HOME情報セキュリティ届出・相談・情報提供J-CRAT/標的型サイバー攻撃特別相談窓口

本文を印刷する

情報セキュリティ

J-CRAT/標的型サイバー攻撃特別相談窓口

最終更新日:2015年8月5日

独立行政法人情報処理推進機構
セキュリティセンター


IPAでは、2008年9月から標的型攻撃メールの相談窓口として「不審メール110番」(2010年10月から「情報セキュリティ安心相談窓口」に統合)を設置し、2011年10月には、標的型サイバー攻撃を受けた際に、専門的知見を有する相談員が対応する「標的型サイバー攻撃特別相談窓口」を設置し、相談を受け付けています。2014年7月には、標的型サイバー攻撃を受けている組織の対応を支援するサイバーレスキュー隊(J-CRAT)を発足させています。

標的型サイバー攻撃では、事象の発生や結果を集約し分析することで、個々の攻撃のみからは分からない攻撃手口や傾向をとらえていくことが必要です。特に、標的型メール攻撃については限られた対象にのみ行われています。そのため、その手口や実態を把握するために、標的型攻撃メールを受け取った場合は、ぜひ「標的型サイバー攻撃特別相談窓口」へ、メールヘッダを含むメール全体(ヘッダや添付ファイルを含むもの。eml形式やmsg形式)の情報提供をお願いします。
また、標的型攻撃メールについてご相談いただく場合は、把握できる範囲内で、次の項目を整理してからご連絡いただけますと幸いです。

標的型攻撃メールを受け取った場合

標的型攻撃メールと思われるメールを受信した場合は、各所属組織で決められた連絡先(システム担当部署や、セキュリティインシデント対応部署)へ連絡し、あわせて「標的型サイバー攻撃特別相談窓口」にご連絡ください。
IPAが当該メールを調査する必要があると判断した場合は、「標的型サイバー攻撃特別相談窓口」から折り返し連絡をします。
標的型攻撃メールについて相談する場合は、把握できる範囲内で、次の項目を整理してからご連絡いただくと、すみやかに対応することができますので、ご協力をお願いします。

  1. いつ届いたメールか
  2. 送信者の組織名やメールアドレスと送信者への確認の結果
  3. 使用しているセキュリティ対策ソフトやハードウェア(パソコン、メールサーバ、ウェブプロキシ、ファイアウォール)と検知状況、ウイルス名
  4. メールの件名、添付ファイル名、本文
  5. 同じメールが何人に届き、何人が添付ファイルを実行したか
  6. メールに記載のリンクや、添付ファイルを開いた場合、どのような状態になったか(注意:まだ開いていない場合は開かないでください)
  7. なんらかの被害が生じたか
  8. 感染したパソコンのオペレーティングシステムとアプリケーション(Java JRE、Adobe Reader、Flash Player等)のバージョンと、アップデート状況(常に最新を保っているか)
  9. eml形式やmsg形式でのメール検体情報提供可否
  10. 不正接続先等インディケーターの情報共有可否
  11. 提供情報について(情報提供者に関わる情報を匿名化して)統計値や調査への利用可否
  12. 標的型攻撃メールに使われたマルウェアのセキュリティ対策ソフトベンダ等への提供の可否について

標的型サイバー攻撃特別相談窓口

電 話 03-5978-7599
(電話での受付は、平日の10:00~12:00 および 13:30~17:00)
標的型サイバー攻撃なのかわからない方は、まずは情報セキュリティ安心相談窓口へご相談ください。
E-mail 以下のアドレスへご連絡後、情報提供専用のメールアドレスを連絡いたします。
tokusou@アイピーエー.go.jp
※このメールアドレスに特定電子メールを送信しないでください。
郵 送 〒113-6591
東京都文京区本駒込2-28-8
文京グリーンコート センターオフィス16階
IPAセキュリティセンター 標的型サイバー攻撃特別相談窓口
  • 迷惑メール対策などで「メールの受信/拒否設定」が設定されている場合、IPAからのメールを受信できない場合があります。
    IPAからの返信メールを受信できるように、「tokusou@アイピーエー.go.jp」や「ipa.go.jpドメイン」からのメールを受信できるように設定をしてください。
    なお、宛先エラーなどで戻ってきた場合は、IPAから再度連絡は行わないことを予めご了承下さい。

自分のメールアカウント、または自組織のメールシステムから標的型攻撃メールが送られた場合

メール接続アカウントが窃取され、知らない間にメールシステムへ不正にログインされて標的型攻撃メールが送られた場合、速やかに以下の処置を行ったうえで、情報を整理していただきIPAへご連絡ください(整理途中での相談でもかまいません)。

  • 標的型攻撃メールの入手(メール全体(ヘッダ付)が望ましいですが、最低限、差出人、宛先、本文及び件名といった情報を入手してください)
  • 組織として、外部に「おしらせ」を公開するか、関係者のみに注意を促すか

自分の名前や組織を騙る標的型攻撃メールが見つかった場合

自分の名前や組織を騙る標的型攻撃メールが見つかった場合、以下の処置を行ったうえで、情報を整理してIPAへご連絡ください(整理途中での相談でもかまいません)。

  • 標的型攻撃メールの入手(メール全体(ヘッダ付)が望ましいですが、最低限、差出人、宛先、本文及び件名といった情報を入手してください)
  • 組織として、外部に「おしらせ」を公開するか、関係者のみに注意を促すか

標的型攻撃メールの見分け方

IPAでは、情報窃取等を目的として、ごく少数または多数ながら特定された範囲のみに対して送られる、利用者のPCをマルウェアに感染させることを目的としたメールを標的型攻撃メールと呼んでおり、次のような特徴があります。

  • メールの受信者に関係がありそうな送信者を詐称する
  • 添付ファイルや本文中のURLリンクを開かせるため、件名・本文・添付ファイルに細工が施されている
    (業務に関係するメールを装ったり、興味を惹かせる内容や、添付ファイルの拡張子を偽装するなど)
  • ウイルス対策ソフトで検知しにくいマルウェアが使われる

一般には次のような件名、本文から構成される事例が多く見られます(NCCICの標的型メール攻撃に関するアドバイザリに一部IPAで加筆)。

  • 社内の連絡メールを装うもの(ファイルサーバのリンクを模すケースを含む)
  • 関係省庁や、政府機関からの情報展開を模すもの(連絡先、体制、会見発表内容など)
  • メディアリリース
  • 合併や買収情報
  • ビジネスレポート/在庫レポート/財務諸表
  • 契約関連
  • 技術革新情報
  • 国際取引
  • 攻撃者に関する情報
  • 自然災害
  • ウェブなど公開情報を引用したもの
  • 政府/業界イベント
  • 政府または産業における作業停止
  • 国際的または政治的なイベント
引用元:
NCCIC ADVISORY, TARGETED PHISHING ATTACKS, April 6, 2011
U.S. Department of Homeland Security
NCCIC (National Cybersecurity & Communications Integration Center)

また、IPAでは、実際の標的型攻撃メールを基にした例を用いて、その見分け方を解説したレポート「標的型攻撃メールの例と見分け方」を2015年1月9日に公開しましたので、 こちら をご参照ください。