セキュリティ情報の収集・提供、セキュリティに関する事件・事故(インシデント)の調査や対策支援を行っているJPCERTコーディネーションセンター(JPCERT/CC)は2007年6月21日、スピアー攻撃(標的型攻撃)に関するアンケート調査の結果を発表した。それによると、回答した国内企業・組織の8.2%がスピアー攻撃を受けたことがあるという。
スピアー攻撃とは、特定の企業や組織を狙った攻撃のこと。標的型攻撃とも呼ばれる。スピアー攻撃の典型例の一つは、標的とした企業/組織の社員に向けて、関係者や別の社員を装ってウイルスメールを送信すること。
そのほか、関係者を装ったメールで特定のWebサイトに誘導して個人情報などを入力させるフィッシング詐欺(スピアフィッシング)や、企業のWebサイトにDoS攻撃を仕掛けると脅すメールを送信することも、JPCERT/CCではスピアー攻撃に含めている。
スピアー攻撃が脅威であることの理由の一つは、実態が分からないこと。スピアー攻撃のメールを、外部の人間が入手することはまれだし、狙われた企業は公表したがらないからだ。
そこでJPCERT/CCは2007年3月、上場企業や地方自治体を対象に、スピアー攻撃に関する無記名のアンケート調査を実施した。こういった調査は国内で初めて。今回公表したデータは、この調査結果をまとめたもの。調査では、2000社/組織にアンケート用紙を送付した。有効回答数は282(回答率は14.1%)。
その結果、アンケートに回答した企業/組織の8.2%が、「今までにスピアー攻撃を受けたことがある」と回答。内訳は、(1)「関係者を装ったウイルスメールを受け取った」が6.5%(回答数18)、(2)「スピアフィッシングを受けた」が2.6%(回答数7)、(3)「攻撃を仕掛けるという脅迫メールを受け取った」が1.2%(回答数3)。なお、1社/組織で複数の攻撃を受けているところがあるので、(1)(2)(3)の合計は8.2%よりも大きい。
また、「過去1年(2006年4月から2007年3月)にスピアー攻撃を受けた」と回答した企業/組織は、全体の6.4%。内訳は、(1)が5.4%(回答数15)、(2)が2.5%(回答数7)、(3)が0.8%(回答数2)――だった。
スピアー攻撃の対策として、JPCERT/CCでは、企業や組織間の情報共有が重要であるとしている。新たに確認されたスピアー攻撃の手口を、信頼できる企業/組織間で共有することで、同じような攻撃に備えることができる。
情報共有のためには、その企業/組織のセキュリティの窓口となる「コンピュータセキュリティインシデント対応チーム(CSIRT)」を構築することが重要であるという。CSIRTがある企業/組織では、JPCERTなどが設立した「日本コンピュータセキュリティインシデント対応チーム協議会(CSIRT協議会)」に参加することで、参加企業/組織のCSIRTと情報交換や連携が可能となる。
- JPCERT/CCの発表資料「標的型攻撃について」(PDFファイル)
