Cyber Threat Intelligence News

深刻化するサイバー空間における脅威への対抗手段として、国家の防衛のみならず民間においても必須のものとなったCyber Threat Intelligence(サイバー脅威インテリジェンス)を活用するために有益な情報を提供します。

WannaCryの作者は流暢な中国語を話す人物である可能性

先日、当ブログでも紹介した通り、WannaCryを作成したのはLazarus group(北朝鮮)であるという調査結果が米シマンテックをはじめとして複数のセキュリティベンダーやリサーチャーより発表されており、また大手報道機関もそれを報じています。

cyberthreatintelligence.hatenablog.com

この問題について、また異なる視点からの新たな調査結果が発表されました。

25日(米国時間)、米Flashpointはブログにて、「WannaCryが表示するメッセージを書いた人物は、中国南部・香港・台湾・シンガポールなどで話される中国語を流暢に話す人物であり、またネイティブではないものの英語に慣れ親しんだ人物である可能性が高い」との調査結果を発表しています。

www.flashpoint-intel.com

Flashpointは、Flashpoint Intelligence Platformなどのサービスを通じ、ディープウェブ・ダークウェブの違法なコミュニティより取得した情報など、顧客企業がビジネスにおけるリスク管理に活用するためのインテリジェンスを提供している企業です。

 Flashpointは今回、28種類の言語によるランサムノート(感染したコンピュータの画面に表示される金銭の支払いを要求するメッセージ)のサンプルを入手し、調査しました。その結果、英語および中国語の簡体字繁体字を除く全ての言語のランサムノートはGoogle翻訳により作成されたものだと結論づけたということです。

Flashpointの調査は、WannaCryのランサムノートに書かれた文章に着目し、言語学的な観点からこれがどのような人物によって書かれたかを調べたものです。

Threat Huntingにおいては、Adversary(攻撃者)・Infrastracture(インフラストラクチャ)・Capability(能力)・Victim(被害者)の4つのポイントからなるダイアモンドモデルによるアプローチが有効であるといわれています。

f:id:Bozaxosa:20170526062250p:plain

ダイアモンドモデルにもとづくThreat Hunting*1

先に発表されたシマンテックなどによる調査がInfrastructure及びCapabilityに着目し、Adversaryの正体に迫ろうとしたものであるのに対し、Flashpointの調査はAdversaryそのものに着目したものといえます。

サイバーセキュリティにおいては、技術的な観点による調査手法に重点が置かれる傾向がありますが、サイバー攻撃が高度化し、サイバーと物理世界の境界が曖昧になるにつれ、技術的なものにとどまらないインテリジェンスの有用性も増しています。

その意味においても、Flashpointの調査結果は、技術的な観点からなされている既存の調査結果を補強し、正解にたどり着くための有益な材料のひとつになるものであるといえます。