昨年吹き荒れたサイバーインテリジェンスの対策の現状

標的型メール攻撃は今も続く

警視庁（警備企画課・情報技術解析課）は今年8月23日、広報を通じて「サイバーインテリジェンスに係る最近の情勢（平成24年上半期）について」を発表している。この発表によると、標的型メール攻撃の件数について、昨年4月～6月までが543件、7月～9月までが348件、10月～12月までが161件、今年1月～3月までが225件、4月～6月までが327件となっており、今年上半期の間に合計552件が日本の民間事業者などに送付されていたことを把握したとしている。

標的型メール攻撃に使用された不正プログラムの接続先は、約36％が中国、約11％が日本、約9％がタイであった。現在、警察と情報窃取の標的となるおそれのある全国の事業者などとで構成する「サイバーインテリジェンス情報共有ネットワーク」が設置されており、7月1日段階で構成員は約4800事業者まで拡大している。さらに、8月23日には、警察とセキュリティ監視サービスまたはセキュリティ事案に対処するサービスを提供する事業者で構成する「サイバーインテリジェンス対策のための不正通信防止協議会」を設置した。

以下は、警視庁が把握した、実際に中国地方の事業者が送付した実際のメールが利用された標的型メール攻撃の事例である。

平成24年2月、中国地方のX社になりすました標的型メールが「サイバーインテリジェンス情報共有ネットワーク」構成員に送付されたことを把握。本ネットワーク内に注意喚起を行うとともに、X社に係る調査を実施。
その結果、X社の職員が取引先に対してメールを送付した約11時間後に、当該メールの本文をほとんどそのまま引用し、X社と業務上関係する2協会・4社宛てに同様の標的型メールが送付されていたことが判明。
また、3月には、中国地方のY社になりすました標的型メールが本ネットワーク構成員に送付されたことを把握。
Y社に係る調査を実施したところ、Y社の職員がX社の部長に対して送付したメールを窃取され、X社と業務上関係する7社宛てにこれを利用して標的型メールが送付されていたことが判明。当該標的型メールには、添付ファイルに不正プログラムが仕込まれた上、実際のメールと同様にパスワード・ロックが掛けられていた。
両件に使用された不正プログラムに感染したコンピュータは、いずれもタイ及び米国所在の同一のIPアドレスに接続する動作を行うことから、同じ攻撃者が、X社のコンピュータを乗っ取って個人情報やメールを窃取し、これを利用して、同社が業務上関係する複数の事業者等に標的型メールを送付していたものとみられる。

内閣官房情報セキュリティセンター（NISC）との連携

警視庁は、今年4月に内閣官房情報セキュリティセンター（NISC）を通じて得た標的型メール攻撃に関する情報を「サイバーインテリジェンス情報共有ネットワーク」の構成員に注意喚起したところ、同種の標的型メールが製造業者等6 社にも送付されていたことが判明し、攻撃が政府機関と民間事業者双方に送付された事実を把握するとともに、NISCとの情報の共有が重要であるとの認識に立っている。

一方、内閣官房情報セキュリティセンターは、依然として続く政府機関への標的型メール攻撃に対して、9月25日「政府機関等において今後、早急に対応すべき措置について」を発表し、対策として以下の骨子を各府省庁や独立行政法人、特殊法人、国立大学法人などに指示している。

1. 各府省庁等において管理する情報システム等の再点検
各府省庁において管理しているウェブサイト等の情報システムに係る脆弱性の確認及び対策の点検・実施を早急に行うことまた、所管する重要インフラ事業者や独立行政法人、特殊法人、国立大学法人等に対しても同様の点検・実施を行うよう要請すること

2. 障害・事故等の発生に備えた体制の充実強化
インシデント等の発生に際し迅速かつ的確に対応するため、各府省庁において CSIRT（Computer Security Incident Response Teamの略で「情報セキュリティインシデントに関する緊急時対応の機能を有した専門的な部隊」のこと）等の機能を有する体制を早急に整備すること

3. 平素からの情報収集の強化と情報共有の徹底（再確認）
（1）各府省庁は、その業務において得たサイバー攻撃に係る情報を、可能な限り速やかに NISC に連絡すること
（2）NISC は、収集・集約された情報をサイバー攻撃に対する初動対処、被害の拡大防止及び再発防止に活用するため、情報連絡を行った府省庁の同意を得た上で、各府省庁に対して積極的な情報提供を行う

飛躍的に進むサイバーインテリジェンス対策と今後の課題

昨年は、ひとつの政府機関が標的型メール攻撃を受けても、当該機関内だけで措置が講じられ、その手口や方法が他の政府機関内に共有されることもなく、その結果、他の政府機関や民間事業者もなんら防止対策がないままその後も被害を被ることになった。

しかし、昨年の9月に発生した三菱重工業を始めとしたサイバー攻撃が引き金となり、眠っていた日本のセキュリティ態勢に火をつけることになった。警視庁が呼びかけて「サイバーインテリジェンス情報共有ネットワーク」を設置し、「内閣官房情報セキュリティセンター」とも情報を共有して、政府機関と民間事業者との情報共有も万全となった。最近では、セキュリティ会社による民間事業者へのシミュレーションテストでもなかなかシステム上のピンホールやうっかりメールを開けてしまうような従業員が出てこなくなったという。

しかし、そういうときこそ、一方で外部からのネットワーク上の不正なアクセスだけでなく「ソーシャル・エンジニアリング」（ネットワークの管理者や利用者などから話術や盗み聞き、盗み見などの「社会的」な手段によってパスワードなどのセキュリティ上重要な情報を入手すること）や実際にネットワークに接続していないインフラ破壊を目的とした無線などの外部遠隔操作によるウイルス攻撃に注意すべきであるとセキュリティの専門家は警告している。