警視庁による注意喚起が話題にサイバー攻撃グループ「MirrorFace」の手口と対策とは？

2025年1月、警視庁によりサイバー攻撃組織「MirrorFace」に関する注意喚起が行われました。同組織は中国の関与が疑われており、標的型メールやWindowsの機能を悪用した攻撃を行っています。

今回は、警察庁が行った注意喚起について詳しく見ていきます。

2025年1月に行われた警視庁による注意喚起

2025年1月に公表された警察庁の注意喚起により、日本国内の組織・事業者・個人に対して「MirrorFace（ミラーフェイス）」と呼ばれるグループにより、組織的な攻撃が行われていることが明らかとなりました。警視庁が公開した資料では、MirrorFaceの活動概要やターゲットが公開されています。

※1参考：警察庁「MirrorFace によるサイバー攻撃について（注意喚起）」

MirrorFaceの活動概要

MirrorFaceは、2019年より、主に日本をターゲットとしてサイバー攻撃を続けている組織です。別名でEarth Kasha（アースカシャ）とも呼ばれており、主に標的型攻撃によるサイバー攻撃を行っています。

同組織は断続的に攻撃を行っており、大きく以下の3つの時期の活動が確認されています。

	期間	概要
攻撃キャンペーンA	2019年12月頃～ 2023年7月頃	マルウェアを含むファイルを添付したメールを送付し、受信者が添付ファイルを開くことにより感染させる
攻撃キャンペーンB	2023年2月頃～ 10月頃	VPN機器の脆弱性や認証情報の悪用、SQLインジェクションの脆弱性を悪用して侵入
攻撃キャンペーンC	2024年6月頃～	ファイルをダウンロードさせるリンクが記載されたメールを送付し、受信者をマルウェアに感染させる

MirrorFaceのターゲット

MirrorFaceは2019年の活動開始以降、主に研究機関やシンクタンク、政治家、マスコミなどをターゲットとして攻撃を行っています。

警察庁が攻撃対象や手口、攻撃インフラなどを分析したところ、MirrorFaceによる攻撃は主に日本の安全保障や先端技術に関する情報を目的とした組織的なサイバー攻撃活動であることが明らかとなっています。また、その活動には中国の関与が疑われており、いわゆる国家関与型攻撃であるとされています。

MirrorFaceによるサイバー攻撃の概要

警察庁の注意喚起では、MirrorFaceによるサイバー攻撃の手口も明らかとされています。以下では、警察庁の公表資料を参考に、MirrorFaceの攻撃手法をご紹介します。

標的型メールによる侵入

同グループでは、主に標的型メールを攻撃手法としており、攻撃キャンペーンAおよびCにおいて以下のような特徴があるメールを利用していました。

〇攻撃キャンペーンA

攻撃キャンペーンAでは、攻撃対象にマルウェアを含むファイルを添付したメールを送信し、受信者が添付ファイルを開くことでマルウェアに感染させる方法が見られました。標的となった対象は、主に日本のシンクタンク、政府機関、政治家、マスコミに関連する個人や組織です。

送信元メールアドレスとして、GmailやMicrosoft Outlookのメールアドレスだけでなく、第三者の正規アドレスを本人になりすまし悪用した事例も確認されています。送信者名も受信者が所属する組織の元幹部や、受信者が関心を寄せる専門分野の有識者を詐称したケースが見られたとのことです。

また、最初からマルウェアが含まれたファイルを添付するのではなく、受信者が興味を引く資料の提供を申し出て、メールのやり取りの中でファイルを添付する事例もありました。

〇攻撃キャンペーンC

攻撃キャンペーンCでは、主に学術、シンクタンク、政治家、メディア関係者をターゲットとした攻撃が行われました。

メールの件名には「取材のご依頼」「所蔵資料のおすすめ」「国際情勢と日本外交」など、ターゲットの興味を引くキーワードが含まれていました。また、本文は過去の本物のメールを改変したものが使われているため、違和感がなく不正なメールであることが見分けにくくなっています。

