情報処理推進機構(IPA)は2013年4月17日、標的型攻撃の防御に向けた情報共有の枠組みである「サイバー情報共有イニシアティブ(J-CSIP、ジェイシップ)」の活動レポートを公開した(写真)。活動開始から1年で246件の情報提供を受け、参加組織へ160件の情報を提供した。
J-CSIPは標的型サイバー攻撃への対抗施策として2011年10月に発足し、2012年4月に活動を開始した。秘密保持契約(NDA)に基づくことで情報を提供しやすくし、IPAが情報を分析し参加組織と共有する(図1)。現在、重要インフラ機器製造業者、電力、ガス、石油、化学の5業界から39組織が参加している(関連記事:官民でサイバー攻撃の情報を共有、三菱重工など10社が参加し発足)。
IPAでは、「『攻撃間の相関についての分析結果を共有することにより、今後想定される攻撃への対策立案につながった』、『共有情報をヒントに、発見できていなかったウイルス付き攻撃メールを見つけ出し、被害発生前の駆除に成功した』、『ウイルスによって発生する不正通信の接続先情報を活用して、各組織における通信遮断策へ反映した』などの効果があった」(IPA 技術本部セキュリティセンター 情報セキュリティ技術ラボラトリー 主任 松坂志氏)としている。
また不審メールを集計したところ、以下のような実態が明らかになった。
- 送信元地域は、1位が韓国、2位が日本、3位が米国で、この上位3カ国で全体の半数(図2)
- ウイルスの不正接続先地域の1位は米国で全体の3割弱、2位~5位は香港、中国、韓国、日本
- 手口は添付ファイルが全体の8割弱を占め、URLリンク(リンク先からウイルスなどをダウンロードさせるもの)、情報収集(送信先メールアドレスの存在の確認などが目的と思われるもの)がそれぞれ約1割
- 添付ファイルはOffice文書が45%、実行ファイル(exe)が45%
ただしIPAの松阪氏は、「ウイルスや不正アクセスによって乗っ取ったマシンを悪用したり、国外のマシンを経由してメールを送信する場合も多く、この統計がただちに攻撃者の所在地を示すものではない」と、注意を促していた。