2 技術支援と解析能力の向上
(1) サイバー事案対策におけるサイバーフォースの役割
警察では、深刻化するサイバー事案に対処するため、攻撃の対象となったサイバーセキュリティ上のぜい弱性に関する情報や、標的型メール攻撃等の犯行手口に関する情報等を、捜査活動及び事業者との情報交換を通じて把握・分析をし、被害の未然防止及び拡大防止に努めている。
近年のサイバー事案については、国家を背景に持つサイバー攻撃集団による高度な攻撃が引き続き発生しているほか、新たなぜい弱性とその対策が日々発見されており、それに応じて用いられる手口も次々と変化している。
このような情勢に対応するため、警察では、都道府県警察のサイバー事案対策部門へ技術的な面から支援を行う部隊であるサイバーフォースを、警察庁及び全国の情報通信部(注1)に設置している。サイバーフォースは、警備部門や生活安全部門と連携し、個々の重要インフラ事業者等に対する脅威情報の提供や助言、サイバーテロ対策協議会(注2)での講演、サイバー事案発生を想定した共同対処訓練を実施するなどして、官民連携の強化に努めている。また、サイバー事案発生時には、都道府県警察と連携し、被害状況の把握、被害拡大の防止、証拠保全等について技術的な緊急対処を行っている。
また、警察庁のサイバーフォースセンターは、全国のサイバーフォースの司令塔の役割を担っており、サイバー事案発生時には被害状況の把握等を行う拠点として機能するほか、24時間体制でのサイバー事案の予兆・実態把握、標的型メールに添付された不正プログラムの解析、全国のサイバーフォースに対する指示等を行っている。
注1:管区警察局情報通信部(四国警察支局情報通信部を含む。以下同じ。)、東京都警察情報通信部、北海道警察情報通信部、府県情報通信部及び方面情報通信部
注2:123頁参照
(2) サイバー事案の予兆・実態等の把握
① リアルタイム検知ネットワークシステムの運用
サイバーフォースセンターでは、サイバー事案の予兆・実態等を把握することを目的として、平成14年からリアルタイム検知ネットワークシステムを運用している。本システムでは、インターネット上にセンサーを設置し、当該センサーに対して送られてくる通信パケット(注1)を収集している。このセンサーは、外部に対して何らサービスを提供していないため、本来であれば外部から通信パケットが送られてくることはないことから、攻撃者が攻撃対象を探索する場合等に不特定多数のIPアドレスに対して無差別に送信される、通信パケットを観測することができる。この通信パケットを分析することで、インターネットに接続された各種機器のぜい弱性の探索行為、当該ぜい弱性を悪用した攻撃、不正プログラムに感染したコンピュータの動向等、インターネット上で発生している各種事象を把握することができる。
本システムは、インターネット上で発生するDoS攻撃(注2)を早期に検知するDoS攻撃被害観測機能や、ファイル共有ソフトによるファイルの流通状況等の実態を把握するファイル共有ネットワーク観測機能等を備えており、インターネット上の事象の変化等に応じて観測機能の強化を行っている。また、近年では、各種犯罪の温床となっているダークウェブの実態を把握するため、ダークウェブ上の情報の収集・分析ができる機能の開発・導入を行い、ダークウェブ上のウェブサイトを分析しているほか、同機能の強化に向けた研究を進めている。
サイバーフォースセンターでは、本システムから得られる情報を用いて、24時間体制でサイバー事案の予兆・実態等を把握し、分析結果をインターネット観測結果として重要インフラ事業者等へ情報提供しているほか、インターネット利用者がサイバー事案の危険性を正しく認識し、適切な対策を自主的に講じられるよう、警察庁ウェブサイト「@police」(注3)において広く一般に公開している。
注1:ネットワークを通して送信される際に分割されるデータのかたまりのことであり、各パケットには、送信先や送信元のIPアドレス等の情報が付加されている。
注2:Denial of Serviceの略。特定のコンピュータに対し、大量のアクセスを繰り返し行い、コンピュータのサービス提供を不可能にするサイバー攻撃
注3:警察庁ウェブサイト「@police」(https://www.npa.go.jp/cyberpolice/)
