情報処理推進機構(IPA)は、標的型攻撃のターゲットとなった組織に対する支援活動を実施する「サイバーセキュリティ隊(J-CRAT)」を正式に発足し、活動を開始する。独立行政法人や国と関係の深い業界団体、支援が必要と判断された民間企業を対象に、標的型攻撃の被害分析、被害の拡大阻止・低減といった支援を行う。

IPA内に新たに発足したJ-CRATの看板を掲げるIPAの藤江一正理事長(左)と経済産業省 IT戦略担当審議官の大橋秀行氏

J-CRATの技術者12人とスタッフで20人の小規模所帯だが、初年度は30件の支援活動の実施を想定している

専門家ら、総勢20人のスタッフで構成

J-CRAT(Cyber Rescue and Advice Team against targeted attack of Japan)は、5月20日に準備チームが集められ、16日から正式に発足した、標的型攻撃への対応を目的としたIPAの新部門。ウイルス解析をはじめとしたコンピュータセキュリティの専門家やネットワーク技術の専門家など、総勢20人のスタッフで構成される。

標的型攻撃は、日本国内では2005年ごろから観測され、2010年にイランの原子力発電所施設を狙った攻撃を契機に増加。2011年には被害報告も増えて、同年末には政府機関への攻撃も確認された。

標的型攻撃は、日本では2011年ごろから被害が顕在化し、IPAでも順次対応を講じてきた

IPAでは、経済産業省の「サイバーセキュリティと経済研究会」の報告を元に、2010年末から対策に関する取り組みを開始していた。

2011年10月には「標的型サイバー攻撃特別相談窓口」を設置して、攻撃を受けている組織からの相談を受け付け。2012年4月には参加組織間でサイバー情報を共有する「J-CSIP」を設置して関連業界での情報共有を円滑に進める体制を整えた。

IPAの対策は、推奨するシステム設計のガイドラインの発行、相談窓口設置による早期対応、J-CSIPによる情報共有の3段構えとなっており、「多層防御」が重要だと主張する。

この中で、特別相談窓口には2013年度で76件の相談が寄せられ、22件の対応を実施。今年度も4月から6月11日までに22件の相談が寄せられているという。こうした相談を受けると、IPAは、調査に必要な情報を被害組織から提供してもらい分析する。その結果を被害組織に返すとともに、同じような攻撃を受けている組織と情報を共有したり、セキュリティ対策ベンダーへ情報を提供したりしていた。

相談窓口への問い合わせは、昨年度で76件となり、そのうち22件に対応を行った

標的型攻撃は表に出にくいため、こうした相談窓口への連絡が攻撃の把握や被害の拡大防止に役立つとして、積極的な情報提供を呼びかける

被害組織にみられる3つの傾向

相談を受け分析しているうちに、被害組織には3つの傾向が見受けられたという。

1つは攻撃が行われたことは分かっていても、単純なウイルスとして被害を過小評価し、対応を行わないという点。2つ目は攻撃に全く気付かず、相談よりも以前から長期にわたって攻撃されていたという点、3つ目は直接政府機関を狙うのではなく、関連する独立行政法人などの組織を攻撃して、そこから政府機関に侵入する「攻撃の連鎖」が行われていた点だ。

最初の標的がメインのターゲットではなく、そこから連鎖的に攻撃の手を広げていく攻撃の連鎖が増えている

通常、標的型攻撃では標的となる組織を決めて、人間関係や業務内容などを調査。続いてマルウェア付きのメールの作成やWebサイトの改ざんなどの攻撃準備の段階があり、周到な計画を立てて攻撃が実施される。最初の攻撃はマルウェア付きメールや改ざんしたWebサイトへの誘導といった初期段階で、ここで組織内の誰かがマルウェアに感染すると、マルウェアはバックドアを開設し、さらにほかの端末へ侵入して情報窃取などの攻撃を行う。

この最初のメールによる感染についても、一見すると被害はないように見える。基本的に標的型攻撃は、被害に気付かれないように隠ぺい工作が行われるからで、被害組織も、結果として「被害は少ない」と考えて放置してしまう。

被害に気付いた組織でも、実際に調査をしてみると半年以上前から侵入されていたという例もあったという。また、1台の端末に侵入されたとして調査を行ったところ、組織内の複数のシステムに被害が広がっていて、被害が多岐にわたった、という事例もあり、IPAでは、早期に発見して被害を最小限に抑えることの重要性を訴える。

さらに危機感を募らせるのが「攻撃の連鎖」。最初は小規模の独立行政法人などの公的機関をターゲットに攻撃を行い、そこから関連する政府機関や軍需産業のような企業への侵入を試みて、さらに関連する企業、政府機関へ攻撃の手を広げる、という手法だ。

J-CRATでは、こうした現状を踏まえて、独立行政法人や政府機関、業界団体などを対象に攻撃の正確な把握、被害の分析、対策の早期着手、といった支援を行う。あくまで支援であり、実際の対策はその組織内で行ったり、必要であればセキュリティ対策ベンダーのソリューションを導入したりといった形になるが、被害の拡大を食い止め、連鎖を断ち切ることが目的だ。

J-CRATは、攻撃を把握し、被害を分析し、そして被害組織が早期に対策にちゃくできるよう支援する

J-CRATが支援する対象。基本的には公的機関だが、関連する民間企業も対象とする。相談窓口に関しては幅広く受け付けている

IPAの藤江一正理事長は、J-CRATの発足は「国内のサイバー攻撃対策で非常に意義がある」とアピール。日本企業や政府機関などのセキュリティ向上に「必ず役立つと信じている」と強調する。

経済産業省 IT戦略担当審議官の大橋秀行氏は、次の国会でサイバーセキュリティの体制強化を図る方向になっているが、こうした体制強化の流れは、「抱えているリスクの高まりと比例している」と指摘。J-CRATの活動に期待するとともに、共同で取り組んでいきたい考えだ。

J-CRATの分析の現場

標的型メールの例。さまざまな観点からメールを解析する

添付ファイルがある場合、閉鎖環境で実行して実際の動作を確認

通信ログの解析で被害状況を把握する

ログを絞り込んでくと、複数の端末が特定のIPアドレスに対して不審な通信を行っていた

こちらはログを視覚化するツール。正しい通信を除いていくと、複数の端末から不審な宛先へ通信が行われていたのが分かり、被害が拡大しているのが分かる。さまざまな角度から攻撃を分析していくのがJ-CRATの役割