IPA、今年第2四半期の「サイバー情報共有イニシアティブ(J-CSIP)運用状況」を公表
- 2018/07/31 10:30
- SecurityInsight
IPA(情報処理推進機構)は7月27日、「サイバー情報共有イニシアティブ(J-CSIP)について、今年4月~6月の運用状況を公表した。そのうち、実施件数についての概要は以下のとおり。
今年4月~6月に、J-CSIP参加組織からIPAに対し、サイバー攻撃に関する情報(不審メール、不正通信、インシデント等)の提供件数は191件で、うち標的型攻撃メールとみなした情報は43件だった。
提供された情報の主なものとして、プラント関連事業者を狙う攻撃メールが約8割(34件)を占めている。これは、プラント等の設備や部品のサプライヤーに対し、実在すると思われる開発プロジェクト名や事業者名を詐称し、プラントに使用する資機材の提案や見積もり等を依頼する内容の偽のメールであり、短期間で多岐にわたる文面のバリエーションを確認している。
現時点では、攻撃者の目的が知財の窃取にある(産業スパイ活動)のか、あるいはビジネスメール詐欺(BEC)のような詐欺行為の準備段階のものかは不明だが、ある程度特定の標的へ執拗に攻撃が繰り返されていることから、標的型攻撃の一種とみなして取り扱っている。
このほか、ビジネスメール詐欺が試みられたという事例を引き続き観測。また、国内組織を狙ったと思われる標的型攻撃の情報をIPAで入手し、その手口を分析した。一部の標的型攻撃については、J-CSIP参加組織より提供を受けたものもある。
この四半期に確認したOffice365のアカウント情報を狙ったメールには、宛先組織のドメイン名の一部をメールの本文内で使うといった手口や、特定の組織を狙う攻撃もみられた。また、Drupal6の脆弱性を悪用した攻撃を観測した。
その他、IPAへ以下のような相談・報告事例があった。
1.自組織を騙るばらまき型メールが取引先に対して送られた。2件
2.自組織外で実施している標的型攻撃メール訓練のメールが送られてきた。2件
3.Cisco Smart Install Clientを悪用した攻撃を確認した。1件
4.組織内から外部の不審サイトに不正通信を行っていることを検知した。5件
これらはいずれも業務に少なからず影響が発生するもので、特に1のように、自組織が詐称されて攻撃メールをばらまかれるという事態はいつ発生するか分からない。外部組織からの問い合わせ等に適切かつ迅速に対応できるよう、対応方針や対応手順を定めておくべきである。例えば、情報収集・状況把握の体制の整備、対応窓口の設置、自組織のウェブサイトでの注意喚起の公開等が考えられる。
2は、標的型攻撃メールの疑いありとしてIPAへ提供された不審メールを調査したところ、当該組織外で実施していた標的型攻撃メール訓練のメールが着信したというものだった。今回の2件では特段の問題とはなっていないが、標的型攻撃メール訓練を実施する場合、必要十分な範囲で対象となる組織の情報システム部門等へ事前連絡をしておくべきであろう。
3については、ネットワーク機器の脆弱性を悪用する攻撃であり、事象の発生前にベンダー等から攻撃の増加について注意喚起がなされていた。本件に限らず、自組織が使用している機器や製品の脆弱性情報を適宜入手し、対応を行なう必要がある。
4については、組織内のPCから不審サイトへのアクセスをセキュリティ機器で検知したというもので、これらはいずれも、ウェブ閲覧中に不正な広告があるページを開いたものや、何らかの理由で詐欺サイトのような悪意のあるウェブサイトへ誘導されたものだった。通常業務の中でもこのようなことは発生しうるため、攻撃の被害に遭わないよう、PCのソフトウェアの脆弱性を解消するとともに、不審サイト・詐欺サイト・偽警告7等に騙されないように従業員への教育を行なうことが重要である。