情報処理推進機構(IPA)は5月30日、「サイバー情報共有イニシアティブ(J-CSIP)」の2013年度の活動レポートを公開した。同レポートでは、標的型攻撃の防御に向けた情報共有の運用状況や、標的型攻撃の手口のひとつである「やりとり型」攻撃の分析がまとめられている。

J-CSIPは、公的機関であるIPAが情報ハブの役割を担って参加組織間で情報共有を行い、高度なサイバー攻撃対策につなげるための取り組み。

発表によると、巧妙な「やりとり型」攻撃が2012年以降引き続き発生していることが確認されている。「やり取り型」攻撃とは、一般の問い合わせを装った無害な「偵察メール」のあとにウイルス付きのメールを送るという攻撃手法。

今回分析対象となった「やりとり型」攻撃は、複数の組織のさまざまな問い合わせ窓口に対して実行されており、「偵察メール」は"製品に関する問い合わせ" や"窓口の確認"といった形で送られていたという。「偵察メール」に対して回答した場合は、攻撃者から15分以内程度の短時間で「ウイルス付きメール」が返信されているとのこと。

これらのことから、企業などの窓口は問い合わせのメールへの返信や添付ファイルの内容を確認せざるを得ない点に攻撃者がつけこんでいることや、攻撃をしている間は相手からの返信に応じてメールやウイルスを即時に送信できる状態が保たれていることなどが考察として挙げられている。

「やりとり型」攻撃の事例

J-CSIPの運用状況については、2013年度は新たに7組織が参画し、全体で5業界46組織となった。また、IPAは参加組織から385件(前年比157%)の不審メール等の情報提供を受け、180件(前年比113%)の情報共有を実施したという。

レポートはIPAのWebサイトで閲覧できる。