3 サイバー攻撃対策
警察では、警察庁や都道府県警察に、サイバー攻撃対策を担当する組織を新設するなど体制の強化を行ったほか、外国治安情報機関との捜査や情報収集に関する協力を強化したり、民間事業者等との協力関係を確立して被害の未然防止を図ったりするなど、サイバー攻撃をめぐる新たな情勢に応じた施策に取り組んでいる。
あわせて、都道府県警察に、警備部門、生活安全部門、情報通信部門等の職員により構成される部門横断的な体制を設置するなどして、各部門が連携し、サイバー攻撃の実態解明や被害の未然防止等の総合的なサイバー攻撃対策を推進している。
(1)体制の強化
警察庁では、平成25年5月、サイバー攻撃対策官を設置し、都道府県警察が行う捜査に対する指導・調整、官民連携や外国治安情報機関との情報交換に当たらせるとともに、これを長とするサイバー攻撃分析センターを設置し、サイバー攻撃に係る情報の集約・分析機能を強化している。
さらに、同年4月、政府機関、重要インフラ事業者、先端技術を有する事業者等が多く所在している13都道府県警察において、サイバー攻撃特別捜査隊を設置した。サイバー攻撃特別捜査隊は、サイバー攻撃捜査に関する専門的な知識、技能及び経験をいかし、設置された都道府県におけるサイバー攻撃対策のみならず、他の都道府県警察に対して技能・技術・体制面の支援を行うことにより、全国のサイバー攻撃事案に対する捜査能力の向上を図るほか、情報収集活動の推進や民間事業者等との協力関係の確立においても、中核的な役割を果たすこととしている。
(2)実態解明の推進
警察では、違法行為に対する捜査を推進するとともに、サイバー攻撃を受けたコンピュータや不正プログラムを解析するなどして、攻撃者及び手口に関する実態解明を進めている。サイバー攻撃事案を捜査する過程で攻撃の発信元等が海外のコンピュータであることが判明した場合には、国際刑事警察機構(ICPO(注))等を通じた国際捜査協力の要請を行っているほか、外国治安情報機関等との情報交換を行うことなどにより、サイバー攻撃の実態解明を推進している。
事例
平成24年1月、オランダにおいて、同国の通信事業者の情報システムが外部から不正に侵入され、当該事業者が情報システムの一時停止を余儀なくされたことにより、約200万の電子メールアドレスへの通信が中断されるなど、多くの利用者が影響を受けるサイバー攻撃事案が発生した。我が国の警察が、同国からの捜査共助要請を受け、所要の捜査を行ったところ、攻撃の一部について我が国のコンピュータがいわゆる踏み台となっていた可能性が高いことが判明したことから、オランダ国家警察に捜査結果について情報提供を行うとともに、攻撃の踏み台となったコンピュータの管理者に対してセキュリティ上の指導を行った(宮城)。
外国捜査機関との連携
(3)技術的基盤の整備
① サイバーフォース
警察では、サイバー攻撃対策の技術的基盤として、警察庁情報通信局及び各都道府県情報通信部等(注1)にサイバーフォースと呼ばれる技術部隊を設置しており、都道府県警察に対する技術支援を実施している。また、警察庁のサイバーフォースは、サイバーフォースセンターとして全国のサイバーフォースの司令塔の役割を担っており、サイバー攻撃発生時においては技術的な緊急対処(注2)の拠点として機能するほか、24時間体制でサイバー攻撃の予兆・実態把握、標的型メールに添付された不正プログラム等の分析、全国のサイバーフォースに対する指示等を行っている。
注2:被害状況の把握、被害拡大の防止、証拠保全等
② リアルタイム検知ネットワークシステム
サイバーフォースセンターでは、インターネットとの接続点に設置したセンサーに対するアクセス情報等を集約・分析することで、DoS(注1)攻撃の発生や不正プログラムに感染したコンピュータの動向等の把握を可能とするリアルタイム検知ネットワークシステムを24時間体制で運用している。このシステムにより分析した結果を、インターネット観測結果として重要インフラ事業者等への情報提供に活用するほか、警察庁セキュリティポータルサイト「@police」(注2)で広く一般に公開している。
注2:http://www.npa.go.jp/cyberpolice/
サイバーフォースにおけるリアルタイム検知ネットワークシステムの運用状況
