レポート サイバー情報共有イニシアティブ（JCSIP（ジェイシップ））：IPA 独立行政法人 情報処理推進機構

1

サ

情報共

ニ

テ

J-CSIP

運用状況

[2016

年

4

～6

]

2016年7 29日

IPA 独立行政法人情報処理推進機構

技術本部 キ テ ン

サ 情報共 ニ テ J-CSIP

1

い 2016年4 ～6 運用状況 以 通

1

実施件数

2016年4 ～6 J-CSIP参加組織 IPA 対 標的型攻撃 思わ 不審 等

情報提供 行わ 件数 情報 IPA J-CSIP参加組織へ情報共 実施 件

数 7 SIG 全72参加組織 合算 表1 示

表 1 情報提供 情報共 状況

項番 項目 件数 2016年1 ～3 2015年10 ～12 2015年7 ～9

1 IPAへ 情報提供件数 1818件 177件 723件 88件

2 参加組織へ 情報共 実施件数 33件

※1

39件 34件 33件

※1 等 攻撃 複数情報提供 際 情報共 1件 集約 配付 や 広く無差 ば

断 情報共 対象 い場合等 あ 情報提供件数 情報共 実施件数 差 生

IPA 独自 入手 情報 J-CSIP参加組織へ情報共 行 14件 含

本四半期 情報提供件数 1818件 う 1584件 日本語 ば 型 情報提供 あ 日本語 ば 型 件 や本文 日本語 使わ 国内 一般利用者 攻撃対象 広

く大量 送信 い あ 題材や文章 時間 共 変化 続 信

者 添付 開 う 巧妙化 い 添付 開い 場合 ンサ や ン ン

ンキン 情報窃 行う 感染 あ う 確認 い 前四半期

引 続 J-CSIP 内 い 多数観測 い 標的型攻撃 見 い

い 危険 あ 情報共 行 い

本四半期 1818件 情報提供 う 標的型攻撃 情報 35件 あ 挙 う 注意 要 特徴 見

 本四半期 確認 zip形式 縮 zip 中 ワ 設定 rar形

式 縮 解凍 ワ 記載 テキ 入 い 複数観測

く人 手 ば解凍作業 配送経路 マ ン

検査等 避 攻撃者 更 工夫 凝 結果 思わ

 ン ン サ ビ 似通 ン 使 URL ン 本文 記載

URL ン う 攻撃 確認

 添付 種 割合 図 4 Office 文書 マ 機能 悪用 あ

文書 本文中 効果 施 画像 挿入 画像

内容 確認 い場合 マ 機能 効 い 指示 添え い 文書

1 _IPA

情報 集約点 サ 攻撃等 関 情報 参加組織間 共 組

2

内容 確認 う 指示 従 マ 機能 効化 う 感染

う マ 機能 悪用 以前 多く見 手口 基本的 何 方法 利用

者 マ 効化 ン ッ 必要 あ 攻撃者 工夫 重 い

分

 35 件 う 33 件 い 日本国内 ン サ ビ

使用 い

2

日本語ば

型

傾向

2015年10 頃 国内 多く観測 い 日本語 ば 型 い 前述 通 本四半

期 引 続 J-CSIP 多数観測 い い 着信 業界等 偏 見

広く無差 送信 い う あ 本四半期 マ 運輸

2

や日本郵便 3

配 通知 装 あ

事業者 送 い 本物 様 件 使用 い あ 騙

添付 開 い う注意 必要 あ 残高 確認 願い致 状況一覧表

製造依頼 う 短い件 簡潔 本文 特 和感 い日本語 使 多数観測

添 付 縮 実 行 形 式 あ doc xlsx

pdf 文字列 付 加え 実行形式 あ 気付 い う細工 施 い

参考 本四半期 提供 情報 中 2種類 日本語 ば 型 い 傾

向 表2 示

表2 日本語 ば 型 例

件 残高 確認 願い致

情報提供件数 263件 258件

送信元 262種類 重複 1件 256種類 重複 2件

送信先 着信 263種類 重複 258種類 重複

添付 263種類 重複 258種類 重複

