VulnCheckのThreat Actors Indexは、脅威アクターに関連する既知のすべての情報を、単一の機械可読フォーマットで取得できる機能を提供します。
VulnCheckは数百のソースから脅威アクターデータを収集・キュレーションしており、以下の情報を含みます。
VulnCheck APIを使用すると、VulnCheck Exploit & Vulnerability Intelligenceを簡単に利用開始できます。まずは、以下のように/v3/index/:index?threatactor=:threatactor APIを使用してthreat-actorsインデックスをクエリします。
curl --request GET \
--url https://api.vulncheck.com/v3/index/threat-actors?threat_actor=Cozy%20Bear \
--header 'Accept: application/json' \
--header 'Authorization: Bearer insert_token_here'
package main
import (
"context"
"encoding/json"
"fmt"
"log"
"os"
vulncheck "github.com/vulncheck-oss/sdk-go-v2/v2"
)
func main() {
configuration := vulncheck.NewConfiguration()
configuration.Scheme = "https"
configuration.Host = "api.vulncheck.com"
client := vulncheck.NewAPIClient(configuration)
token := os.Getenv("VULNCHECK_API_TOKEN")
auth := context.WithValue(
context.Background(),
vulncheck.ContextAPIKeys,
map[string]vulncheck.APIKey{
"Bearer": {Key: token},
},
)
resp, httpRes, err := client.IndicesAPI.IndexThreatActorsGet(auth).ThreatActor("Cozy Bear").Execute()
if err != nil || httpRes.StatusCode != 200 {
log.Fatal(err)
}
prettyJSON, err := json.MarshalIndent(resp.Data, "", " ")
if err != nil {
log.Fatalf("JSONの生成に失敗しました: %v", err)
return
}
fmt.Println(string(prettyJSON))
}
import vulncheck_sdk
configuration = vulncheck_sdk.Configuration(host="https://api.vulncheck.com/v3")
configuration.api_key["Bearer"] = "insert_token_here"
with vulncheck_sdk.ApiClient(configuration) as api_client:
indices_client = vulncheck_sdk.IndicesApi(api_client)
api_response = indices_client.index_threat_actors_get(threat_actor="Cozy Bear")
print(api_response.data)
vulncheck index browse threat-actors --threat_actor "Cozy Bear"
上記の例では、threat-actorsインデックスからCozy Bearに関する情報を検索しています。
有効な脅威アクター名を指定して/v3/index/threat-actors?threatactor=:threatactor APIエンドポイントを呼び出すと、以下のようなレスポンスが返されます。
{
"_benchmark": 0.113047,
"_meta": {
"timestamp": "2026-05-12T16:07:04.009013686Z",
// ...
},
"data": [
{
"threat_actor_name": "Cozy Bear",
"date_added": "2016-08-04",
"mitre_id": "G0016",
"misp_id": "b2056ff0-00b9-482e-b11c-c771daa5f28a",
"malpedia_url": "https://malpedia.caad.fkie.fraunhofer.de/actor/apt29",
...
