標的型攻撃対策は感染を前提に――IPAのサイバーレスキュー隊が活動報告

IPAのサイバーレスキュー隊「J-CRAT」が2016年上半期に対応した標的型攻撃事案は68件に上り、以前から提唱されている対策の実施が重要だと報告した。

[ITmedia]

　情報処理水市品機構（IPA）は10月28日、標的型サイバー攻撃の相談や対応にあたるサイバーレスキュー隊「J-CRAT」の2016年上半期の活動状況を報告した。マルウェア感染を前提とする対策の必要性を呼び掛けている。

　J-CRATは2014年に発足した組織で、IPAが設置する「標的型サイバー攻撃特別相談窓口」に寄せられた相談に応じるほか、オンサイトを含む有事の対応支援を行う。2016年上半期は269件の相談があり、レスキュー支援したケースが68件、オンサイト対応したケースが12件だった。レスキュー支援は企業（27件）や社団法人・財団法人（19件）が目立つ。

J-CRATの活動イメージ（IPA資料より）

2015年上半期から2016年上半期の支援件数（同）

　相談内容では、宅配便や銀行からの通知を装う「ばらまき型」メールの添付ファイルでオンラインバンキングトロイやランサムウェアなどに感染させるもの、また、学術・開発研究機関を中心に「人事異動」「同窓会」などの件名があるメールで情報搾取型のマルウェアを侵入させるといった手口が多いという。

　「ばらまき型」メールの添付ファイルには、外国語文章によるものではJavaScript（.js）、日本語文章では実行形式（.exeなど）を圧縮している場合が多かったという。情報搾取型のマルウェアでは遠隔操作機能を持つ「ZACOM3」が検知され、2014年頃から国内や台湾で検知されるものと類似性が認められるとしている。

　活動実績を踏まえてIPAは、マルウェア感染を前提に標的型対策を講じるべきとし、ログを利用した検知や調査方法の整備、セキュリティ情報を組織間で共有する活動への参加が重要になると指摘。ITシステムの構成を把握し、ファイアウォールやプロキシサーバでの適切な設定、不審なメールな受信した時の対応手順の整備、インシデント発生時の組織的な対応体制の確立など、危機管理対策として取り組むべきだとした。

　特にログ活用は、ファイアウォールやプロキシサーバのログにマルウェア通信などの痕跡が残る場合があり、通常時に出力されるログを把握した上で定期的に調査を行い、通常とは異なる不審なログを見つけ出せるようにする。ログはシステムによって形式や種類などが違うため、ログ調査を繰り返しながら組織に合わせた調査方法を確立することが望ましいとアドバイスしている。

　DNSサーバのログも、名前解決の記録と不正通信先リストとの照合することでマルウェア感染状況の把握や原因究明に役立つとし、ファイアウォールなどと組み合わせて、採種に必要なログの種類や期間などを定めるべきという。

　標的型攻撃への対応では、相談内容や手口など特徴の情報の利用が早期の検知や被害抑止の行動につながるため、IPAは情報共有の“輪”を広げることが必要不可欠だとする。社会全体でサイバー攻撃への対応能力を向上していくためにも、セキュリティ情報の共有活動へ積極的に参加してほしいと呼び掛けた。