標的型サイバー攻撃に立ち向かう、IPAのサイバーレスキュー隊が正式発足

　独立行政法人情報処理推進機構（IPA）は16日、標的型サイバー攻撃への対策支援を行う「サイバーレスキュー隊（J-CRAT）」を発足した。

「サイバーレスキュー隊」隊員

IPA内にサイバーレスキュー隊室を設ける

　IPAでは、2011年に国内の重工メーカーなど複数の民間企業へのサイバー攻撃が表面化したことを受け、同年10月に「標的型サイバー攻撃 特別相談窓口」と、IPAをハブとした国内企業の情報共有体制「J-CSIP」を立ち上げ、これまでに特別相談窓口には321件、J-CSIPには631件の相談が寄せられ、実際に29の組織に対して支援を行った。

　これらの支援実績を踏まえ、J-CRATは、攻撃に気付いた組織に対する被害拡大と再発の抑止・低減、標的型攻撃による諜報活動などの連鎖の遮断を行う。独立行政法人、地方独立行政法人、国と関係が深い業界などの団体、民間企業（支援が必要と判断された場合）を対象とするが、基本的には、どの企業でも特別相談窓口に相談できる。

　レスキュー隊員は12名。IPA内や企業から出向したメンバーで構成されており、それぞれがウイルス解析やネットワークの専門家という。実名は、代表の青木眞夫主任研究員以外は非公表となっている。2014年度で30件の被害相談を想定しており、さらに対応が必要だと判断した場合、増員なども検討する。

　16日に行われた発足式で、IPA理事長の藤江一正氏は「J-CRATの発足は、サイバー攻撃対策において非常に意義があると認識している。J-CRATの地道な活動は日本の企業や団体のセキュリティ向上に役立つと信じている」と述べた。また、来賓として出席した経済産業省の大橋秀行氏（商務情報政策局審議官）は「標的型サイバー攻撃における大きなリスクに対して、具体的に対策する必要性がJ-CRATの発足に繋がっている。サイバー攻撃被害からの早期復旧・予防対策において、成果を挙げる1年にして欲しい」と述べた。

IPA理事長の藤江一正氏

経済産業省の大橋秀行氏（商務情報政策局審議官）

藤江一正氏より認定証が交付された。

サイバーレスキュー隊代表の青木眞夫主任研究員

被害の最小化は、侵入された後の早期対策がポイント

　J-CRAT発足に際して、IPA情報セキュリティ技術ラボラトリー長の金野千里氏により、主な活動内容が紹介された。

　2010年にイランの核施設を狙った「Stuxnet」などの標的型サイバー攻撃が明るみになったのを受けて、経済産業省では同年末から「サイバーセキュリティと経済研究会」を発足。IPAでも2011年10月に標的型サイバー攻撃特別相談窓口を開設した。

IPA情報セキュリティ技術ラボラトリー長の金野千里氏

標的型サイバー攻撃に対する取り組みの時系列

　特別相談窓口での対応を通じて、攻撃を検知しても深刻さを把握できず、対応に踏み出せないケース、侵入に気付いた時点よりもかなり前から侵入されていたケース、攻撃が1カ所ではなく、政府機関や関連組織まで連鎖していたケースが多く浮き彫りになったという。

　組織側での対応が遅くなる、あるいは踏み出せない理由として、組織のセキュリティやシステム担当の経験が浅く、単純にウイルス感染と間違う場合が多く、実際に、ウイルスに感染していると認識していた組織を調べると、バックエンドのサーバーまで侵入されていたケースもあるという。ほかには、セキュリティベンダーに相談しようとすると、数百万円の見積もりが出てくる場合があり、深刻なのかそうでないのか見極めができず、動けない場合もあるという。

標的型サイバー攻撃特別相談窓口の活動概要

標的型サイバー攻撃特別相談窓口の昨年度実績

標的型サイバー攻撃に対して組織に求められる活動

標的型サイバー攻撃の連鎖（チェーン）の実態

　被害把握や深刻さを示し、適切な対応を実施するため、J-CRATは、攻撃を検知できずに潜伏被害を受けている組織や、検知した被害状況を認識できずにいる組織に対して、攻撃の把握、被害の分析、対策の早期着手と、認知から対策までの助言・進言を行う。J-CRATはセキュリティ対策のトリガーとして機能するため、応急処置以降の対策については、支援対象組織、民間事業者に引き継ぐが、案件によっては、経過観察する場合もあるという。

サイバーレスキュー隊の活動内容と目的

サイバーレスキュー隊の支援範囲

活動事例1

活動事例2

隊員によるデモンストレーションを実施

　説明会では、標的型サイバー攻撃の解析、分析作業のデモンストレーションが行われた。

　相談者から標的型サイバー攻撃の情報提供を受け、メールの解析作業からスタート。実際に特別相談窓口に寄せられた依頼をもとに、送信元のアドレスがフリーメールにもかかわらず、件名や本文が通常の事務連絡であり、事務に関すると思われる添付ファイルが添付されている不審なメールが届いたという想定だ。

　メールのヘッダー情報から、どこから送信されたのかを調査し、通常社内でやりとりしているメールとは違うことを確認。実際に、ファイルを展開した場合どのような挙動するかも確認する。

相談者から提供された不審なメールと添付ファイル

メールのヘッダー情報からどこから送信されたかを確認

　通常、Windowsは拡張子が見えない状態になっている場合が多く、デモンストレーションでは「.exe」ファイルにもかかわらずWordのアイコンが表示され、タイトルも「事務系連絡網」と通常のWordファイルと同等の見え方になっている。ファイルは展開すると消えてしまうが、動作を偽装するために消えたのだという。

　ファイルの展開は、外部と遮断するテスト環境にて行い、どのような挙動をするのか、レジストリやファイルが追加されていないか、外部へ接続していないかを確認する。デモンストレーションでは、デスクトップにアプリケーションを追加、起動時に実行する記述がレジストリに追加されていた。

添付のZIPファイルを展開するとWordファイルに見えるファイルが出てきた

プロパティでファイルの種類を確認するとアプリケーションになっている

レジストリを確認すると、もともと2行だった記述が追記されている

デスクトップに追加されたファイル（隠しファイル設定を解除）

　標的型攻撃で送られてくるファイルは、外部との接続を試みるものが多く、どこにアクセスしようとしているのかを確認する。HTTPやHTTPSへの接続を開始しようとしていた場合、ファイアウォールのログでそのアクセスがあったかを確認し、感染している端末があるかを確認する。

　IPAでは組織内にある端末のアクセス状況を可視化する試みを行っており、ファイアウォールのログを多角的にとらえ、不審なアクセスの早期発見につなげるとしている。

どこにアクセスしようとしているのかを確認

ファイアウォールのログから不正な通信を絞り込む

組織内にある端末のアクセス状況可視化画面。白い点は組織内のIPアドレス、赤い点はインターネット上のIPアドレス、矢印は通信の方向、矢印の太さは通信の回数を表している。

表示を変え、アクセスが集中しているIPアドレスを表示

　デモンストレーションでは、ファイアウォールのログを調査したところ、該当するアクセスとは別の不正なアクセスが検出され、他のウイルスに以前から感染していたことが分かったとしている。基本的には、サイバーレスキュー隊室での分析・解析をもとにアドバイスを行い、相談者にフィードバックするが、今後、緊急性の高い場合は、直接相談者に赴き説明する可能性もあるとした。