見出し画像

情報セキュリティ白書2022 220924 第2章 情報セキュリティを支える基盤の動向(抜粋) 2.1 国内の情報セキュリティ政策の状況 2.1.2 経済産業省の政策

シン価値創造 石神勝博

情報セキュリティ白書2022 220924

第2章 情報セキュリティを支える基盤の動向
(抜粋)
2.1 国内の情報セキュリティ政策の状況
2.1.2 経済産業省の政策

(5)J-CSIP(サイバー情報共有イニシアティブ)
経済産業省の協力のもと、IPAでは2011年10月から、
官民連携による標的型攻撃への対策を目的として、
J-CSIP(Initiative for Cyber Security Information
Sharing Partnership of Japan:サイバー情報共有イニ
シアティブ)を運用している。
J-CSIP は、日本の基幹産業を担う企業を中心に、サ
イバー攻撃等に関する情報を相互に共有し、サイバー
攻撃の防御とその被害の低減を目指している。2022 年
3 月末日現在、IPAを情報の中継・集約点(情報ハブ)
として 15 の業界から292 の企業や業界団体(以下、組
織)が J-CSIP に参加している。参加の形態としては、
IPAと各組織との間で個別に NDA(Non-Disclosure
Agreement:秘密保持契約)を締結して情報共有を行う
業界単位のグループ(SIG ※ 53)と、規約を基に業界の情
報共有活動を支援するための枠組みである「情報連携
体制」が存在する(次ページ図 2-1-6)。
また、J-CSIP は IPAを通じて、経済産業省やセプター
カウンシル※ 54 の C4
TAP、一般社団法人 JPCERTコー
ディネーションセンター(JPCERT/CC:Japan Computer
Emergency Response Team Coordination Center)
等とも連携している。
J-CSIP では、IPAと参加組織との間でサイバー攻撃
に関する手口や被害の情報、標的型攻撃メール等に関
する情報共有を行っている。なお、J-CSIP の中で共有

される情報は、提供元が明らかにならないよう、情報提
供者の固有の情報を除去するルールがある。
参加組織から提供された、不審なメール、ウイルス※ 56、
攻撃の痕跡等の件数(情報提供件数)、提供を受けた
情報のうち標的型攻撃メール等と見なした件数(標的型
攻撃件数)、及びそれらを基に J-CSIP 内で情報共有を
行った件数(情報共有件数)を表 2-1-2 に示す。年度に
より件数の増減はあるものの、継続して情報提供や共有
が行われていることが分かる。

2021 年度は直近の 3 年間と比較して件数が減ってい
る。これは「Ursnif」やその亜種である「Dreambot」、
また「Emotet」と呼ばれるウイルスへの感染を狙う日本語
の攻撃メールが大量にばらまかれ続けていたが、2021
年度はそれらの攻撃が減少あるいは停止していた時期
が長かったことが影響している。
J-CSIP では、無作為に送信される不審メールやウイ
ルスメール(ばらまき型メール)については、一般的に脅
威の度合いが低いと考えられることから、原則として情
報の提供依頼や共有の対象とはしていない。しかし、
Emotet については、無作為に近い攻撃でありながらも、
窃取した正規メールの文面の流用、パスワード付きZIP
ファイルの悪用といった手口が駆使され、多数の企業・
組織にとって深刻な脅威であると見なせる状況であった
(「1.2.6 ばらまき型メールによる攻撃」参照)。このことか
ら、特に攻撃手口等に大きな変化が確認できた際は、
情報共有の対象とし、各組織に対応を促してきた※ 57。
なお、2017 年頃には Ursnif や Dreambot が巧妙な日
本語の件名のメールで観測されたことから、同様に一部
情報共有を行ってきた。ばらまき型メールと見なせる攻撃
であっても、かつて標的型攻撃で使われていたような巧
妙な手口が取り入れられている傾向があり、状況に応じ、
今後も情報共有を図っていく必要があると思われる。
ビジネスメール詐欺に関しては、2020 年度までと同様、
複数の情報提供を受けた。実被害に至る前に偽のメー
ルであることに気付けた事例もあれば、攻撃者の口座へ
送金してしまった事例もあった。企業間の取り引きのメー
ルに介入したり、CEO(Chief Executive Officer:最高
経営責任者)になりすましたりする等、基本的な騙しの
手口は変わらない(「1.2.3 ビジネスメール詐欺(BEC)」
参照)。ただし細かい点では、送金先の変更を依頼す
る際、新型コロナウイルスの影響であるという嘘をつく等、
時流に沿った騙しの手口の変化が見られた。これらの詳
しい情報をJ-CSIP 内で共有するとともに、情報提供元
の許可が得られた範囲で、事例の一般公開も行った。
このほか、ウイルスに感染させる仕掛けが施された
PowerPoint や Excel のアドインファイルが添付された攻
撃メール、自衛隊の大規模接種センターをかたったフィッ
シングメール等の情報提供があり、それぞれ共有を行った。
全体的には、2016 年度まで観測されてきた、諜報活
動が目的と思われる、日本国内の特定の業界や組織に
向けて多数のメールが送信されるような標的型攻撃は減
少傾向にある。これは、攻撃者がより慎重に、目立たな
いように攻撃を行うようになったためであると考えられる。
また、発端が標的型攻撃メールであるのか、別の方法
であるのか特定できないが、長期に渡って組織内ネット
ワークへ侵入されていたという情報提供もあった。ひそ
かに攻撃を行う攻撃者に一層の注意が必要と思われる。
情報共有活動は、攻撃の痕跡や手口の情報を基に、
防御側で連携して対抗するための重要な施策の一つで
あり、IPA は引き続きJ-CSIP の運用を継続していく。

所感
完全に高度な対策が必要で、組織の在り方も完全に見直し
レベルだと感じる。旧来の組織、仕組みで対応できる論理的な
説明ができない感じだ。特に、悪意があるステルスは、高度な
仕組みが必要だろう。

いいなと思ったら応援しよう!