2 技術支援と解析能力の向上
(1)サイバーフォースの役割
警察では、深刻化するサイバー事案に対処するため、攻撃の対象となったサイバーセキュリティ上のぜい弱性に関する情報や、標的型メール攻撃等の犯行手口に関する情報等を、捜査活動及び事業者との情報交換を通じて把握・分析し、被害の未然防止及び拡大防止に努めている。
近年のサイバー事案をみると、国家を背景に持つサイバー攻撃集団による高度な攻撃が引き続き発生しているほか、新たなぜい弱性とその対策が日々発見されており、それに応じて用いられる手口も次々と変化している。
このような情勢に対応するため、警察では、都道府県警察のサイバー事案対策部門に技術的な面から支援を行う部隊であるサイバーフォースを、警察庁及び全国の情報通信部(注1)にそれぞれ設置している。サイバーフォースは、個々の重要インフラ事業者等に対する脅威情報の提供や助言、サイバーテロ対策協議会(注2)での講演、サイバー事案発生を想定した共同対処訓練を実施するなどして、官民連携の強化に努めている。また、サイバー事案発生時には、都道府県警察と連携し、被害状況の把握、被害拡大の防止、証拠保全等について技術的な緊急対処を行っている。
さらに、警察庁のサイバーフォースセンターは、全国のサイバーフォースの司令塔の役割を担っており、サイバー事案発生時には被害状況の把握等を行う拠点として機能するほか、24時間体制でのサイバー事案の予兆・実態把握、標的型メールに添付された不正プログラムの解析、全国のサイバーフォースに対する指示等を行っている。
注1:管区警察局情報通信部(四国警察支局情報通信部を含む。以下同じ。)、東京都警察情報通信部、北海道警察情報通信部、府県情報通信部(四国警察支局の管轄区域内の県情報通信部を含む。以下同じ。)及び方面情報通信部
注2:126頁参照
(2)サイバー事案の予兆・実態等の把握
① リアルタイム検知ネットワークシステムの運用
サイバーフォースセンターでは、サイバー事案の予兆・実態等を把握することを目的として、平成14年からリアルタイム検知ネットワークシステムを運用している。本システムでは、インターネット上にセンサーを設置し、当該センサーに対して送られてくる通信パケット(注1)を収集している。このセンサーは、外部に対して何らサービスを提供していないため、本来であれば外部から通信パケットが送られてくることはないことから、攻撃者が攻撃対象を探索する場合等に不特定多数のIPアドレスに対して無差別に送信される、通信パケットを観測することができる。この通信パケットを分析することで、インターネットに接続された各種機器のぜい弱性の探索行為、当該ぜい弱性を悪用した攻撃、不正プログラムに感染したコンピュータの動向等、インターネット上で発生している各種事象を把握することができる。
本システムは、インターネット上で発生するDoS攻撃(注2)を早期に検知するDoS攻撃被害観測機能や、犯罪の温床となっているダークウェブの実態を把握するためにダークウェブ上の情報を収集・分析する機能を備えており、インターネット上の事象の変化等に応じて機能の強化を行っている。
サイバーフォースセンターでは、本システムから得られる情報を用いて、24時間体制でサイバー事案の予兆・実態等を把握し、インターネット利用者がサイバー事案の危険性を正しく認識し、適切な対策を自主的に講じられるよう、分析結果を警察庁ウェブサイトにおいて広く一般に公開している。
注1:ネットワークを通して送信される際に分割されるデータのかたまりのことであり、各パケットには、送信先や送信元のIPアドレス等の情報が付加されている。
注2:Denial of Serviceの略。特定のコンピュータに対し、大量のアクセスを繰り返し行い、コンピュータのサービス提供を不可能にするサイバー攻撃
リアルタイム検知ネットワークシステムの運用状況
② リアルタイム検知ネットワークシステムによる令和5年中のインターネット観測結果
令和5年中、リアルタイム検知ネットワークシステムのセンサーにより、一つのセンサー当たり約9.4秒に1回という高い頻度で世界中から不審なアクセスが行われていることを観測した。不審なアクセス件数は増加の一途をたどっており、引き続きサイバー空間をめぐる脅威の情勢は極めて深刻であることがうかがわれる。