リアルタイム検知ネットワークシステムの運用状況
② リアルタイム検知ネットワークシステムによる令和3年中のインターネット観測結果
令和3年中、リアルタイム検知ネットワークシステムのセンサーにより、一つのセンサー当たり約11.8秒に1回という高い頻度で世界中から不審なアクセスが行われていることを観測した。不審なアクセス件数は増加の一途をたどっており、引き続きサイバー空間をめぐる脅威の情勢は極めて深刻であることがうかがわれる。
検知した不審なアクセスについて、宛先ポート番号(注1)に着目すると、1024番以上のポートへのアクセスが大きな割合を占めている。1024番以上のポートは、主にIoT機器が標準設定として使用しているものであることから、こうしたアクセスの多くはIoT機器に対するサイバー攻撃やぜい弱性を有するIoT機器の探索行為であるとみられる。
令和3年上半期にも、本システムにおいて、不正プログラム「Mirai」(注2)の探索行為による不審なアクセスを多数観測したことから、警察庁ウェブサイト「@police」を通じて、IoT機器等の利用者に対し、ユーザ名及びパスワードを推測されにくいものに変更するなどのセキュリティ対策を講じるよう注意喚起を行った。
注1:TCP/IP通信(インターネット等で用いられているネットワーク上でデータを交換する際の取決め)において、利用するサービスを識別するための番号であり、0から65535までが割り当てられている。
注2:IoT機器等に感染しDoS攻撃等を行う不正プログラムの一種
(3) サイバー事案への対処のための不正プログラムの解析
近年、標的型メールに添付された不正プログラムを用いたサイバー事案が発生しているほか、病院、発電所、化学プラント等の重要インフラの基幹システム等を標的としたランサムウェア(注)を用いたサイバー事案が発生している。
サイバーフォースセンターでは、不正プログラムの動作解析や攻撃手口の解明等に資する情報の収集・分析及び機械学習を活用した不正プログラム解析の高度化・効率化に取り組んでいる。
注:3頁(特集)
特に、重要インフラの制御・監視を行う産業制御システムを標的としたサイバー事案への対処能力の強化を図るため、大規模産業型制御システム模擬装置を整備し、実際に不正プログラムを実行させ、その動作を検証するとともに、不正プログラムが動作することで残される証跡等を調査することにより、事案発生時に迅速な原因特定・対処ができるようにしている。
また、産業制御システムを標的としたサイバー事案を想定した対処訓練に当該装置を活用しているほか、当該装置による検証の結果を踏まえ、関係機関・団体等とサイバー事案の未然防止・被害拡大防止対策のための情報交換を実施している。
(4)サイバー事案の取締りへの技術支援
情報化社会の進展は、匿名性が高く、追跡が困難なサイバー空間を利用した様々な犯罪の敢行を容易にさせており、こうした犯罪の取締りにおいては、高度な技術的知見が必要となっている。
このため、警察では、警察庁及び全国の情報通信部(注)に情報技術解析課を設置し、都道府県警察に対し、捜索差押え現場でコンピュータ等を適切に差し押さえるための技術的な指導や、押収したスマートフォン等から証拠となる情報を取り出すための解析を実施する、技術支援を行っている。
また、警察庁に設置された高度情報技術解析センターは、高度で専門的な知識及び技術を有する職員を配置するとともに、高性能な解析用資機材を整備し、破損した電磁的記録媒体からの情報の抽出・可視化、不正プログラムの解析等を行っている。
注:115頁参照
(5)解析能力向上のための取組
近年、不正プログラムを悪用したサイバー事案が多発する中、その手口の巧妙化・多様化により、不正プログラム解析には極めて高い技術力が求められている。また、IoT機器をはじめとする新たな電子機器やそれに関連するサービスの社会への定着、スマートフォン等のアプリの多様化・複雑化、自動運転システムの実現に向けた技術開発等が進む中、警察捜査を支えるためには、最新の技術に対応した解析能力の向上を図っていく必要がある。
このため、警察では、解析手法の開発や資機材の整備、高度な解析技術を持つ職員の育成のほか、犯罪に悪用され得る最先端の情報通信技術の調査・研究を推進している。