コラム② 平成24年中のインターネット観測結果
サイバーフォースセンターでは、平成24年中に、インターネットとの接続点に設置したセンサーに対して一つのセンサー当たり約5分20秒に1回の割合という高い頻度で日本国内のみならず世界中から不審なアクセスが行われていることを観測した。このことから、一般のコンピュータに対しても、コンピュータの所有者が意図しないアクセスが継続して行われていると推察される。
特に、24年中は、リモートデスクトップ機能を狙ったと思われるアクセスが増加し、23年中の2倍以上になった。リモートデスクトップ機能は、離れた場所にあるコンピュータの管理等のために多く利用され、便利な機能であるが、他人に悪用された場合には、コンピュータを乗っ取られてしまうおそれがある。そのため、他人のコンピュータを悪用しようとする者が悪用できるコンピュータを探索するために無作為にアクセスしていると考えられる。また、リモートデスクトップ機能を狙って攻撃する不正プログラムによるとみられるアクセスも多数観測している。
このようなインターネット上の脅威からの被害を防ぐためには、ウイルス対策ソフトを導入し、パターンファイルを最新の状態に保つとともに、OSやアプリケーションの更新プログラムを最新の状態にしておくなどの基本的なセキュリティ対策をとるほか、リモートデスクトップ機能を利用する場合は、ログイン用パスワードを複雑なものとし、ログイン試行回数の制限を設定するなどの措置を執ることが重要である。
(4)民間事業者等との連携による被害の未然防止
サイバー攻撃に対処するためには、警察による取組のみならず、官民を挙げ、社会全体で対処していくことが重要である。警察では、サイバー攻撃による被害の未然防止及び発生時における的確な対処のため、民間事業者等と協力関係を確立し、その知見を活用するなどの様々な対策を推進している。
事業者との共同訓練
① サイバーテロ対策協議会
警察は、サイバーテロの標的となるおそれのある重要インフラ事業者等との間で構成するサイバーテロ対策協議会を全ての都道府県に設置している。また、この協議会の枠組み等を通じ、個別訪問によるサイバーテロの脅威や情報セキュリティに関する情報提供、民間有識者による講演、参加事業者間の意見交換や情報共有等を行っている。さらに、サイバーテロの発生を想定した共同訓練やサイバーテロ対策セミナーを実施し、サイバー攻撃のデモンストレーションや事案対処シミュレーション等を行うことにより、緊急対処能力の向上に努めている。
このほか、警察では平素から、事業者等に対し、事案発生時における警察への通報を要請するとともに、我が国の事業者等に対するサイバー攻撃の呼び掛け等を警察が認知した場合は、攻撃対象とされた事業者等に対して速やかに注意喚起を行い、被害の未然防止を図っている。
サイバーテロ対策協議会
② サイバーインテリジェンス情報共有ネットワーク
警察は、情報窃取の標的となるおそれの高い先端技術を有する全国約4,900の事業者等との間で、情報窃取を企図したとみられるサイバー攻撃に関する情報共有を行うサイバーインテリジェンス情報共有ネットワークを構築している。警察では、このネットワークを通じて事業者等から提供された情報を集約するとともに、これらの事業者等から提供された情報及びその他の情報を総合的に分析し、事業者等に対し、分析結果に基づく注意喚起を行っている。
不正プログラム対策協議会
③ 不正プログラム対策協議会
警察では、ウイルス対策ソフト提供事業者等との間で、不正プログラム対策協議会を設置しており、不正プログラム対策に関する情報共有を行っている。特に、警察からは、市販のウイルス対策ソフトで検知できない新たな不正プログラムに関する情報や未知のぜい弱性に関する情報を提供し、情報セキュリティ対策の向上を図っている。
④ 不正通信防止協議会
警察ではセキュリティ監視サービス又はセキュリティ事案に対処するサービスを提供する事業者との間で、平成24年8月からサイバーインテリジェンス対策のための不正通信防止協議会を設置しており、標的型メール攻撃等に利用される不正プログラムの接続先等の情報を共有することにより、我が国の事業者等が不正な接続先へ通信を行うことを防止している。
