警察庁は2016年9月15日、2016年上半期のサイバー攻撃の情勢をまとめた資料を公開した。標的型メール攻撃は前年比でマイナスに転じたものの、Linux OS搭載の非PCデバイスなどへの探索行為が急増しており、IoT(Internet of Things)セキュリティ対策の重要性を改めて示す結果が見られた。
2011年、警察庁はサイバー攻撃に対する官民連携の取り組みとして、先端技術を持つ企業7,402社(2016年7月現在)と、企業の情報窃取を企図したと見られるサイバー攻撃に関する情報共有を行う「サイバーインテリジェンス情報共有ネットワーク」を構築している。
(図1)標的型メール攻撃の件数の推移(出展:警察庁)拡大画像表示
そのネットワークを通じて把握した2016年上半期の標的型メール攻撃の件数は1,951件で、2015年下半期の2,356件より405件減少している。攻撃形態としては、多くのターゲットに対して同じ内容の攻撃メールを送り付ける「ばらまき型」が85%を占めた。これは、ここ数年続いている傾向である(図1)。
注意すべきは、標的型メールに添付されたファイル形式だ。2015年はWord文書が目立ったが、2016年上半期は2014年以前の傾向に戻り圧縮ファイルが99%を占めた。2015年下半期は44%だったので2倍以上増えたことになる(図2)。
(図2)標的型メールに添付されたファイル形式の割合(出展:警察庁)拡大画像表示
圧縮ファイルで送付されたファイル形式にも、新たな傾向が見られる。例年、そのほとんどを占めるのが「.exe」の拡張子が付いた実行ファイルで、2016年前半ももっとも多く1,439ファイルあった。これまでexeファイル以外はごく少数だったが、2015年下半期はわずか9件だった「.js」の拡張子が付いたファイルが今回472ファイルも発見されている(図3)。
(図3)圧縮アフィルで送付されたファイル形式の推移(出展:警察庁)拡大画像表示
jsファイルとは、JavaScriptのソースコードを記述したファイルのことで、これまで、「添付されたexeファイルには要注意」とされてきたが、jsファイルにも注意する必要が出てきた。
また、警察庁が24時間体制で運用しているリアルタイム検知ネットワークシステムでは、インターネットとの接続点にセンサーを設置している。このセンサーは各種攻撃を試みるための探索行為を検知できるが、このセンサーに対するアクセス件数が2016年上半期になって急増している。
(図4)センサーに対するアクセス件数の推移(出展:警察庁)拡大画像表示
1日・1IPアドレス当りのアクセス件数は1,119.1件で2015年下半期より346.1件増加している。その増加要因として上げているのが、ルーターや監視カメラを標的とする探索行為の増加だ。主に、Linux OSを搭載したルーターなどの非PCデバイスおよび、これらの機器を踏み台とした攻撃活動と見られる特定のポートへのアクセスが著しく活発化しているという。
ルーターや監視カメラだけでなく、国内メーカー製のPLC(Programable Logic Controller)などの産業制御システムに対する探索行為も観測されている。PLCとは、バルブ、メーター、ファンなどプログラム可能なフィールド機器の監視・制御装置のこと。IoT化により産業機器のネットワーク接続が進めば、同時にリスクも増加していくことを肝に銘じておく必要がある。
