特集2 サイバー空間の安全の確保

3 技術支援と解析能力の向上

(1)サイバー攻撃対策におけるサイバーフォースの役割

警察では、深刻化するサイバー攻撃に対応するため、攻撃の対象となったサイバーセキュリティ上のぜい弱性に関する情報や標的型メール攻撃等の犯行手口に関する情報等を捜査活動や事業者との情報交換を通じて把握・分析し、被害の未然防止や拡大防止に努めている。

近年のサイバー攻撃は、国家を背景とする高度な攻撃が引き続き発生しているほか、新たなぜい弱性とその対策が日々発見され、それに応じて用いられる手口も次々と変化している。

このような情勢に対応するため、警察では、警察庁及び全国の情報通信部(注1)に都道府県警察のサイバー攻撃対策部門へ技術的な面から支援を行う部隊であるサイバーフォースを設置している。サイバーフォースは、警備部門や生活安全部門と連携し、個々の重要インフラ事業者等に対する脅威情報の提供や助言、サイバーテロ対策協議会(注2)での講演、サイバー攻撃事案発生を想定した共同対処訓練を実施するなどして、官民連携の強化に努めている。また、サイバー攻撃事案発生時には、都道府県警察と連携し、被害状況の把握、被害拡大の防止、証拠保全等について技術的な緊急対処を行っている。

さらに、警察庁のサイバーフォースセンターは、全国のサイバーフォースの司令塔の役割を担っており、サイバー攻撃事案発生時には被害状況の把握等を行う拠点として機能するほか、24時間体制でのサイバー攻撃の予兆・実態把握、標的型メールに添付された不正プログラムの解析、全国のサイバーフォースに対する指示等を行っている。

注1:25頁参照

注2:26頁参照

 
図表特2-16 サイバーフォースの役割と活動
図表特2-16 サイバーフォースの役割と活動
(2)サイバー攻撃の予兆・実態等の把握
① リアルタイム検知ネットワークシステムの運用

サイバーフォースセンターでは、サイバー攻撃の予兆・実態等を把握することを目的に、リアルタイム検知ネットワークシステムを平成14年から運用している。本システムでは、インターネット上にセンサーを設置し、当該センサーに対して送られてくる通信パケット(注)を収集している。このセンサーは、外部に対して何らサービスを提供していないため、本来であれば外部から通信パケットが送られてくることはないが、攻撃者が攻撃対象を探索する場合等に、不特定多数のIPアドレスに対して無差別に送信される通信パケットを観測することができる。この通信パケットを分析することで、インターネットに接続された各種機器のぜい弱性の探索行為やそれらを悪用した攻撃、不正プログラムに感染したコンピュータの動向等、インターネット上で発生している各種事象を把握することができる。

注:ネットワークを通して送信される際に分割されるデータのかたまりのことであり、各パケットには、送信先や送信元のIPアドレス等の情報が付加されている。

 
図表特2-17 リアルタイム検知ネットワークシステムの概要
図表特2-17 リアルタイム検知ネットワークシステムの概要

本システムは、平成16年にインターネット上で発生するDoS攻撃(注1)を早期に検知するDoS攻撃被害観測機能を、平成22年にファイル共有ソフトによるファイルの流通状況等の実態を把握するファイル共有ネットワーク観測機能を、それぞれ開発・導入している。また、平成31年1月には、本システムを更新し、インターネット上の事象の変化等に応じた観測機能を強化した。

サイバーフォースセンターでは、本システムから得られる情報を用いて24時間体制でサイバー攻撃の予兆・実態等を把握し、分析結果をインターネット観測結果として重要インフラ事業者等へ情報提供しているほか、インターネット利用者がサイバー攻撃の危険性を正しく認識し、適切な対策を自主的に講じられるよう、警察庁ウェブサイト「@police」(注2)において広く一般に公開している。

注1:Denial of Serviceの略。特定のコンピュータに対し、大量のアクセスを繰り返し行い、コンピュータのサービス提供を不可能にするサイバー攻撃

注2:警察庁ウェブサイト「@police」https://www.npa.go.jp/cyberpolice/
QRコード 警察庁ウェブサイト

 
図表特2-18 リアルタイム検知ネットワークシステムの運用状況
図表特2-18 リアルタイム検知ネットワークシステムの運用状況
② リアルタイム検知ネットワークシステムによる令和2年中のインターネット観測結果

令和2年中、リアルタイム検知ネットワークシステムのセンサーにおいては、一つのセンサー当たり約13.3秒に1回という高い頻度で世界中から不審なアクセスが行われていることを観測した。不審なアクセス件数は年々増加傾向にあり、サイバー攻撃情勢が深刻化していることがうかがわれる。

