4　サイバー攻撃への対策

警察庁及び各都道府県警察では、サイバー攻撃対策を担当する組織を設置しているほか、各部門が連携し、サイバー攻撃の実態解明や被害の未然防止等を推進している。また、各国治安情報機関との捜査や情報収集に関する協力を強化したり、民間事業者等との協力関係を確立して被害の未然防止を図ったりするなど、サイバー攻撃をめぐる新たな情勢に対処するための対策に取り組んでいる。

（1）サイバー攻撃対策の推進体制

警察庁では、サイバー攻撃対策室が、都道府県警察が行う捜査に対する指導・調整、官民連携や各国治安情報機関との情報交換に当たるとともに、サイバー攻撃対策室長を長とするサイバー攻撃分析センターにおいて、サイバー攻撃に係る情報の集約・分析を実施している。

また、政府機関、重要インフラ事業者、先端技術を有する事業者等が多く所在する14都道府県警察には、サイバー攻撃特別捜査隊を設置している。サイバー攻撃特別捜査隊は、サイバー攻撃に係る捜査に関する専門的な知識、技能及び経験をいかし、設置された都道府県におけるサイバー攻撃対策のみならず、他の都道府県警察に対して技能・技術・体制面の支援を行うことにより、サイバー攻撃事案に対する警察全体の捜査能力の向上を図っている。このほか、情報収集活動の推進や民間事業者等との協力関係の確立においても、中核的な役割を果たしている。

さらに、警察庁及び地方機関の情報通信部門^（注）にサイバーフォースを設置しており、都道府県警察のサイバー攻撃対策部門に対する技術支援を実施している。また、警察庁のサイバーフォースセンターは、全国のサイバーフォースの司令塔の役割を担っており、サイバー攻撃発生時においては被害状況の把握、被害拡大の防止、証拠保全等の技術支援を行う拠点として機能するほか、24時間体制でのサイバー攻撃の予兆・実態把握、標的型メールに添付された不正プログラム等の分析、全国のサイバーフォースに対する指示等を行っている。

（2）サイバー攻撃の予兆・実態の把握

①　実態解明の推進

警察では、違法行為に対する捜査を推進するとともに、サイバー攻撃を受けたコンピュータやサイバー攻撃に使用された不正プログラムを解析し、その結果や犯罪捜査の過程で得た情報等を総合的に分析するなどして、攻撃者及び手口に関する実態解明を進めている。また、各国治安情報機関との情報交換を行うとともに、ICPO^（注）を通じるなどして、外国捜査機関との間で国際捜査協力を積極的に推進している。

②　リアルタイム検知ネットワークシステム

サイバーフォースセンターでは、インターネットとの接続点に設置したセンサーにおいて検知したアクセス情報等を集約・分析することで、DoS^（注）攻撃の発生や不正プログラムに感染したコンピュータの動向等の把握を可能とするリアルタイム検知ネットワークシステムを24時間体制で運用している。このシステムにより分析した結果をインターネット観測結果として重要インフラ事業者等への情報提供に活用するほか、警察庁ウェブサイト「＠police」で広く一般に公開している。

MEMO　令和元年中のインターネット観測結果

サイバーフォースセンターでは、令和元年中に、インターネットとの接続点に設置したセンサーにおいて、一つのセンサー当たり約20秒に1回の割合という高い頻度で世界中から不審なアクセスが行われていることを観測した。

　

図表3-13　1つのセンサーに対する1日当たりの不審なアクセス件数の推移（平成27～令和元年）

Excel形式のファイルはこちら

令和元年5月中旬にマイクロソフト社から、同社が提供するOSの遠隔操作に使用されるリモートデスクトップサービス^（注1）について、攻撃に成功すると外部から管理者権限で任意の操作が実行可能となるぜい弱性に関する緊急の修正プログラムが公開された。警察では、この情報を受けてリアルタイム検知ネットワークシステムにおいて観測したアクセス情報を分析した結果、同年3月下旬から同年5月下旬にかけて、同サービスを標的とした広範囲の宛先ポート^（注2）に対するアクセスが急増していることを確認したことから、同サービスの利用者に対し、適切なセキュリティ対策を講じるよう注意喚起を行った。

注1：職場等に設置されたコンピュータのデスクトップ環境を、別の場所に設置されたコンピュータ等から閲覧・操作等できるサービス

注2：TCP・UDP/IP通信において、利用するサービスを識別するためのインターフェースであり、0から65535までの番号が割り当てられている。