警察庁、JAXAへサイバー攻撃を行ったとする中国系サイバー攻撃集団 MirrorFace(ミラーフェイ ス)の注意喚起
警察庁及び内閣サイバーセキュリティセンターは、中国系サイバー攻撃集団「MirrorFace」(ミラーフェイス)(別名、「Earth Kasha」(アース カシャ))によるサイバー攻撃に関して注意喚起を行いました。具体的な被害組織の明言はありませんが、内容から恐らくJAXAへのサイバー攻撃も同グループが行った可能性が高いです。
目次
攻撃キャンペーンの概要
MirrorFace による攻撃キャンペーンは、日本の安全保障や先端技術に係る情報窃取を目的としており、警察庁は「中国の関与が疑われる組織的なサイバー攻撃活動である」と評価しています。
以下記載されている各攻撃キャンペーンの手口やターゲットとなります。
- 攻撃キャンペーンA(2019年~2023年)
- 手口:不正プログラム(マルウェア)を添付した標的型メールによる情報窃取。
- 送信元メールアドレス:Gmail や Microsoft Outlook メールアドレスの使用や、第三者の
正規アドレスの悪用用(認証情報を窃取し、本人になりすまして送付) - 攻撃ターゲット:政府機関(退職者含む)、政治家、シンクタンク、マスコミ。
- マルウェア:「LODEINFO」など。、主に添付ファイルの開封を感染の起点としている
- 攻撃キャンペーンB(2023年~2024年)
- 手口:ネットワーク機器の脆弱性を悪用した侵入。
- 攻撃ターゲット:半導体、製造業、情報通信、学術、航空宇宙分野。
- マルウェア:「Cobalt Strike BEACON」など。
- 攻撃キャンペーンC(2024年6月~現在)
- 手口:リンクを記載した標的型メールでマルウェアをダウンロードさせる。
- 送信元メールアドレス:Gmail や Microsoft Outlook メールアドレスの使用や、第三者の
正規アドレスの悪用用(認証情報を窃取し、本人になりすまして送付) - 攻撃ターゲット:学術、シンクタンク、政治家、マスコミ。
- マルウェア:「ANEL」など。メール本文のリンク先を感染の起点としている。
また、侵入後、各キャンペーンを通じて Windows Sandbox の脆弱性が悪用されており、それだけでなくキャンペーン C では Visual Studio Code (VS Code) を悪用する手口も確認されています。
悪用されたとみられるネットワーク機器の脆弱性
(1) Array Networks Array AG 及び vxAGの脆弱性
● CVE-2023-28461
(2) Fortinet 社 FortiOS 及び FortiProxyの脆弱性
● CVE-2023-27997
(3) Citrix ADC 及び Citrix Gatewayの脆弱性
● CVE-2023-3519
MirrorFaceに対する検知と緩和策
MirrorFaceによるサイバー攻撃は高度で巧妙な手口が使用されていますが、適切な検知と緩和策を講じることで、攻撃被害の防止や影響の軽減が可能です。以下に、具体的な対策をまとめます。
1. 標的型メール攻撃に対する検知と緩和
受信者向け対策
- 送信者情報の確認
過去の取引や信頼できる送信者を装った場合でも、送信元のメールアドレスや内容に違和感があれば慎重に対応する。- 普段とは異なる形式の添付ファイル(例:パスワード付きZIP、ISOファイル)が届いた場合は特に注意。
- 不明なリンク先をクリックしない。
- マクロの有効化に注意
Microsoft Officeファイルを開く際、「コンテンツの有効化」を求められる場合は慎重に判断。不明な送信者からのファイルでマクロ有効化を促すものは開かない。 - 不審なファイルやリンクへの対応
開封後、ウイルス対策ソフトが反応した場合は速やかにシステム管理者に相談。
2. システム管理者向け対策
ログの集中管理
- 広範囲かつ長期間のログ保存
攻撃者がログを消去する可能性があるため、集中ログ管理システム(例:SIEM)を導入し、定期的に監視。 - 普段と異なるアクセスの確認
海外IPアドレスや通常と異なるUserAgentのログイン試行履歴がないか確認。
VPNやネットワーク機器の管理
- アクセス元IPの制限
管理者アカウントや保守アカウントのアクセス元を制限し、不正な接続を防止。 - 脆弱性対応
VPN機器や外部公開サーバの脆弱性情報を収集し、迅速にパッチを適用。また、使用中の機器が侵害された可能性がある場合は交換を検討。
内部ネットワークの監視
- VPN機器や内部ネットワーク内の不審な動きを監視し、侵入後の被害拡大を防ぐ。
3. 特殊な攻撃手法への対応
Windows Sandboxの悪用対策
- Windows Sandbox機能が業務で必要ない場合は無効化。
- 不自然にSandboxが有効化されている場合は、即座に調査。
Visual Studio Code (VS Code)の悪用対策
- VS Codeの監視
不自然にVS Codeがインストール・実行されていないか確認。 - 開発トンネル機能の通信監視
開発トンネル機能(Microsoft Dev Tunnels)を利用した不審な通信が発生していないか確認。
4. ウイルス対策ソフトの活用
- 検知状況の分析
ウイルス対策ソフトが検知したマルウェアの位置や名前を基に、侵害範囲や原因を特定。 - 潜在的な脅威への警戒
駆除後も残存マルウェアの存在を疑い、侵入経路のさらなる調査を実施。
5. 脆弱性情報の活用
- 情報収集と対応
公的機関(IPA、JPCERT/CC、米CISAなど)の脆弱性情報を定期的に確認し、適切に対応。 - 侵害機器の交換
一度でも侵害された機器は、パッチ適用後もリスクが残る場合があるため、交換を検討。
参照
MirrorFace によるサイバー攻撃について (注意喚起)