HOMEIPAについて新着情報プレス発表 注意喚起:本年8月から10月に「やり取り型」攻撃を国内5組織で新たに観測

本文を印刷する

IPAについて

プレス発表 注意喚起:本年8月から10月に「やり取り型」攻撃を国内5組織で新たに観測

― 2012年観測時と同一と思われる攻撃者が、より巧妙な文面でウイルスメールを送信 ―

2014年11月21日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、J-CSIP (*1)とJ-CRAT (*2)の一連の活動により、標的型サイバー攻撃の手口の一つである「やり取り型」攻撃 (*3)が、2014年8月から10月にかけ、再び、国内の複数の組織に対して行われたことを確認しました。また、メールの添付ファイルを開封させ、ウイルスに感染させるための「やり取り」が巧妙さを増していることから、特に各組織の外部向け窓口の担当者へ向けて注意を呼びかけます。

 URL: http://www.ipa.go.jp/security/topics/alert20141121.html


 「やり取り型」攻撃とは、標的型サイバー攻撃の一種で、一般の問い合わせ等を装った無害な「偵察」メールの後、ウイルス付きのメールが送られてくるという手法を指します。利用者のパソコンに遠隔操作を可能とするウイルスを感染させ、そのパソコンを起点に組織内部のネットワークへ侵入し、情報窃取等の諜報活動を行うことを目的としています。
 攻撃メールの多くは、その内容を確認し、対応することを業務とする外部向け窓口部門等に対して送りつけられます。そして、窓口担当者とのメールでのやり取りの過程で添付ファイル(ウイルス)を開封させ、受信者のパソコンへ感染させるべく、辻褄の合う会話とともに、ウイルスの形態を変化させながら、重ねてメールを送信してくる執拗さが特徴です(下図)。


図 「やり取り型」攻撃のイメージ

 IPAではその「やり取り型」攻撃を、この一年間、ほとんど確認していませんでしたが、J-CSIP、J-CRATの活動から、2014年8月から10月にかけ、少なくとも国内の5つの組織に対し、再び同等の攻撃が計7件発生したことを確認しました (*4)

 また、メールの送信元IPアドレスが2012年7月に確認されたものと一致していたことなどから、当時と同一の攻撃者(またはグループ)によるものと推測されます。
 別紙に本年8月と10月に発生した事例を示します。これらは、「J-CSIP 2013年度 活動レポート」で取り上げた事例に比べ、①「メールの添付ファイルを開かせるために様々な理由を取り繕う」、②「時には強引に添付ファイルを開かせることよりも、相手に自分を信用させ、次の攻撃機会をうかがうことを優先する」と思われる行動を取るなど、一段と手口が巧妙化していることが伺えます。
 人間の心理を悪用するため、決定的な有効策はありませんが、下記のような個人の意識向上と組織体制を整えることでリスクを大幅に低減させることが可能です。

対策

(1) 攻撃の手口に対する周知の徹底

攻撃者は、組織や窓口ごとに異なるもっともらしい話題を持ちかけてくることから、特定の件名(テーマ)や添付ファイルの名称に着目するのではなく、攻撃の手口を理解し、受信メールに注意を払う。特に、外部向けに公開している窓口のメールアドレスやウェブの問い合わせフォーム等に対応する部門への周知を徹底する。

(2) 不審メール受信時の連絡および組織内情報共有・集約体制の整備

組織内で情報を集約・対応する体制を整え、不審なメールを受信した際は、添付ファイルやメール内のURLリンクを開く前に管理部門へ報告し、管理部門ではメールの内容を精査し、同様のメールが他部門にも着信していないか確認する。

(3) 外部からの不審な添付ファイルの安全な確認方法の検討

特に外部向け窓口等については、不審なメールや添付ファイルであっても、業務上、その内容を確認せざるをえない場合が多々あるため、組織内ネットワークから隔離したパソコンや、仮想環境(仮想マシン)を使い、メールを開封するなど、ファイル確認用の安全な環境を用意する。

 また、ウイルス感染を完全に阻止することは難しく、万が一に備えたシステムにおける「内部対策」が重要です。IPAでは、「『高度標的型攻撃』対策に向けたシステム設計ガイド」(*5)を作成、公開し、システム面からの対策・普及にも取り組んでいます。

「標的型サイバー攻撃の特別相談窓口」(*6)
 限られた対象にのみ行われる標的型サイバー攻撃の手口や実態を把握するため、IPAでは、一般利用者や企業・組織向けの「標的型サイバー攻撃の特別相談窓口」を設け、標的型攻撃メールを含む標的型サイバー攻撃全般の相談や情報提供を受け付けています。

脚注

(*1) J-CSIP:Initiative for Cyber Security Information Sharing Partnership of Japan。 公的機関であるIPAを情報ハブ(集約点)の役割として、参加組織間で情報共有を行い、高度なサイバー攻撃対策に繋げていく取り組み。

(*2) J-CRAT: Cyber Rescue and Advice Team against targeted attack of Japan。 標的型攻撃に気付いた組織に対する被害拡大と再発の抑止・低減、攻撃連鎖の遮断を目的とする支援活動。

(*3) 無害なメールのやり取りの後でウイルス付のメールを送信してくる手口。

(*4) 「偵察」メールが無く、最初からウイルスが添付されたメールが届く事例も確認しています。

(*5) https://www.ipa.go.jp/security/vuln/newattack.html

(*6) https://www.ipa.go.jp/security/tokubetsu/index.html

プレスリリースのダウンロード

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター 松坂/入澤

Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail: 電話番号:03-5978-7527までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部 広報グループ 横山/白石

Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 電話番号:03-5978-7503までお問い合わせください。