組織の外部担当者を狙う「やりとり型」攻撃、国内で再び発生、IPAが注意喚起

　独立行政法人情報処理推進機構（IPA）は、標的型サイバー攻撃の手口の1つである「やり取り型」攻撃が、8月から10月にかけて国内の複数の組織に対して行われたことを確認しており、攻撃は巧妙さを増しているとして、各組織の外部向け窓口の担当者へ向けて注意を呼び掛けた。

　やり取り型攻撃とは、一般の問い合わせなどを装った無害な「偵察」メールの後、ウイルス付きのメールが送られてくるという手法を指す。利用者のPCに遠隔操作を可能とするウイルスを感染させ、そのPCを起点に組織内部のネットワークへ侵入し、情報窃取などの諜報活動を行うことを目的としている。

　攻撃メールの多くは、その内容を確認し、対応することを業務とする外部向け窓口部門などに対して送りつけられる。窓口担当者とのメールでのやり取りの過程で添付ファイルを開封させ、受信者のPCにウイルスを感染させるべく、辻褄の合う会話とともに、ウイルスの形態を変化させながら、重ねてメールを送信してくる執拗さが特徴。

「やりとり型」攻撃のイメージ

　やりとり型攻撃は、2012年ごろに多く見られたが、この1年間ではIPAの活動でもほとんど確認されていなかった。今回、サイバー攻撃対策の取り組みであるJ-CSIPやJ-CRATの活動から、2014年8月～10月に少なくとも国内の5つの組織に対して、こうした攻撃が計7件発生したことが確認された。また、メールの送信元IPアドレスは、2012年7月に確認された攻撃と一致していたことなどから、当時と同一の攻撃者（またはグループ）による攻撃と推測している。

　IPAでは対策として、外部向けに公開している窓口のメールアドレスやウェブの問い合わせフォームなどに対応する部門に対して、攻撃の手口などの周知を徹底することや、組織内で情報を集約・対応する体制を整えることなどを挙げている。

　また、外部からの不審な添付ファイルであっても、業務上、その内容を確認せざるをえない場合などは、組織内ネットワークから隔離したPCや、仮想環境（仮想マシン）を使ってメールを開封するなど、ファイル確認用の安全な環境を用意することを対策として挙げている。