近年、標的型サイバー攻撃という単語が一般化しているが、実際にどのような攻撃者像が、どのような活動をしているかを把握することは難しくなっていると考えられる。特に、ステートスポンサードと呼ばれる、他国が支援する攻撃については、センセーショナルな論調が多く、結果を一元的に見てしまう傾向も多いのではないかと思われる。
IPA/J-CRAT（サイバーレスキュー隊：以降当隊）では、主にステートスポンサードによるサイバー諜報活動に対する対策の支援を実施している。レスキュー活動に加え、皆様からの情報提供や公開情報等の調査を通じて、一連の攻撃を、攻撃対象となった組織に加え具体的に攻撃対象となった人物像まで見て行くことで、攻撃対象を組織群ではなく、対象人物の共通項で見ることの重要性がわかってきた。
また攻撃による被害を分解し、「気づかれずに侵入される」という点にフォーカスすることで、結果的に大量の情報が窃取されたという事案を、破壊や改ざん、妨害など複数の活動が可能であった事案として扱い、注意を払う必要があることがわかった。
ところで、当隊活動を医療関係への対応として見直してみると、いくつか関係者に対してお知らせすべきことも多いことがわかった。特に、スタンドアローン、孤立・独立システムであるとされながら、遠隔保守用途や、セキュリティアップデートのためにインターネット接続がされているケースが散見され、意図せず攻撃者の侵入を許してしまったケースである。これらのケースでは、組織の大小に変わらず「気づかずに侵入」され、攻撃ツールを仕掛けられていたが、情報系システムではないため、侵入対策や侵入後の対策の準備ができず、また情報系システム部門が対処できないシステムであるため、対策に時間を要するものであった。関係者は、組織の情報資源を攻撃者同様に全体俯瞰し把握することの重要性を知っていただきたい。