第3章 サイバー空間の安全の確保

3 技術支援と解析能力の向上

(1)サイバーフォースの役割

警察では、深刻化するサイバー事案に対処するため、攻撃の対象となったサイバーセキュリティ上のぜい弱性に関する情報や、標的型メール攻撃等の犯行手口に関する情報等を、捜査活動及び事業者との情報交換を通じて把握・分析し、被害の未然防止及び拡大防止に努めている。

近年のサイバー事案をみると、国家を背景に持つサイバー攻撃集団による高度な攻撃が引き続き発生しているほか、新たなぜい弱性とその対策が日々発見されており、それに応じて用いられる手口も次々と変化している。

このような情勢に対応するため、警察では、都道府県警察のサイバー事案対策部門に技術的な面から支援を行う部隊であるサイバーフォースを、警察庁及び全国の情報通信部(注1)にそれぞれ設置している。サイバーフォースは、個々の重要インフラ事業者等に対する脅威情報の提供や助言、サイバーテロ対策協議会(注2)での講演、サイバー事案発生を想定した共同対処訓練を実施するなどして、官民連携の強化に努めている。また、サイバー事案発生時には、都道府県警察と連携し、被害状況の把握、被害拡大の防止、証拠保全等について技術的な緊急対処を行っている。

注1:15頁(特集)参照

注2:131頁参照

 
図表3-9 サイバーフォースの役割と活動
図表3-9 サイバーフォースの役割と活動

さらに、警察庁のサイバーフォースセンターは、全国のサイバーフォースの司令塔の役割を担っており、サイバー事案発生時には被害状況の把握等を行う拠点として機能するほか、24時間体制でのサイバー事案の予兆・実態把握、標的型メールに添付された不正プログラムの解析、全国のサイバーフォースに対する指示等を行っている。

(2)サイバー事案の予兆・実態等の把握

① リアルタイム検知ネットワークシステムの運用

サイバーフォースセンターでは、サイバー事案の予兆・実態等を把握することを目的として、平成14年からリアルタイム検知ネットワークシステムを運用している。本システムでは、インターネット上にセンサーを設置し、当該センサーに対して送られてくる通信パケット(注)を収集している。このセンサーは、外部に対して何らサービスを提供していないため、本来であれば外部から通信パケットが送られてくることはないことから、攻撃者が攻撃対象を探索する場合等に不特定多数のIPアドレスに対して無差別に送信される、通信パケットを観測することができる。この通信パケットを分析することで、インターネットに接続された各種機器のぜい弱性の探索行為、当該ぜい弱性を悪用した攻撃、不正プログラムに感染したコンピュータの動向等、インターネット上で発生している各種事象を把握することができる。

注:ネットワークを通して送信される際に分割されるデータのかたまりのことであり、各パケットには、送信先や送信元のIPアドレス等の情報が付加されている。

 
図表3-10 リアルタイム検知ネットワークシステムの概要
図表3-10 リアルタイム検知ネットワークシステムの概要
 
リアルタイム検知ネットワークシステムの運用状況
リアルタイム検知ネットワークシステムの運用状況

本システムは、インターネット上で発生するDoS攻撃(注)を早期に検知するDoS攻撃被害観測機能や、犯罪の温床となっているダークウェブの実態を把握するためにダークウェブ上の情報を収集・分析する機能を備えており、インターネット上の事象の変化等に応じて機能の強化を行っている。

サイバーフォースセンターでは、本システムから得られる情報を用いて、24時間体制でサイバー事案の予兆・実態等を把握し、インターネット利用者がサイバー事案の危険性を正しく認識し、適切な対策を自主的に講じられるよう、分析結果を警察庁ウェブサイトにおいて広く一般に公開している。

注:Denial of Serviceの略。特定のコンピュータに対し、大量のアクセスを繰り返し行い、コンピュータのサービス提供を不可能にするサイバー攻撃

② リアルタイム検知ネットワークシステムによる令和6年中のインターネット観測結果

令和6年中、リアルタイム検知ネットワークシステムのセンサーにより、一つのセンサー当たり約9.1秒に1回という高い頻度で不審なアクセスが行われていることを観測し、その大部分は海外を送信元とするアクセスで占められていた。不審なアクセス件数は増加の一途をたどっており、引き続きサイバー空間をめぐる脅威の情勢は極めて深刻であることがうかがわれる。

検知した不審なアクセスについて、宛先ポート番号(注)に着目すると、1024番以上のポート番号へのアクセスが大きな割合を占めている。IoT機器では、標準設定として1024番以上のポート番号が使用されているものも多いことから、ぜい弱性を有するIoT機器の探索行為やIoT機器に対するサイバー攻撃の脅威が高まっているとみられる。

また、Wi-Fiルーター等を対象とした不審なアクセスが引き続き観測されており、Wi-Fiルーター等のソフトウェアのぜい弱性を狙ったもののほか、設定変更等を行うための管理用のポートに対してユーザ名・パスワードを送信してログインを試行したと疑われるものが観測されている。

注:TCP/IP通信(インターネット等で用いられるネットワーク上でデータを交換する際の取決め)において、利用するサービスを識別するための番号であり、0から65535までが割り当てられている。

 
図表3-11 リアルタイム検知ネットワークシステムにおいて検知した一つのセンサーに対する1日当たりの不審なアクセス件数の推移(令和2年~令和6年)
図表3-11 リアルタイム検知ネットワークシステムにおいて検知した一つのセンサーに対する1日当たりの不審なアクセス件数の推移(令和2年~令和6年)
Excel形式のファイルはこちら、CSV形式のファイルはこちら
 
図表3-12 ポート番号1023以下及び1024以上のポートへのアクセス件数の推移(令和2年~令和6年)
図表3-12 ポート番号1023以下及び1024以上のポートへのアクセス件数の推移(令和2年~令和6年)
Excel形式のファイルはこちら、CSV形式のファイルはこちら

(3)不正プログラムの解析

近年、標的型メールに添付された不正プログラムを用いたサイバー事案が発生しているほか、病院、発電所、化学プラント等の重要インフラの基幹システム等を標的としたランサムウェア(注)を用いたサイバー事案が発生している。

警察庁では、不正プログラムの動作解析や攻撃手口の解明等に資する情報の収集・分析及び機械学習を活用した不正プログラム解析の高度化・効率化に取り組んでいる。

注:116頁参照

 
図表3-13 機械学習を活用した不正プログラム解析の高度化・効率化のイメージ
図表3-13 機械学習を活用した不正プログラム解析の高度化・効率化のイメージ

特に、重要インフラの制御・監視を行う産業制御システムを標的としたサイバー事案への対処能力の強化を図るため、制御システム検証装置等を整備し、実際に不正プログラムを実行させ、その動作を検証するとともに、不正プログラムが動作することで残される証跡等を調査することにより、事案発生時における迅速な原因特定・対処に万全を期している。また、産業制御システムを標的としたサイバー事案を想定した対処訓練に当該装置を活用しているほか、当該装置による検証の結果を踏まえ、関係機関・団体とサイバー事案の未然防止・被害拡大防止対策のための情報交換を実施している。

 
図表3-14 制御システム検証装置の活用例
図表3-14 制御システム検証装置の活用例

第2節 サイバー空間における脅威への対処

前の項目に戻る     次の項目に進む