警察庁と内閣サイバーセキュリティセンターは、2019年から現在に至るまで、日本国内の組織、事業者、個人を対象としたサイバー攻撃キャンペーンへの注意喚起を実施。
中でも「MirrorFace(ミラーフェイス)」という日本を主なターゲットとしたサイバー攻撃グループへの注意を強調している。
MirrorFaceの実態と攻撃
MirrorFaceは2019年ごろから日本国内の組織や個人に対して、複数のサイバー攻撃キャンペーンを実行してきたとされており、目的は日本の安全保障や先端技術に関する情報窃取だという。
特に政府、政治家、シンクタンク、学術機関、マスコミ、製造業、半導体業界などの重要な分野が標的とのことで、中国政府との関連が疑われる組織的な攻撃グループとされている。
以下、MirrorFaceが実行した過去の攻撃に関する手口となる。
・標的型メール攻撃
添付ファイル(WordやExcel形式、VHD/ISOイメージなど)を使った感染手法。
開封後にマクロを有効化させることで、マルウェア(例: LODEINFO、ANELなど)を展開。
・ネットワーク機器の脆弱性悪用
VPN機器やSQLインジェクションの脆弱性を悪用し、ネットワークに侵入。
侵入後、Active Directoryや仮想サーバーのデータを窃取。
・Visual Studio Code(VS Code)の悪用
開発者向けのツールを利用し、遠隔操作や悪意のあるトンネル機能を実行。
・Windows Sandboxの悪用
隔離環境を利用してマルウェアを実行。感染の証拠が残りにくい手口。
警察庁の報告によると、以下の3つの攻撃キャンペーンが確認されているとして取り上げられている。
・攻撃キャンペーンA(2019~2023年)
政府、政治家、マスコミ関係者などにマルウェア付きのメールを送信する手法が主流。
LODEINFOと呼ばれるマルウェアが使用され、主にファイルの開封が感染の起点となっていた。
・攻撃キャンペーンB(2023年~)
インターネット接続された機器の脆弱性を悪用。
半導体、製造業、情報通信、学術分野が標的となっており、侵入後は仮想化サーバーへのアクセスやバックドアの設置が行われる。
・攻撃キャンペーンC(2024年~)
マルウェアのダウンロードリンクを記載したメールを送付。
Microsoft Officeの文書を偽装したファイルやVisual Studio Codeの機能を悪用する新たな手口が確認されている。
被害拡大防止のための注意喚起
警察庁は、これらのサイバー攻撃からの被害を防ぐため、次のような対策を呼び掛けている。
・メールの確認
不審なメールや添付ファイル、リンクには特に注意する。
・セキュリティの強化
ソフトウェアや機器のアップデートを定期的に行う。
・ログ管理
不審な通信やアクセスを監視する。
・情報共有
攻撃を受けた場合は、関係機関に迅速に報告。
独立行政法人情報処理推進機構(IPA)のサイバーレスキュー隊J-CRATやセキュリティ企業も、この問題に協力しており、攻撃検知や緩和策の情報共有を進めているとのこと。
警察庁は、個人や組織が直面するサイバー空間の脅威に対処するため、これらの情報を積極的に活用し、未然防止の徹底を図るよう求めている。
【参考記事】
MirrorFaceによるサイバー攻撃について(注意喚起)
https://www.npa.go.jp/index.html