写真●経済産業省で行われたサイバー情報共有イニシアティブ(J-CSIP)の活動報告
写真●経済産業省で行われたサイバー情報共有イニシアティブ(J-CSIP)の活動報告
[画像のクリックで拡大表示]
図1●サイバー情報共有イニシアティブの概要(J-CSIPの活動レポートより引用)
図1●サイバー情報共有イニシアティブの概要(J-CSIPの活動レポートより引用)
[画像のクリックで拡大表示]
図2●不審メールの送信元の地域別割合(J-CSIPの活動レポートより引用)
図2●不審メールの送信元の地域別割合(J-CSIPの活動レポートより引用)
[画像のクリックで拡大表示]

 情報処理推進機構(IPA)は2013年4月17日、標的型攻撃の防御に向けた情報共有の枠組みである「サイバー情報共有イニシアティブ(J-CSIP、ジェイシップ)」の活動レポートを公開した(写真)。活動開始から1年で246件の情報提供を受け、参加組織へ160件の情報を提供した。

 J-CSIPは標的型サイバー攻撃への対抗施策として2011年10月に発足し、2012年4月に活動を開始した。秘密保持契約(NDA)に基づくことで情報を提供しやすくし、IPAが情報を分析し参加組織と共有する(図1)。現在、重要インフラ機器製造業者、電力、ガス、石油、化学の5業界から39組織が参加している(関連記事:官民でサイバー攻撃の情報を共有、三菱重工など10社が参加し発足)。

 IPAでは、「『攻撃間の相関についての分析結果を共有することにより、今後想定される攻撃への対策立案につながった』、『共有情報をヒントに、発見できていなかったウイルス付き攻撃メールを見つけ出し、被害発生前の駆除に成功した』、『ウイルスによって発生する不正通信の接続先情報を活用して、各組織における通信遮断策へ反映した』などの効果があった」(IPA 技術本部セキュリティセンター 情報セキュリティ技術ラボラトリー 主任 松坂志氏)としている。

 また不審メールを集計したところ、以下のような実態が明らかになった。

  • 送信元地域は、1位が韓国、2位が日本、3位が米国で、この上位3カ国で全体の半数(図2
  • ウイルスの不正接続先地域の1位は米国で全体の3割弱、2位~5位は香港、中国、韓国、日本
  • 手口は添付ファイルが全体の8割弱を占め、URLリンク(リンク先からウイルスなどをダウンロードさせるもの)、情報収集(送信先メールアドレスの存在の確認などが目的と思われるもの)がそれぞれ約1割
  • 添付ファイルはOffice文書が45%、実行ファイル(exe)が45%

 ただしIPAの松阪氏は、「ウイルスや不正アクセスによって乗っ取ったマシンを悪用したり、国外のマシンを経由してメールを送信する場合も多く、この統計がただちに攻撃者の所在地を示すものではない」と、注意を促していた。

[J-CSIPの活動レポートへ]