独立行政法人・情報処理推進機構 技術本部セキュリティセンター情報セキュリティ技術ラボラトリー J-CRATサイバーレスキュー副隊長 伊東宏明氏

独立行政法人・情報処理推進機構(IPA)サイバーレスキュー隊(J-CRAT)の副隊長を務めております伊東宏明です。J-CRATは標的型サイバー特別相談窓口を設けて公的機関や業界団体、重要産業組織、重要インフラ事業者、一般企業などからの相談を広く受け付け、助言による支援をしています。本日は1.標的型サイバー攻撃への取り組みと実例2.標的型攻撃メールの見分け方3.添付ファイルの見分け方4.標的型攻撃メールを見つけたらーについて話します。

IPAは2006年から毎年、サイバーセキュリティの専門家からアンケートを取って「情報セキュリティ10大脅威」を発表しています。2016年からは「個人」向けと「組織」向けに分けたランキングを発表しています。最新版の2017年版組織ランキングを見ると1位は標的型攻撃による情報流出、2位はデータにロックをかけて金銭を要求するランサムウェアの被害、3位はウェブサービスからの個人情報の窃取、4位はサービス妨害攻撃によるサービスの停止、5位が内部不正による情報漏えいとそれに伴う業務停止になっています。大きな変化は、昨年は7位だったランサムウェアが2位に上昇したことです。

組織が現在最も脅威を感じている標的型攻撃は古くは2005年に報告があります。2011年には国防にも関わる企業などが攻撃を受けて、大きく報道されました。J-CRATが2014年に発足する遠因にもなった出来事です。2015年にJ-CRATに寄せられた標的型攻撃の相談件数は537、支援件数は160。それまでは共に増加していましたが、2016年度はやや減っています。

2014年4月から2015年3月の1年間に送られた標的型攻撃メールを調べるとフリーアドレスと企業、公的機関のアドレスを乗っ取ったメールが混在していました。ウイルスが添付されているほとんどのファイルは圧縮され、その割合は提供されたメール全体の60%。非圧縮の添付ファイル付きメールは27%。その他URLリンク付きなど添付ファイルの無いものが、13%でした。圧縮タイプの主流は「.zip」、続いて「.rar」になります。最近は「.LZH」という圧縮形式もやや増えています。他にも「.7z」「.arj」「.gz」「.cab」がまれに見られます。

ファイルの中身は実行ファイルの「.exe」が48%。オフィスの脆弱性を使うのが23%。巧妙に騙して「.exe」ファイルをクリックさせるのが主流です。最近はリンク「.lnk」を使ったものも増え始めていて、それがもう一つの主流になる可能性があります。