EnterpriseZineニュース

【警察庁が注意喚起】2019年頃から中国の関与が疑われる「MirrorFace」によるサイバー攻撃相次ぐ

2025/01/09 17:05

通知

　警察庁と内閣サイバーセキュリティセンター（以下、NISC）は1月8日、2019年頃から現在に至るまで、日本国内の組織、事業者および個人に対するサイバー攻撃キャンペーンが、「MirrorFace」（ミラーフェイス）（別名、「Earth Kasha」〔アースカシャ〕）と呼ばれるサイバー攻撃グループによって実行されたものとして、注意喚起した。

　具体的に、以下の攻撃キャンペーンが確認されたという。

2019年から2023年にかけて、主にシンクタンク、政府（退職者含む）、政治家、マスコミに関係する個人や組織に対し、不正なプログラム（マルウェア）を添付したメールを送信してマルウェアに感染させ、情報窃取を試みるサイバー攻撃
2023年頃から、インターネットに接続されたネットワーク機器に対し、ソフトウェアのぜい弱性を悪用して標的ネットワーク内に侵入するサイバー攻撃。主な標的は半導体、製造、情報通信、学術、航空宇宙の各分野という
2024年6月頃から、主に学術、シンクタンク、政治家、マスコミに関係する個人や組織に対して、マルウェアをダウンロードするリンクを記載したメールを送信してマルウェアに感染させ、情報窃取を試みるサイバー攻撃

　1、3は、いずれも標的型メール攻撃だが、使用されるマルウェアや感染手法は異なる。1では「LODEINFO」と呼ばれるマルウェアが使用され、主に添付ファイルの開封を感染の起点としていたが、3では「ANEL」と呼ばれるマルウェアが使用され、主にメール本文のリンク先を感染の起点としていたという。また、侵入後、各キャンペーンを通じて確認されていたWindows Sandboxの悪用だけでなく、3ではVisual Studio Code（VS Code）を悪用する手口も確認された。

　警察庁サイバー特別捜査部および警視庁ほか道府県警察による捜査等で判明した、攻撃対象、手口、攻撃インフラ等を分析した結果、MirrorFaceによる攻撃キャンペーンは、主に日本の安全保障や先端技術に係る情報窃取を目的とした、中国の関与が疑われる組織的なサイバー攻撃活動であると評価している。

　警察庁とNISCは、標的となる組織、事業者および個人が、直面するサイバー空間の脅威を認識するとともに、サイバー攻撃の被害拡大防止および被害の未然防止のための適切なセキュリティ対策を講じることを目的に、MirrorFaceによるサイバー攻撃の手口を公表したという。検知と緩和策は次の通り。

標的型メール（受信者向け）

普段からの交流相手であってもメールアドレスに注意：送信者が所属する組織のメールアドレスや、過去にやりとりした実績のあるメールアドレスから受信したメールであっても、普段と少しでも異なる状況や違和感があれば、添付ファイルを開いたり、リンクをクリックしたりせず、送信者に確認する
安易に「コンテンツの有効化」をクリックしない：添付ファイルやダウンロードしたファイルを開いた際に、Microsoft Officeファイルのマクロ「コンテンツの有効化」ボタンをクリックさせるよう誘導される場合があるが、安易にクリックしない

全般（システム管理者向け）

広範囲かつ長期間にわたるログの集中保存・管理：ログは、侵害の原因と範囲の把握に必要不可欠な情報源。また、攻撃者は、侵入先のサーバや機器のログを消去する可能性があるので、ログは、可能な限り別のサーバへ集約して保存するようにする

VPN等のネットワーク機器（システム管理者向け）

ログの監視・確認：「普段と違う、違和感のある」ログがないかという観点でログの監視・確認を行う
ログ設定の確認：不審・不正なVPN接続がないか確認するため、適切にアクセス元IPアドレスが記録されるように設定する
アカウントの管理：管理者用および保守用アカウントについては、アクセス元IPアドレスを制限し、事前・事後の使用申請・報告とアクセスログの差異がないか監視・確認する
内部ネットワークに向けた不審な活動の監視：VPN機器を送信元とする内部ネットワークでの不審な活動（AD サーバやファイルサーバへのアクセスなど）がないか監視・確認する
脆弱性に関する情報収集と適切な対応：警察庁や都道府県警察のほか、IPAやJPCERT/CC による注意喚起、米CISA のKEV カタログなどの情報源を活用し、ネットワーク機器の脆弱性に関する情報収集を行う

Windowsの設定・監視（管理者向け）

業務に必要のない機能やソフトウェアの有効・使用状況の確認：業務上使用することがなければ、Windows Sandboxの機能を無効にすることを検討
ウイルス対策ソフトの検知状況の監視・確認：ウイルス対策ソフトが何らかのマルウェアを検知した場合、検知した場所（機器、フォルダ）や、検知名などが、重大性を判断する目安となる場合がある。たとえば「C:\Windows\System32」フォルダで検知した場合や、検知名をWeb検索した結果、セキュリティベンダーによって国家背景のサイバー攻撃グループが使うマルウェアとして報告されていた場合などは、深刻な情報窃取が継続していた可能性がある

　機器の不審な動きやネットワークの不審な通信を検知した際には、速やかに所管省庁、警察、内閣サイバーセキュリティセンター、セキュリティ関係機関等に情報提供するよう呼び掛けている。

この記事は参考になりましたか？

印刷用を表示

関連リンク: MirrorFaceによるサイバー攻撃について（注意喚起）

この記事の著者: EnterpriseZine編集部（エンタープライズジンヘンシュウブ）

「EnterpriseZine」（エンタープライズジン）は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事