2021年第2四半期 J-CSIPレポート、問い合わせフォームに身代金を要求する脅迫文ほか

独立行政法人情報処理推進機構（IPA）は7月29日、2021年4月から6月の第2四半期における「サイバー情報共有イニシアティブ（J-CSIP）運用状況」を公開した。

調査・レポート・白書・ガイドライン調査・ホワイトペーパー

2021.8.2 Mon 8:05

　独立行政法人情報処理推進機構（IPA）は7月29日、2021年4月から6月の第2四半期における「サイバー情報共有イニシアティブ（J-CSIP）運用状況」を公開した。J-CSIPは、13業界262組織および2情報連携体制（医療系4団体およびその会員約5,500組織、水道関連事業者等9組織）の体制となっている。

　同四半期、J-CSIP参加組織からIPAに対し、サイバー攻撃に関する情報（不審メール、不正通信、インシデント等）の情報提供が369件（前四半期は410件）行われ、その情報をもとにIPAからJ-CSIP参加組織へ40件（前四半期は25件）の情報共有が実施された。このうち標的型攻撃メールとみなした情報は15件であった。

　また同四半期は、Webサイトの問い合わせフォームに身代金を要求する脅迫文の投稿があったとの情報提供があった。これは6月10日に、J-CSIPの参加組織の海外グループ企業の英語の問い合わせフォームに、実在するサイバー攻撃グループを名乗る者から、サーバをハッキングして機密情報を入手したという内容とともに、暗号資産（仮想通貨）を支払わなければ情報を公開するという脅迫文の投稿があり、当該企業で調査を行ったが、攻撃の痕跡は確認されなかったというもの。IPAで、当該攻撃グループのリークサイトを確認したが、その時点で当該企業に関する情報は掲載されておらず、問い合わせフォームからの連絡が不自然であることなどから、ランサムウェア攻撃に便乗した詐欺の可能性が高いと考えている。

　その他、同四半期にはJ-CSIPの参加組織から、工場内に設置した機器のファームウェアアップデート作業時に意図しない通信の発生を検知したという情報提供があった。これは工場内のIT系（OA系）ネットワークに接続・設置した業務用ラベルプリンタについて、メーカーのメンテナンス担当者がファームウェアのアップデート作業を行った際に、LANケーブルを抜線する手順となっていたが行わず、元々当該機器へ割り当てられた固定IPアドレスではなく、別のIPアドレスからパケット送信され、ネットワーク上の不正機器の接続検知の仕組みにより検知されたというもの。。本件は悪意のある通信（攻撃）ではなかっ
たが、通信障害に発展する可能性があった。

　J-CSIPの参加組織から6月29日に、国内関連企業で受信したメールにPowerPoint アドインファイルが添付されており、セキュリティ製品でウイルス検知したと情報提供があった。本件の攻撃メールの本文には、担当者変更を装い添付ファイルの内容で見積もりを依頼する文面があり、当該ファイルを開くと悪意のある命令の実行が試みられ、PowerPoint の警告ウインドウが表示され、「マクロを有効にする」を選択すると、最終的に別のウイルスに感染させられる。