 
図表特2-19 リアルタイム検知ネットワークシステムにおいて検知した1つのセンサーに対する1日当たりの不審なアクセス件数の推移(平成28年~令和2年)
図表特2-19 リアルタイム検知ネットワークシステムにおいて検知した1つのセンサーに対する1日当たりの不審なアクセス件数の推移(平成28年~令和2年)
Excel形式のファイルはこちら、CSV形式のファイルはこちら

検知した不審なアクセスの宛先ポート番号(注1)に着目すると、1024番以上のポートへのアクセス件数が増加し続けており、アクセス全体の総数が増加している大きな要因となっている。1024番以上のポートは、主にIoT機器が標準設定として使用しているものであることから、こうしたアクセスの多くはIoT機器に対するサイバー攻撃やぜい弱性を有するIoT機器の探索行為であるとみられる。

令和2年上半期には、本システムにおいて、不正プログラム「Mirai」(注2)の探索行為による不審なアクセスを多数観測したことから、警察庁ウェブサイト「@police」を通じて、IoT機器等の利用者に対し、ユーザ名及びパスワードを推測されにくいものに変更するなどのセキュリティ対策を講じるよう注意喚起を行った。

注1:TCP/IP通信(インターネット等で用いられているネットワーク上でデータを交換する際の取り決め)において、利用するサービスを識別するための番号であり、0から65535までが割り当てられている。

注2:IoT機器等に感染しDoS攻撃等を行う不正プログラムの一種

 
図表特2-20 ポート番号1023以下及び1024以上のポートへのアクセス件数の推移(平成28年~令和2年)
図表特2-20 ポート番号1023以下及び1024以上のポートへのアクセス件数の推移(平成28年~令和2年)
Excel形式のファイルはこちら、CSV形式のファイルはこちら
(3)サイバー攻撃への対処のための不正プログラムの解析

近年、標的型メールに添付された不正プログラムを用いたサイバー攻撃事案が発生しているほか、発電所や化学プラント等の重要インフラの制御・監視を行う産業制御システム等を標的として身代金を要求する不正プログラムを用いた事案等が発生している。

サイバーフォースセンターでは、不正プログラムの動作解析や攻撃手口の解明等に資する情報の収集・分析及び機械学習を活用した不正プログラム解析の高度化・効率化に取り組んでいる。

 
図表特2-21 機械学習を活用した不正プログラム解析の高度化・効率化のイメージ
図表特2-21 機械学習を活用した不正プログラム解析の高度化・効率化のイメージ

特に、産業制御システムに対するサイバー攻撃への対処能力の強化を図るため、大規模産業型制御システム模擬装置を整備し、実際に不正プログラムを実行させ、その動作を検証するとともに、不正プログラムが動作することで残される痕跡等を調査することにより、事案発生時に迅速な原因特定・対処ができるようにしている。

また、産業制御システムのぜい弱性の検証を行うほか、当該装置を活用して関係機関・団体等とのサイバー攻撃の未然防止・被害拡大防止対策の共同研究や産業制御システムへのサイバー攻撃を想定した共同対処訓練等を実施している。

 
図表特2-22 大規模産業型制御システム模擬装置の活用例
図表特2-22 大規模産業型制御システム模擬装置の活用例
(4)サイバー犯罪の取締りへの技術支援

情報化社会の進展は、匿名性が高く、追跡が困難なサイバー空間を利用した様々な犯罪の敢行を容易にさせており、こうした犯罪の取締りにおいては、高度な技術的知見が必要となっている。

このため、警察では、警察庁及び全国の情報通信部(注)に情報技術解析課を設置し、都道府県警察に対して、捜索差押え現場でコンピュータ等を適切に差し押さえるための技術的な指導や、押収したスマートフォン等から証拠となる情報を取り出すための解析を実施する技術支援を行っている。

また、警察庁に設置された高度情報技術解析センターでは、高度で専門的な知識及び技術を有する職員を配置するとともに、高性能な解析用資機材を整備し、破損した電磁的記録媒体からの情報の抽出・可視化、不正プログラムの解析等を行っている。

注:25頁参照

 
図表特2-23 犯罪の取締りへの技術支援
図表特2-23 犯罪の取締りへの技術支援
(5)解析能力向上のための取組

近年、不正プログラムを悪用したサイバー犯罪・サイバー攻撃が多発する中、その手口の巧妙化・多様化により、不正プログラム解析には極めて高い技術力が求められている。また、IoT機器をはじめとする新たな電子機器やそれに関連するサービスの社会への定着、スマートフォン等のアプリの多様化・複雑化、自動運転システムの実現に向けた技術開発等が進む中、警察捜査を支えるためには、最新の技術に対応した解析能力の向上を図っていく必要がある。

そのため、警察では、解析手法の開発や資機材の整備、高度な解析技術を持つ職員の育成のほか、犯罪に悪用され得る最先端の情報通信技術の調査・研究を推進している。

 
スマートフォン解析の様子
スマートフォン解析の様子


前の項目に戻る     次の項目に進む