情報処理推進機構(IPA)は2014年7月16日、標的型攻撃を受けた組織や企業の被害把握や対応を支援するサイバーレスキュー隊、「J-CRAT(Cyber Rescue and Advice Team against targeted attack of Japan)」を正式に発足させた。標的型攻撃を受けてもその深刻さが分からない、あるいはどこまで被害を受けたか分からないといった組織にアドバイスを行い、被害の拡大や連鎖を防ぐことが目的だ。
IPAは、国内での標的型攻撃被害が相次いで明らかになった直後の2011年10月に「標的型サイバー攻撃特別相談窓口」を設け、標的型攻撃のトリガーとなったメールの分析やそこで用いられるマルウェアの解析結果を基に、アドバイスや関連公共機関/企業との情報共有を行ってきた(関連記事)。J-CRATはこの窓口機能を母体に拡充させ、IPA職員やIT関連企業からの出向者などからなる12名体制でスタートする。
IPA 理事長の藤江一正氏によると、標的型サイバー攻撃特別相談窓口には、発足以来、のべ321件の問い合わせが寄せられてきた。「その対応に当たる中で、いわゆる『やりとり型』の攻撃や表面化しない長期的な攻撃、あるいは関連組織を狙う連鎖攻撃など、標的型攻撃に関する知見が得られている。こうした知見を、国内の団体や企業の防御に生かしてほしい」(同氏)。
事実、IPA 情報セキュリティ技術ラボラトリー長の金野千里氏によると、過去の相談の中には「単にウイルスに感染しただけだと思っていたら、バックエンドのサーバーにまで入り込まれていたケースや、さかのぼってみたら半年以上前から侵入されていたことが発覚したケースもあった」という。
こうした過去の事例を踏まえて金野氏は、「標的型攻撃は、守ろうとしても入り込まれてしまうもの。いかに早く検知し、最終的な被害を食い止めるかという観点を含めた多層防御が必要だ」と指摘し、J-CRATを通じて必要な支援を提供していきたいとしている。
標的型攻撃の連鎖ルートとなる組織に支援
J-CRATが支援対象とするのは、標的型攻撃を受けた場合に社会的に大きな影響を及ぼす組織。具体的には独立行政法人や地方独立行政法人、あるいは国との関係が深い業界団体などだ。また、相談窓口での分析結果から対応が必要と判断した場合には民間企業も対象となる。
標的型攻撃には、「不特定多数ではなく、特定少数を狙う」「長期にわたって潜伏するものもある」といった特徴の他に、「一度侵入した組織だけにとどまらず、関連組織や政府機関など、組織をまたがる攻撃の連鎖が発生する」という傾向も見られる。国家システム全体を守るという観点からは、攻撃の連鎖(チェーン)を上流で断ち切っていくことが重要だ。この連鎖のルートとなり得る独立行政法人や業界団体などに対し、支援を行っていく。
支援内容は、標的型攻撃メールや送られてきたマルウェアの一次解析とそれに基づく被害状況の把握、対策計画の助言などだ。
特別相談窓口に寄せられた相談のうち、緊急性の高いもの、影響範囲の大きそうなものがJ-CRATにエスカレーションされる。標的型攻撃メールのヘッダーや攻撃に使われるマルウェア、あるいはプロキシサーバーのログなどを解析し、感染PCの特定や通信先などの情報を抽出し、どのような対策を実施すべきか助言する流れだ。この解析によって、被害の深刻さを示し、組織が必要な対策に踏み出すための情報を提供する。
さらに、抽出した情報を基に、同じように侵入を受けている可能性の高い端末や組織があると推定した場合は、その組織に対しても情報提供、対策支援を行い、連鎖的な被害を防いでいく。応急処置以降の対策についてはJ-CRATではカバーせず、民間のセキュリティ企業などに任せるが、民間企業ではなく公的な機関が情報を適切に取り扱うことで、複数の組織にまたがる攻撃の連鎖を、協力して解明、遮断していくという。
Copyright© 2014 ITmedia, Inc. All Rights Reserved.