検知した不審なアクセスについて、宛先ポート番号(注)に着目すると、1024番以上のポート番号へのアクセスが大きな割合を占めている。IoT機器では、標準設定として1024番以上のポート番号が使用されているものも多く、こうしたアクセスの多くは、ぜい弱性を有するIoT機器の探索行為やIoT機器に対するサイバー攻撃であるとみられる。
このほか、Wi-Fiルーターを対象とした不審なアクセスが複数観測された。観測されたアクセスは、Wi-Fiルーターのぜい弱性を狙ったもののほか、Wi-Fiルーターの設定変更等を行うための管理用のポートに対してユーザ名・パスワードを送信してログインを試行したと疑われるものであった。
注:TCP/IP通信(インターネット等で用いられるネットワーク上でデータを交換する際の取決め)において、利用するサービスを識別するための番号であり、0から65535までが割り当てられている。
(3)不正プログラムの解析
近年、標的型メールに添付された不正プログラムを用いたサイバー事案が発生しているほか、病院、発電所、化学プラント等の重要インフラの基幹システム等を標的としたランサムウェア(注)を用いたサイバー事案が発生している。
警察庁では、不正プログラムの動作解析や攻撃手口の解明等に資する情報の収集・分析及び機械学習を活用した不正プログラム解析の高度化・効率化に取り組んでいる。
注:114頁参照
特に、重要インフラの制御・監視を行う産業制御システムを標的としたサイバー事案への対処能力の強化を図るため、大規模産業型制御システム模擬装置等を整備し、実際に不正プログラムを実行させ、その動作を検証するとともに、不正プログラムが動作することで残される証跡等を調査することにより、事案発生時における迅速な原因特定・対処に万全を期している。
また、産業制御システムを標的としたサイバー事案を想定した対処訓練に当該装置を活用しているほか、当該装置による検証の結果を踏まえ、関係機関・団体等とサイバー事案の未然防止・被害拡大防止対策のための情報交換を実施している。
(4)犯罪の取締りのための技術支援体制
情報化社会の進展は、匿名性が高く、追跡が困難なサイバー空間を利用した様々な犯罪の敢行を容易にさせており、こうした犯罪の取締りにおいては、高度な技術的知見が必要となっている。
このため、警察では、警察庁及び全国の情報通信部(注)に情報技術解析課を設置し、都道府県警察等に対し、捜索・差押えの現場でコンピュータ等を適切に差し押さえるための技術的な指導や、押収したスマートフォン等から証拠となる情報を取り出すための解析の実施についての技術支援を行っている。
また、警察庁情報技術解析課に設置された高度情報技術解析センターは、高度で専門的な知識及び技術を有する職員を配置するとともに、高性能な解析用資機材を整備し、破損した電磁的記録媒体からの情報の抽出・可視化、不正プログラムの解析等を行っている。
注:119頁参照
さらに、警察庁では、技術支援体制の強化に向け、全国の情報技術解析部門の限られた人的・物的資源を効率的かつ最大限に活用するため、全国を結ぶネットワークを通じて、高度な解析を実施するためのソフトウェアの共有・利用や相互支援を可能とする解析基盤装置を、令和5年5月から運用している。また、最新の資機材の整備を進めるなど、サイバー事案の対処に必要な資機材の整備・高度化を推進している。
(5)解析能力向上のための取組
近年、不正プログラムを悪用したサイバー事案が多発する中、その手口の巧妙化・多様化により、不正プログラム解析には極めて高い技術力が求められている。また、IoT機器をはじめとする新たな電子機器やそれに関連するサービスの社会への定着、スマートフォン等のアプリの多様化・複雑化、自動運転システムの実現に向けた技術開発等が進む中、警察捜査を支えるためには、最新の技術に対応した解析能力の向上を図っていく必要がある。
このため、警察では、解析手法の開発や資機材の整備、高度な解析技術を持つ職員の育成のほか、犯罪に悪用され得る最先端の情報通信技術の調査・研究を推進している。