着信日時 252種類 重複 11件 251種類 重複 7件

表2 2種類 い 件 全 送信元 送信先

着信 添付 全 異 い

送信元 使わ 日本人 姓 _ 日本人 @ ISP等 前 .jp 日本人

姓 @ 英数文字列 . ISP 等 前 .jp う 多数確認 い 実 あ 不明 少 く 攻撃者 大量 日本人 使い う

持 い 日本人 使い う 大量 自動生成 可能 あ 示

い 信者 不審 あ 見破 くく 特定 送信元 や添付

ッ 信拒否 い 対策 難 く い 思わ

う 攻撃者 日本人 特徴や 日常的 や 件 文面

い 学習 続 い 伺え ば 型 攻撃 今後 巧妙化 続 防御 く く いく可能性 あ 引 続 注意 必要 あ

2

マ 運輸 注意喚起 - 届 予定e 等 装 不審 注意く い

http://www.kuronekoyamato.co.jp/info/info_160629.html

3

日本郵便 注意喚起 - 日本郵便 装 不審 注意く い

3

3

統計情報

情報提供 不審 や添付 等 い IPA 調査分析 結果得 統

計情報 図1 図4 示 今回 統計対象 2016年4 ～6 提供 情報1818 件 う 標的型攻撃 35件 あ

 送信元地域 図1 香港 80%以 占 い 本四半期 一 攻撃者 思わ

者 攻撃 複数 J-CSIP 参加組織 着信 情報提供 あ 内容 細部

異 い 送信元地域 内訳 偏 数値 い

 不正接続先地域 図2 90%以 占 い 数値 図1 様 一 攻撃

者 送信 思わ 攻撃 添付 不正接続先 一 IP

設定 い う 数値 い

 種 割合 図3 過去 傾向 大 く 変わ 添付 大部分 占

 添付 種 図4 実行 97% いう高い割合 い 多く 前述

通 zip形式 中 ワ 付 rar形式 含 rar形式

中 実行 exe 含 い あ

図1 送信元地域 割合 図2 不正接続先地域 割合

図3 種 割合 図4 添付 種 割合

4

統計情報

補足事項

 FQDN 得 IP や IP 割 振 い 地域 時 共

変化 場合 あ 本統計 不審 等 情報提供 基 IPA 調査 行 時点 得 情報 使用 い

 攻撃 送信元や 不正接続先 マ ン 攻撃者 自身 身元 隠 遠隔操作 や不正 乗 サ や ソコン VPN サ ビ 等 悪用 い 場

合 あ 統計 即座 攻撃者 ン 繋 い

 図 1 不明 ッ 情報 確保 い い ッ 送信元 痕跡

残 い い い 理由 送信元IP 不明 あ あ

 図2 不明 調査 時点 接続先 対応 IP 前解決

い 理由 あ

 図 3 不明 不審 着信 思わ 等 確認

既 削除 い い 理由 内容 確認 あ

 図4 い 添付 縮 等 あ 場合 展開 復号

得 種 集計 い

母集団

サ

N

い

基 い 母集団 サ N い IPAへ 情報提供件数 異 い 理由 示

 全体的 IPA へ情報提供 う 広く無差 ば 断

等 統計対象 外 い 送信元地域 割合 種 割合

情報提供件数 数 少 く

 添付 種 割合 い 1 通 複数 添付 付い い 添

付 あ 明 い 駆除 入手 等

場合 あ 全体 数

 不正接続先 地域 割合 1 添付 複数 生成 1

複数 通信 試 接続先不明 等 場合 あ

他 N 差 生

標的型サ

攻撃特

相談窓口

へ

情報提供

願い

IPA 一般利用者や企業 組織向 標的型サ 攻撃特 相談窓口 標的型攻撃

含 標的型サ 攻撃全般 相談や情報提供 付 い 限 対象 行わ 標

的型サ 攻撃 対 手口や実態 把握 攻撃 検知 方々 情報提供

不可 あ 相談や情報提供 寄 い い

標的型サ 攻撃特 相談窓口 IPA

https://www.ipa.go.jp/security/tokubetsu/