HOME情報セキュリティ「サイバーレスキュー隊(J-CRAT)分析レポート2015」を公開

本文を印刷する

情報セキュリティ

「サイバーレスキュー隊(J-CRAT)分析レポート2015」を公開

最終更新日:2016年7月8日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

 IPAは、J-CRAT活動を通して実際に入手した相互に関連する標的型攻撃メール群を対象に、攻撃手口や攻撃者の標的(狙い)の分析を行ったレポートを公開しました。
 J-CRATでは、2015年11月の1件の標的型攻撃メールをスタート点に、標的型サイバー攻撃の連鎖(送信元や送付および同報先とそこを足掛かりとした更なる攻撃など)を追跡してレスキュー活動を実施する中で、2016年3月まで継続した攻撃において、44の組織から137件の標的型攻撃メールを入手しました。
 本レポートでは、この攻撃の集合をキャンペーンと呼び、このキャンペーンの分析を行っています。攻撃者の挙動を分析するため、「キャンペーン」のサブセットをオペレーションとして、以下の定義を導入しています:

【一連の攻撃(オペレーション)の定義】
・標的型攻撃メールの差出人、件名、本文、添付ファイルのすべてが同一
・メールの送信間隔に1時間以上の開きが無い

 キャンペーンは16件のオペレーションに分解でき、メール送信元IPアドレス、ウイルスの不正通信先、攻撃先である宛先の組織等に着目した結果、キャンペーンを構成しているオペレーションは以下の相関構造となっています(本レポート、図3.2-1参照)。

オペレーション毎の共通点と相関

 137件の攻撃メールと16件のオペレーションの分析を通して、このキャンペーンにおける攻撃の特徴、攻撃者の挙動、攻撃者の標的(狙い)などを解説しています。この分析を通して、標的としている特定の業界、ある分野の製造業が浮かび上がってきています。
 このキャンペーンへのレスキュー支援活動と分析を通して、組織が備えるべきポイントと、今後のJ-CRAT活動の展開を提言しています。

本レポートの目次

   1. はじめに
   2. 標的型攻撃メールの分析とレスキュー活動
    2.1. 最初の情報提供と分析の開始
    2.2. 標的型攻撃メールの分析と連鎖の追跡
     2.2.1. 類似の攻撃メールのあぶり出し
     2.2.2. 標的型攻撃メールの連鎖を追跡
     2.2.3. 被攻撃組織の攻撃履歴を分析
   3. 標的型攻撃メールに基づく分析
    3.1. 本攻撃における標的型攻撃メールの時系列推移
    3.2. 一連の攻撃(Op:Operation)の定義と分類および相関
    3.3. 本攻撃における標的型攻撃メールの特徴
     3.3.1. 用いられたメールアカウントの特徴
     3.3.2. メールのテーマの分類と特徴
     3.3.3. メール本文の特徴
     3.3.4. 添付ファイルの特徴
   4. 攻撃者の挙動解析と攻撃目的の解明
    4.1. 攻撃者の挙動解析
     4.1.1. キャンペーンにおける挙動解析
     4.1.2. オペレーションにおける挙動解析
     4.1.3. 攻撃時間帯における挙動解析
    4.2. 攻撃対象組織と攻撃目的の解明
     4.2.1. 詐称・踏み台組織と攻撃対象組織の関連
     4.2.2. 攻撃対象組織と目的の分析
   5. まとめ
    5.1. 組織が備えるべきこと ~標的型サイバー攻撃に対する留意点~
    5.2. 今後の活動の展開 ~業界団体との連携の重要性~
タイトル 公開日 ダウンロード
サイバーレスキュー隊(J-CRAT)分析レポート2015

2016年
6月29日

本件に関するお問い合わせ先

IPA標的型サイバー攻撃特別相談窓口 E-mail: