独立行政法人 情報処理推進機構(IPA)は8月22日、「サイバー情報共有イニシアティブ(J-CSIP) 運用状況 [2023年4月~6月]」を公開した。J-CSIP(ジェイシップ)は、IPAを情報ハブとして参加組織間で情報共有を行い、高度なサイバー攻撃対策につなげる取り組み。
参加組織は、全体で13業界の279組織および2つの情報連携体制(医療業界4団体およびその会員約5,500組織、水道関連事業者等9組織)の体制となっており、前四半期から増減はなかった。
同四半期における情報提供件数は26件で、このうち標的型攻撃に関する情報(攻撃メールや検体等)とみなしたものは3件であった。このほか、電話を併用したビジネスメール詐欺(BEC)、偽造文書を使用したBEC、サイトへの不審なアクセス、情報提供元の組織を騙るフィッシングメールおよびフィッシングサイトなどの報告があった。
特にBECについては、「複数組織へ行われたCEOを詐称する一連の攻撃」と「『日本語化(多言語化)』されたCEO詐欺の攻撃」は複数の報告があり、IPAでも独自調査で類似メール検体を複数入手している。レポートでは、電話を併用する攻撃と偽造文書を使う攻撃の2つのBEC攻撃の事例について詳しく説明している。
このうち電話を併用する攻撃では、2023年5月にJ-CSIPの参加組織(A社)の海外関連会社(B社)の社長(外国人)に対し、A社の会長および専務になりすました攻撃者(ともに日本人)から、偽のメールと電話が着信した。
メールはA社の会長を名乗り、「機密プロジェクトへの協力を依頼したい。連絡はこのメールを介してのみとして欲しい」という内容であり、文中では実在する会計・法律事務所の従業員の名前も挙げられていた。
同日、A社の専務を名乗る者から「A社会長からメールで連絡した件のフォローアップをしている」と電話があった。しかし、電話を受けたB社の社長は相手がA社の専務ではないことに気づき、指摘したところ電話は一方的に切られた。
その後、B社の社長はA社とB社の関係者に報告を行っている。A社の専務になりすました攻撃者は本人の声を模倣しており、ディープフェイクの手口を使った可能性もあるとしている。
偽造文書を使用したBECでは、2023年5月にJ-CSIPの参加組織の海外取引先の経理担当者に対し、取引における支払先銀行口座の変更を依頼する偽のメールが着信した。本件では、事前に攻撃者が取引に関するメールを盗み見していたこと、その後、攻撃者が短時間で詐称用のドメインの取得と偽造文書等の作成して偽メールを送信していることが特徴となっている。
フィッシングの報告では、フィッシングサイトに情報提供元の組織が使用するロゴを一部改変したものが悪用されていたほか、HTMLのframe要素を悪用し、情報提供元の正規ウェブサイトのコンテンツを読み込むことで、フィッシングサイトを正規のウェブサイトに見せかける細工(クリックジャッキング攻撃)がされていた。
