IPAのサイバーレスキュー隊、多数の組織で攻撃対応を支援

2014年7月に発足した「J-CRAT」の活動成果を報告。標的型攻撃の被害に遭った多数の組織で対応支援を実施したという。

[ITmedia]

　情報処理推進機構（IPA）は8月5日、2014年7月に発足させたサイバーレスキュー隊「J-CRAT」の活動成果などを報告した。標的型攻撃に関する組織からの相談やオンサイトでの対応支援などを数多く実施した。

IPAのサイバーレスキュー隊「J-CRAT」（写真は発足時のもの）

　J-CRATは、標的型攻撃を受けている組織からの相談や初動対応などの支援を手掛けるIPAの“精鋭部隊”。2014年7月〜2015年6月の1年間に、IPAが設置している特別相談窓口に168件の相談が寄せられ、66件について支援を行い、このうち25件はオンサイトで対応した。支援先の内訳は社団・財団法人が24件、企業19件、独立行政法人12件、その他公共機関11件だった。

　組織準備期間を含む2014年度としては38件の支援を行い、31件は活動期間が1カ月以内の事案だったが、7件は1カ月以上を要した。また、オンサイト対応した11件のうち6件が1カ月以上に渡る事案となっている。

2014年4月〜2015年6月活動状況、赤枠は2014年度、青枠は発足後1年間。2014年4〜6月は発足準備期間中に対応したもの

　対応した主な事案の内容は、Webサイトの改ざんをきっかけにした標的型攻撃や、不審なメールによるウイルス感染の拡大、情報漏えいなど。2015年6月以降は日本年金機構に端を発した事案の急増により、ウイルス感染の調査対応や対策に関するアドバイスなどの要請が相次いでいるという。オンサイト対応は四半期ベースで平均3件だったものの、2015年4月〜6月期は18件にも上った。

　IPAはJ-CRATの活動を通じて、早期の対応支援による被害の低減や、サイバー攻撃拡大の抑止、巧妙な攻撃の実態解明などで成果が得られたとする一方、実際の対応から明らかになった標的型攻撃対策における課題や特徴を以下のように挙げている。

• インシデントが発生してはじめてシステムの全体像（所管部署やベンダーの相違なども一因）や外部通信口を充分に掌握できていないことが発覚し、対策に向けた対応の立上げに長時間要するケースがあった
• 支援を行った法人で、重要な位置付けにあり他組織や公的機関に関与が深い組織であるにもかかわらず、組織が小規模でセキュリティ対策が十分でなかったために組織へのウイルス感染、侵入を許してしまった法人が複数あり、他組織への不審メールの踏み台となるケースもあった
• 大きな組織でシステム管理やセキュリティ対策がかなりなされている組織でも、発覚した時点よりかなり以前から複数回に渡って、攻撃、侵入がされており、システムの深部に侵攻されているケースもあった

標的型攻撃の痕跡の全体像

　J-CRATの活動から得られた知見などは、IPAのセキュリティ注意喚起などの情報にも役立てているという。