IPA、標的型サイバー攻撃対策の新部隊を正式発足 国家防衛の一翼に
標的型サイバー攻撃に狙われた官民の組織に対する早期支援にあたり、連鎖型攻撃の遮断に注力する。
情報処理推進機構(IPA)は7月16日、標的型サイバー攻撃を受けている組織への初動対応や支援などにあたる新組織「サイバーレスキュー隊(J-CRAT)」を発足させた。早期対応を支援することで攻撃や被害の抑止・低減を図り、攻撃活動の連鎖を断ち切ることに注力する。
J-CRATは、システムやネットワークなどに高度な技量や知見を有数するIPA職員や同機構への出向者など12人で構成される。当面の支援対象とするのは、地方を含む独立行政法人や政府機関とつながりのある業界団体、IPAの「標的型サイバー攻撃特別相談窓口」への連絡から特に緊急性が高いなど対応が必要と判断された民間企業。2014年度は30組織程度への支援が見込まれ、既に2組織への支援を開始した。
J-CRATのメンバー12人(左)。藤江IPA理事長から辞令が交付された藤江一正理事長は、同日の発足式の訓示で「標的型攻撃のこれまでの分析から攻撃者が標的の人物をやり取りして侵入したり、長期間の潜伏活動を行ったり、複数の組織を跨いで攻撃を仕掛けたりする特徴が分かっている。こうした知見を生かして日本の防衛に貢献してほしい」と述べた。
来賓として登壇した経済産業省商務情報政策局の大橋秀行審議官は、「サイバー攻撃は日本が直面する重大なリスクの1つ。J-CRATの活動を契機に、サイバー攻撃への早期対応が広く浸透することを期待したい」を語った。辞令交付を受けてJ-CRATの青木眞夫隊長は、「活動に誠心誠意取り組み、貢献していきたい」と抱負を話した。
官民をつなぐ部分で対策強化
IPAは、イランの核施設破壊を狙ったとされる2010年の「Stuxnet攻撃」や、2011年に三菱重工など民間企業に対する標的型サイバー攻撃が相次いだ事態を受けて、2010年にサイバー攻撃に備えたシステム設計の指針を発表、2011年11月に特別相談窓口を設置し、2012年4月には情報共有の「J-CSIP」の運用を開始するなど、標的型サイバー攻撃対策を進めてきたという。
特別相談窓口には、標的型メールに関する報告が2013年度だけで76組織(179通)から寄せられ、IPAは22組織(85通)に対して特別相談に応じた。2014年度も6月上旬時点で22組織・85通の報告がある。この報告傾向を分析した結果、標的型サイバー攻撃には以下の3つの特徴がみられることが分かったという。
- 攻撃を検知しても深刻さの理解が及ばずに、対応が後手になっているケース
- 発見時よりもかなり以前から脅威が侵入していたケース
- 政府省庁や関連組織につながる攻撃の連鎖が認められたケース
情報セキュリティ技術ラボラトリー長の金野千里氏によると、攻撃を受けた組織では管理部門やIT部門が事態の深刻さを理解できていないところがあるものの、規模の小さな組織ではセキュリティ会社などの対応費用を支払えないケースや、管理部門の承認が得られず現場対応が遅れてしまうケースもあった。
J-CRATが当面の支援対象に独法を挙げている背景には、中央官庁や大手を中心とする民間企業では標的型サイバー攻撃に対する即応体制の整備が進んでいるものの、その中間に位置する独法などの組織では予算や人員などの制約から取り組みが進んでいない状況があるようだ。
独法は地方を含めて200組織以上あり、事業や業務面などでつながりのある民間の業界団体も含めると、数百組織に上る。1つの標的型サイバー攻撃が複数の組織に連鎖して行われ、最終標的が中央官庁になっている実態からも、こうした組織における即応体制の整備は急務といえる。
J-CRATの活動は、IPAに寄せられる連絡や国内外のセキュリティ機関が提供している情報などを活用して、標的型サイバー攻撃を検知できずにいる組織や検知しても十分に対応できていない組織への支援が中心となる。
こうした組織での攻撃の把握や被害状況などの分析、具体的な対処方法や抑止・再発防止策のアドバイスといった初期対応に注力し、組織における具体的な対処方法や抑止・再発防止策の実施では、民間のセキュリティ会社の支援を活用してもらうことにしている。
連鎖的な被害が推定される場合は、当事者の組織だけでなく、影響の可能性のある別の組織にも連絡して調査協力を要請、機密情報を適切に取り扱いながら、攻撃の全体像を明らかにしてそのつながりを断ち切るという。金野氏によれば、これまでの対応ではスムーズな協力が得られているといい、IPAが公的な立場から即応支援を行うことで、標的型サイバー攻撃の対策強化が期待される。
J-CRATのオペレーション室の一部。解析関連のツールやシステムなどがある。標的型メールの例では添付ファイルを動的に解析してコンピュータへの影響を把握し、マルウェアの動作や攻撃者の指令サーバとの通信などの様子を分析していく。これらの作業で得られた手がかりから、さらにほかの機器やシステム、組織への影響などを調査し、攻撃の全容を解明していく関連記事
- 「一刻を争う」 IPAが標的型攻撃対抗の新組織設立
- 「偵察メール」の返信で“ウイルス発進” 2013年度の標的型攻撃事例
- 標的型攻撃メール124種類の分析で分かったことは? IPAが解説資料を公開
- 国内企業にゼロデイの脆弱性を突く標的型攻撃、IPAが緊急対策を喚起
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- Microsoft 365のTeamsセット売り中止、裏にあった規制と競合の圧力
- Windows 11 Homeの次期バージョン、BitLockerを自動で有効化へ
- VMware買収の真の狙いは? Google Cloud Nextで見えたBroadcomのビジョン
- FIDO2認証をバイパスされる脆弱性 セキュリティ研究者が複数のユースケースを検証
- Geminiを搭載 Googleが新たな脅威インテリジェンス「Google Threat Intelligence」を発表
- XZ Utilsの不正コード挿入問題の原因は、企業の“OSSタダ乗り問題”にあり?
- “心のアタックサーフェス”を保護せよ 巧妙化するサポート詐欺の対策を考える
- 身代金の支払い禁止は“おとぎ話”か? 完全禁止派 vs. 禁止措置緩和派の論争
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- 生成AI vs. 人 フィッシングメールの質が高いのはどちらか? Splunkの研究成果
ITmediaはアイティメディア株式会社の登録商標です。