ニュース

警察庁とNISC、サイバー攻撃グループ「MirrorFace」(Earth Kasha)の手口を詳細に解説し注意喚起

政治家やマスコミ関係者のほか、半導体や航空宇宙分野の組織などを標的に活動

  • 山田 貞幸

2025年1月17日 06:50

 警察庁と内閣サイバーセキュリティセンター(NISC)は、「MirrorFace」(ミラーフェイス)または「Earth Kasha」(アース カシャ)と呼ばれるサイバー攻撃グループによるサイバー攻撃キャンペーンについて、手口を詳細に紹介しつつ注意喚起を行った。

 次に挙げる、2019年頃から現在まで行われている、日本の個人や組織を標的にした3つのサイバー攻撃キャンペーンが、いずれもMirrorFaceによるものと評価されるという。

キャンペーンA:政府やマスコミ関係者、政治家などを狙った標的型メール攻撃

 2019年12月頃から2023年7月頃にかけて確認され、主にシンクタンク、政府(退職者含む)、政治家、マスコミに関係する個人や組織を狙った、情報窃取を目的としたメールによる標的型攻撃。

 「LODEINFO」と呼ばれるマルウェアが使用され、添付ファイル(Microsoft Office文書ファイル)を開封かせて感染させるのが典型的な手口。メールの件名は、その時の安全保障情勢や国際情勢に関連したものが多く、受信者と交流のある人物を詐称するなどして信用させ、添付ファイルを開かせようとするもののほか、受信者が興味を持ちそうな資料の提供を申し出るものが把握されている。

 また、Windows Sandboxを悪用し、仮想環境の中でマルウェアを実行する手口も確認されている。

キャンペーンB:半導体や学術・宇宙分野などの組織を狙ったネットワーク侵入

 2023年2月頃から同年10月頃にかけて確認され、半導体、製造、情報通信、学術、航空宇宙の各分野を狙い、ネットワーク機器にあるソフトウェアの脆弱性を悪用し、ネットワーク内に侵入する。具体的な手口としては、VPN機器の脆弱性、何らかの手段で得た認証情報の利用、SQLインジェクションの悪用と見られる事例が確認されている。

 悪用されたと見られるネットワーク機器の脆弱性として、次のものが挙げられている。

  • Array Networks Array AG および vxAG(CVE-2023-28461)
  • Fortinet FortiOS および FortiProxy(CVE-2023-27997)
  • Citrix ADC および Citrix Gateway(CVE-2023-351)

キャンペーンC:学術関係者やマスコミ関係者などを狙った標的型メール攻撃

 2024年6月頃から確認され、学術、シンクタンク、メディアに関係する組織や個人、および政治家を狙った、情報窃取を目的としたメールによる標的型攻撃。

 メール本文中のリンクからダウンロードさせたMicrosoft Office文書ファイル、またはMicrosoft Office文書に偽装されたリンクファイルから、「ANEL」と呼ばれるマルウェアに感染させるのが典型的な手口。メールの件名は「取材のご依頼」「所蔵資料のおすすめ」「国際情勢と日本外交」といったものが確認されており、Gmailなどフリーメールサービスのアドレスを使うだけでなく、実在する人物が使ったアドレスを利用してなりすまし、その人物のメールを改変した本文が使用された例もあり、標的は違和感を持ちにくい。

 Winows Sandboxが悪用された事例のほか、Visual Studio Codeの開発トンネル機能を利用して遠隔操作が行われた事例も確認されている。

安易なマクロの有効化に注意を、管理者はログやアカウントの確認を

 こうした攻撃の検知・緩和策として、次のことが挙げられている。

 まず、メールを受信する個人に関しては、普段から交流のある相手からのメールであっても、送信元メールアドレスを確認するとともに、やり取りに少しでも違和感があったら警戒し、本人に確認すること。普段はファイルをそのまま添付する人が圧縮している、リンクからダウンロードさせようとしている、といったケースが考えられる。

 また、Microsoft Office文書ファイルを開いたときに、マクロを有効化する「コンテンツの有効化」ボタンが表示されてクリックを促されても、を安易にクリックしないこと。マクロのような高度な機能が必要なファイルか(例えば、ただ読めばいい文書や、特殊な集計を行わないデータであれば、必要ないと考えられる)を検討し、不審と感じたら、ファイルの送付者本人に確認する。

 組織のシステム管理者向けには、広範囲かつ長期間にわたるログの集中保存と管理、VPNなどのネットワーク機器に関するログの監視やログ設定の管理およびアカウントの管理、不審な活動の監視、脆弱性に関する情報収集、などが挙げられている。そのほか、Windows PCの設定や業務に必要のない機能(Windows Sandboxなど)の停止、ウイルス対策ソフトの検知状況の監視・確認も挙げられている。

 資料ではこのほか、Windows SandboxおよびVisual Studio Codeを悪用した手口とその痕跡、検知策について、詳細な資料が別添されている。

Windows Sandboxを悪用した手口の図解