNC2452やAPT29といった名前を持つ脅威アクターにはMidnight Blizzardという名称が付けられ、BARIUMやWICKED PANDAなどの名前がある中国の脅威アクターはBrass Typhoonと呼ばれます。

このほか、国家が関わらない脅威アクターにも気象に関連した命名が行われます。金銭目的の脅威アクターはTempest(大嵐)、民間組織の脅威アクターはTsunami(津波)、情報操作を目的とした工作グループはFlood(洪水)、発達中あるいは未知の脅威アクターはStorm(嵐)です。

この規則により、DEV-0236と呼ばれるイスラエルの民間組織はCaramel Tsunami、DEV-0401やHighGroundと呼ばれる金銭目的の脅威アクターはCinnamon Tempestと呼ばれるようになります。

How Microsoft names threat actors - Unified security operations | Microsoft Learn
https://learn.microsoft.com/en-us/unified-secops-platform/microsoft-threat-actor-naming

こうした名前は、あくまで複数ある名前をまとめるための辞書のようなものに過ぎず、名前の使用を推奨あるいは強制するものではないとのことです。

MicrosoftとCrowdStrikeはこの命名を「ロゼッタストーン」と呼称し、「私たちはリソースを結集して維持し、脅威アクターと戦うすべての人々に提供します」と述べました。

このプロジェクトには、Google、Mandiant、Palo Alto Networks Unit 42も貢献します。MicrosoftとCrowdStrikeは他の協力者も募っています。