JPCERT コーディネーションセンター インシデント相談・情報提供

サイバーインシデントがなくなるその日まで

JPCERT Coordination Center

powered by Yahoo! JAPAN

  • このサイト内を検索
  • ウェブ全体を検索

インシデント相談・情報提供(被害組織/保守・調査ベンダー向け)

最終更新: 2024-03-25

JPCERT/CCでは、インシデント対応に関する相談やインシデントに関する情報提供を受け付けております。
ご相談は、被害組織からだけではなく、調査を支援するセキュリティベンダー、システム運用会社などからも受け付けています(被害組織を秘匿した上での相談方法などは、経済産業省から公表されている「攻撃技術情報の取り扱い・活用手引き」[1]をご参考ください)。サイバー攻撃の高度化やランサムウェア攻撃の広がりにより、断片的な情報でインシデント対応の判断をしなければならない事案が増えており、被害組織やファーストレスポンダー(運用保守会社等)だけの知見では対応が困難なケースが増えています。JPCERT/CCでは、このような事案におけるインシデント初動対応支援やセカンドオピニオンも行っていますので、ぜひご相談ください。
情報提供につきましては、必要に応じて注意喚起やインシデント対応などインターネットの安全につながる活動に活用いたします。

[1] 経済産業省「攻撃技術情報の取り扱い・活用手引き」
https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/cyber_attack/20231122_report.html

Consultation flow

相談・情報提供について

JPCERT/CCに相談・情報提供をご検討中の方は、依頼前に以下をご一読ください。

受け付けている相談
 JPCERT/CCで受けている相談の例を以下に示します。

1. インシデント初動対応支援の相談
インシデント発生時の初期段階において、必要な調査、対応方針の検討、被害箇所の特定方法について相談したい。(インシデントの深刻度や複雑さなどによっては、マルウェア分析、ログ分析、フォレンジック調査などの方法をもちいて、インシデント調査をサポートする場合があります。インシデントの進行具合や内容によっては、セキュリティベンダーへの相談をお願いする可能性があります)
2. 侵入型ランサムウェア攻撃の被害相談
侵入型ランサムウェア攻撃によりファイルが暗号化されたり、攻撃者によって情報がリークされた場合のインシデント対応の初動段階での対応方法について相談したい。
ランサムウェアの種別を特定し、初期侵入経路を推測、種別に応じた初動対応方法を知りたい。
暗号化されたファイルが復号できる可能性があるかを知りたい。(復号作業やシステムの復旧作業支援までは行っていません。)
今後同じアクターから再度攻撃を受ける可能性の有無を知りたい。
リークサイト掲載等、外部に情報が開示される可能性を知りたい。
都道府県警や所管省庁、個人情報保護委員会等への報告・届出対応について相談したい。

相談を検討されている方は、侵入型ランサムウェア攻撃を受けたら読むFAQもあわせてご確認ください。
3. インシデント調査のセカンドオピニオン
インシデント調査・対応・対策が一通り終了したが、対応に不備がないか助言・サポートが欲しい。(セキュリティ対策製品の選定や導入については、セキュリティベンダーへお問い合わせください。)
4. 類似インシデントの問い合わせ・照会
調査・対応したインシデントに関して、類似のインシデント情報がないかを聞きたい。(類似のインシデントがあった場合は、詳細やIoC情報などを提供します。)
情報共有活動に参加していないが、情報共有活動に情報を提供してフィードバックを得たい。または、既存で参加している共有活動以外の他の情報共有活動で類似インシデントに関する情報がないか照会をかけたい。(情報共有活動や代理組織を通じた照会方法については、サイバー攻撃被害情報に係る共有・公表ガイダンス[2]をご参照ください。)
5. インシデントのアトリビューションサポート
調査・対応したインシデントに関して、攻撃主体の特定や攻撃の目的、今後想定される攻撃手法について相談したい。
6. 高度サイバー攻撃(標的型攻撃)に関するインシデント調査の相談
高度サイバー攻撃のインシデント調査(被害範囲の特定、侵入経路の調査、攻撃アクターの特定など)について相談したい。
高度サイバー攻撃への対処について、詳しくは高度サイバー攻撃(標的型攻撃)に関する連絡をご覧ください。
7. マルウェア感染、不正アクセスに関する相談
マルウェアに感染した際の駆除方法、復旧方法について相談したい。
サーバーへの侵入やDoS 攻撃が発生した際の対処について相談したい。
8. インシデント被害の公表に関する相談
発生したインシデントの公表や関係組織への連絡について相談したい。(インシデントの公表については、NISCが公開しているサイバー攻撃被害に係る情報の共有・公表ガイダンス[2]もあわせてご確認ください。)
9. その他インシデントに関する各種相談
インシデント対応についてご不明な点は、お気軽にご相談ください。

[2] サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会「サイバー攻撃被害に係る情報の共有・公表ガイダンス」(PDF)
https://www.nisc.go.jp/pdf/council/cs/kyogikai/guidance2022_honbun.pdf

Topへ

受け付けている情報提供

インシデント対応やリサーチで得た各種インシデントまたは脅威情報に関する情報提供を受け付けております。提供された情報は、被害拡大防止や他の被害現場での調査に活用、JPCERT/CCからの注意喚起やレポートなどに利用いたします。受け付けている情報提供の例を以下に示します。

1. インシデントのIoC・TTP情報
マルウェアの通信先・ハッシュ値、攻撃者の使用したツール・脆弱性、攻撃者の攻撃元IPアドレスなど
2. インシデント調査結果・レポート
インシデント調査の結果やマルウェア分析レポート、フォレンジック調査レポートなど
3. マルウェア、攻撃ツールなど
マルウェア、攻撃ツールなどインシデント調査で確認したファイル
4. 脆弱性の悪用疑義に関する情報
インシデント調査の結果確認した、悪用された脆弱性情報やツールなど

Topへ

連絡方法

相談・情報共有には次の方法があります。※原則として電話での報告は受け付けておりません。

電子メールでの報告
 電子メールによる報告の場合には、次の様式に必要事項を記入し、以下のメールアドレスにお送りください。

電子メール info@jpcert.or.jp (PGP 公開鍵)

インシデント報告様式の記入方法、記入例については、 こちら をご参照ください。

Topへ

情報の取り扱いについて

お送りいただいたすべての情報について、機密保持を厳守しています。何らかの理由により情報の開示が必要になった場合であっても、ご報告いただいた方からの明確な開示の許諾をいただかない限り、個別の事象が類推できるような情報を開示することはありません。

また、報告に含まれる個人情報の取り扱いにつきましては、JPCERT/CCの プライバシーポリシー に準拠します。 個人情報は、インシデント連絡についての確認、進行、終了などの業務連絡を行う目的のためにのみ利用いたします。 個人情報以外の情報につきましては、インシデントの拡大防止などの活動やJPCERT/CCからの情報発信における一つの判断材料として活用いたします。 また、提供いただいた情報はインシデントごとに分類し、報告者のプライバシーを侵害することがないように配慮した上で、四半期の活動概要インシデント報告対応レポート、注意喚起および弊センターブログなどに利用いたします。

<注意>
JPCERT/CCの活動は、特定の個人や組織の利益を保証することを目的としたものではありません。個別の問題に関するお問い合わせ等に対して、必ずお答えできるとは限らないことをあらかじめご了承ください。

JPCERT/CCの活動内容に関してご意見やご希望、お問い合わせ等先につきましては、 こちらをご参照ください。

Topへ

依頼・相談する

おすすめ情報