}
]
}
上記のレスポンス例は、
threat-actorsインデックスがCozy Bearに対して返すデータの内容を示しています。
| 属性 | 説明 |
|---|---|
| threat_actor_name | VulnCheckが脅威アクターを識別するために使用する主要名称。 |
| date_added | 脅威アクターが最初にVulnCheckへ追加された日付。 |
| mitre_id | 脅威アクターに割り当てられたMITRE ATT&CKグループID。 |
| misp_id | 脅威アクターに関連付けられたMISP Galaxy UUID。 |
| malpedia_url | Malpedia内の脅威アクターエントリへのURL。 |
| country | 推定される支援国家または発信元の国コード。 |
| 属性 | 説明 |
|---|---|
| vendor_name | セキュリティベンダー名。 |
| threat_actor_name | そのベンダーが使用している脅威アクター名。 |
| url | ベンダーの脅威アクター命名ドキュメントまたはプロファイルへの参照URL。 |
脅威アクターに帰属すると判断されたツール(マルウェア、フレームワーク、ユーティリティ)。
| 属性 | 説明 |
|---|---|
| name | ツール名。 |
| references | ツールを脅威アクターに帰属させる参照情報。 |
| references.date_added | 参照情報がインデックスへ追加された日付。 |
| references.url | ツールの帰属を示すレポートまたは分析へのURL。 |
VulnCheckがキュレーションした、脅威アクターによる悪用が確認されたCVE参照情報です。
| 属性 | 説明 |
|---|---|
| url | 脅威アクターとCVEとの関連を示すレポートまたはアドバイザリのURL。 |
| date_added | 参照元の調査結果が公開された日付。 |
| cve | 脅威アクターによる使用が報告されたCVE ID。 |
| 属性 | 説明 |
|---|---|
| name | MITRE ATT&CKグループ名。 |
| aliases | MITREが認識している別名。 |
| description | MITREによるグループ説明。 |
| techniques | グループに関連付けられたATT&CKテクニック(以下参照)。 |
| 属性 | 説明 |
|---|---|
| technique_id | ATT&CKテクニック識別子。 |
| technique_name | テクニック名。 |
| sub_technique | サブテクニック識別子。 |
| sub_technique_name | サブテクニック名。 |
| tactic | テクニックが属するATT&CKタクティクス。 |
| 属性 | 説明 |
|---|---|
| value | 脅威アクターの主要なMISP識別子。 |
| description | MISPによる脅威アクターの説明。 |
| related | 関連するMISPエンティティ。 |
| attribution-confidence | 帰属の信頼度スコア(0〜100)。 |
| cfr-suspected-state-sponsor | 推定される国家スポンサー。 |
| cfr-suspected-victims | 被害国として報告されている国。 |
| cfr-target-category | 被害組織の業種カテゴリ。 |
| cfr-type-of-incident | アクターに関連付けられたインシデント種別。 |
| country | 推定スポンサー国の国コード。 |
| refs | MISPエントリを裏付ける参照URL。 |
| synonyms | 業界内で使用されている別名。 |
| dest-uuid | 関連するMISPエンティティのUUID。 |
| tags | 関係性の性質を示すタグ。 |
| type | 関係タイプ。 |
| 属性 | 説明 |
|---|---|
| id | MITRE ATT&CKグループID。 |
| aliases | MITREが認識する別名。 |
| description | MITREによる説明。 |
| references | MITRE CTIの参照情報。 |
| source_name | ソース名。 |
| url | 引用元ソースのURL。 |
| description | 引用内容。 |
| external_id | 外部識別子。 |
| 属性 | 説明 |
|---|---|
| vendor | 標的となった技術のベンダー名。 |
| product | 標的となった製品または製品ファミリー。 |
| 属性 | 説明 |
|---|---|
| id | ATT&CKテクニック識別子。 |
| name | テクニック名。 |
| domain | ATT&CKドメイン。 |
| tactics | テクニックが属するATT&CKタクティクス。 |
| subtechnique | このエントリがサブテクニックかどうかを示す値。 |
| nist_controls | テクニックを軽減するNIST 800-53コントロール。 |
| 属性 | 説明 |
|---|---|
| nist_control_id | NIST 800-53コントロール識別子。 |
| nist_control_name | NISTコントロール名。 |
| nist_control_family | NISTコントロールファミリー。 |
| cis_controls | NISTコントロールに対応付けられたCIS Controls。 |
| 属性 | 説明 |
|---|---|
| cis_control_id | CIS Controls識別子。 |
| cis_control_name | CIS Control名。 |
| cis_control_description | CIS Controlの説明。 |
| 属性 | 説明 |
|---|---|
| lang | エントリの言語コード。 |
| capec_id | CAPEC識別子。 |
| capec_name | 攻撃パターン名。 |
| capec_url | CAPECエントリへのURL。 |
| 属性 | 説明 |
|---|---|
| lang | エントリの言語コード。 |
| value | CWE識別子。 |
| name | 脆弱性タイプ名。 |
| url | CWEへのURL。 |