（変更履歴）Political Attributionについて付け加えました。

Cyber Threat Attributionとは、攻撃主体の帰属を特定する技術です。

攻撃者も人間である以上、アイデンティティ（攻撃の目的）、動機、攻撃手口などを持っているはずです。それらを洗い出すことで、自分の組織が狙われないようにする、TTP（Tactics, Techniques, Procedures）を分析して防御に役立てるなど、様々な活用方法が考えられます。

この技術はThreat Intelligenceの中でもOperational Intelligenceのレベルで活用されることが一般的です。以前も講演をもとに攻撃パターン・メタデータ・攻撃リソースを分析する方法を紹介しましたが、少し新しい知見をもとに分析をしてみたいと思います。

www.scientia-security.org

Attributionを行う４つの方法

SANSでは、Robert M. Lee氏の研究に基づき、Attributionは４つの方法があると述べています。但し、この一つに頼ると誤った結論に達するケースが多いため、Intrusion Analysisとその他３つを組み合わせて正しいAttributionを行うべきと述べています。特にAdversary Admissionとして名乗っている組織が本当に攻撃を行っているかなどはわからないモノです。

• Adversary Admission
• これは、攻撃グループ自体が自分の犯行であることを認めている場合です。
• Leaks / OPSEC Failures
• これは、攻撃グループ内から情報が漏洩する場合です。Edward Snowden氏のように内部の人が情報を漏洩する場合もあれば、OPSEC（作戦行動中のセキュリティ）に漏れがあり、自分の行動がばれてしまうなどのケースも含まれます。
• Direct Access
• これは、Cyber HUMINTなどの観点から攻撃者と直接やり取りをして情報を取得する場合です。
• Intrusion Analysis
• これは侵入分析を行い、その過程からグループや攻撃キャンペーンについて分析を行うパターンです。この分析には、ACH（競合仮説分析）などを利用します。

 A Guide to Cyber Attribution

一方、ODNI（Office of The Director of National Intelligence）は、Cyber Attributionの短いガイド『A Guide to Cyber Attribution』を公開し、その手法について簡単ながら解説しています。この文書は、上でいう「OpSec Failure」と「Intrusion Analysis」に着目する点を述べていきます。

この文書によれば、注目すべき点は大きく５種類あると述べていますので少し解釈もつけながら説明していきます。

• Tradecraft（=攻撃パターン）
• 攻撃時の振る舞い、時間帯・利用する攻撃種類（Web攻撃・マルウェアの特徴）など、攻撃における習慣を意味しています。DNIの資料によれば、こうした習慣は技術的ツールよりもむしろ変更しづらいために、十四な指標だと述べています。但し、この情報は一度外部に出てしまうと、誰でもマネできてしまうため、価値が損なわれるとも書かれています。
• Infrastructure（=攻撃リソース）
• 攻撃を行う上では、C2サーバなど攻撃の足掛かりとなる攻撃基盤が必要になるため、攻撃基盤の分析することを意味しています。
• そのため、各種情報（Exploit Kitの種類・攻撃基盤の特徴・XaaSの利用状況・環境の成熟度・ドメイン・IPアドレス・メール・フリードメイン・SNSアカウント）などの情報を収集して分析を行います。
• Malware（=メタデータ）
• マルウェアは高度標的型攻撃で必ず登場するもので、エンドポイント（端末）に痕跡が残ります（最近では、ファイルレスマルウェアなどもありますが、とはいえ適切なセンサーがあれば記録は残ります）。そのため、マルウェアやそれに付随する情報（攻撃に利用された文言・特定の文字列・言語・メタデータ・ファイル命名則 etc.）を分析することにより、Attributionに貢献してくれます。
• Intent（攻撃者の意図）
• これは、攻撃が行われた意図やその時の文脈に注目する技術です。非常にわかりやすい例だと、平昌オリンピックの時にOlympic Destroyerというマルウェアが出回りましたが、これも当時ドーピング問題で揺れている国家の支援を受けたFancy Bearの攻撃ではないかという報道が流れました。（参考：Olympic Destroyer：オリンピックのハッキングは誰が | カスペルスキー公式ブログ））
• Indicators from External Source
• 民間企業、メディア、学術界の知見を活用する方法です。

Political Attribution（追記）

LAC社のレポートに、Political Attribution（政治的アトリビューション）という用語が使われています。

今までの議論は、Technical Attribution（技術的なアトリビューション）を中心に議論されていますが、ここでいうPolitical Attributionとは、その当時の政治背景・情勢を踏まえて分析することを意味します。

特に、Technical Attributionは原則、残された痕跡に基づくファクトベースの判断のみになりますので、偽情報（False Flag）などが混在していた場合、誤った判断をする可能性があります。そのため、政治的背景を踏まえて攻撃グループ（Threat Actor）を分析する必要があるという考え方です。

www.lac.co.jp

実際、U.S. CISA（The Cybersecurity and Infrastructure Security Agency）のWebinarでは、中国からの攻撃事例について分析していますが、この中で五カ年計画との関係性を踏まえて分析しています。

www.youtube.com

まとめ

Cyber Threat Attribution技術は、実際にベンダー等のレポートを見ると、推理小説みたいで非常に面白い内容です。ただ、実際の分析で利用するまで成熟の高い企業は少ないとも言えるので、まずは基本に忠実にやることが重要とも言えるでしょう。