メールだけでなくネットワーク経由での侵入も増加--J-CRATレポート（IPA）

IPAは、2018年度下半期の「サイバーレスキュー隊（J-CRAT）活動状況」を発表した。

調査・レポート・白書・ガイドライン調査・ホワイトペーパー

2019.7.25 Thu 8:00

独立行政法人情報処理推進機構（IPA）は7月24日、2018年度下半期の「サイバーレスキュー隊（J-CRAT）活動状況」を発表した。サイバーレスキュー隊（J-CRAT：Cyber Rescue and Advice Team against targeted attack of Japan）は、標的型サイバー攻撃の被害拡大防止を目的に、2014年7月16日に経済産業省の協力のもと、相談を受けた組織の被害の低減と攻撃の連鎖の遮断を支援する活動として発足したもの。

活動結果によると、2018年度（2018年4月～2019年3月）に、「標的型サイバー攻撃特別相談窓口」に対して寄せられた相談件数は413件、緊急を要する事案に対してレスキュー支援を行った件数は127件、オンサイトでの支援件数は31件であった。特徴として、侵入手口として引き続き標的型攻撃メールが使用されたほかに、ネットワーク経由で侵入され攻撃活用が開始されたとみられる事例が複数の組織で確認された。

ネットワーク経由での侵入には、遠隔保守メンテナンス用途で解放されたRDPポートやOpenVNCのサーバ機能を悪用されたと推定されるが、該当端末には標的型攻撃メールのような明確な痕跡が残っていないため、ディスクイメージの調査（ディスクフォレンジックなど）や各種OSの痕跡（ログなど）の調査から推測せざるを得なかったとしている。また、社内用端末を社外に持ち出したことで侵入されたケースや、WebShellと呼ばれるバックドアを設置された事例もあったという。

《吉澤亨史（ Kouji Yoshizawa ）》