このように、MirrorFaceは非常に巧妙な手法でターゲットのPCへ侵入を図ります。

Windows Sandboxを悪用した手口

ターゲットへ侵入した後、MirrorFaceは2つの手法でターゲットのPCから情報を窃取していたことが明らかとなっています。

手法の一つは、Windows Sandboxを悪用するものです。Windows Sandboxは、Windows 11のPro、Enterprise、Educationエディション向けに提供される仮想マシン作成ツールです。Windows Sandboxを利用することで、実行中のPC内に別の仮想Windowsデスクトップ環境を構築できます。

MirrorFaceはこれを悪用し、マルウェアをSandbox内で実行し、外部と通信させていました。Windows Sandbox内でマルウェアが活動することで、ウイルス対策ソフトやその他のセキュリティツールによる監視を回避しやすくなります。また、PCがシャットダウンされるとWindows Sandbox内の痕跡も消去されるため、フォレンジック調査も困難です。

なお、Windows Sandboxを悪用した手口について、より詳しくは警視庁の資料「Windows Sandboxを悪用した手口及び痕跡・検知策」にて紹介されています。併せてご覧ください。

VS Code を悪用した手口

もう一つの手法は、Visual Studio Code（VS Code）の悪用です。VS Codeはプログラム開発に利用される開発環境であり、Microsoftが無償で提供しています。

攻撃者は、ターゲットのPCにVisual Studio Codeをダウンロード・インストールし、Microsoft dev tunnelsと呼ばれる遠隔通信機能を使用して情報を窃取していました。

なお、より詳しい手口については、警視庁の資料「VS Codeを悪用した手口及び痕跡・検知策」に情報があります。こちらも併せてご覧ください。

VPN機器の脆弱性を狙った攻撃

その他にも、キャンペーンBにおいてはVPN機器の脆弱性を狙った攻撃や、クライアント証明書の悪用による侵入事例、外部公開サーバーに対するSQLインジェクションによる攻撃も確認されています。

侵入後には、HTTPトンネリングツールやオープンソースのWebShellが設置され、Active Directoryサーバーや Microsoft365、仮想化サーバーへの不正アクセスが行われていました。また、Cobalt Strike BEACON、LODEINFO、NOOPDOOR といったマルウェアに感染させる事例も確認されています。

これらの攻撃は半導体、製造、情報通信、学術、航空宇宙分野をターゲットとして行われており、技術情報の窃取を目的としたものだと思われます。

警視庁が推奨する対策①：システム利用者向け

攻撃手法と併せて、警察庁よりMirrorFaceによるサイバー攻撃の対策方法も解説されています。以下では、「システム利用者向け」「システム管理者向け」のそれぞれから、どのような対策を行うべきかをご紹介します。

送付されたメールのメールアドレスに注意する

送信者のメールアドレスが信頼できるものであっても、違和感のあるメールは添付ファイルを開かず、リンクをクリックしないことが重要です。いつもと異なる形式のファイルや見慣れないリンクが届いた場合も同じく、安易にクリックすることは避けましょう。

不審な添付ファイルを開いたり、もしくはウイルス対策ソフトが反応したりした場合は、すぐにシステム管理者に連絡すべきです。

なお、IPAによれば標的型メールの見分け方として、以下のような特徴に注意すべきとしています。これらの内容に当てはまるメールは安易にクリックすることを避けましょう。

＜標的型メールによくある特徴＞

社内の連絡メールを装うもの（ファイルサーバーのリンクを模すケースを含む）
関係省庁や、政府機関からの情報展開を模すもの（連絡先、体制、会見発表内容など）
メディアリリース
合併や買収情報
ビジネスレポート/在庫レポート/財務諸表
契約関連
技術革新情報
国際取引
攻撃者に関する情報
自然災害
ウェブなど公開情報を引用したもの
政府/業界イベント
政府または産業における作業停止
国際的または政治的なイベント

※引用：独立行政法人情報処理推進機構「J-CRAT 標的型サイバー攻撃特別相談窓口」より

「コンテンツの有効化」をクリックしない

メールに添付されたMicrosoft Officeファイルを開く際に、「コンテンツの有効化」ボタンをクリックするように促されることがありますが、安易にクリックしてはいけません。

ボタンをクリックすることで、不正な処理を行うマクロが実行される可能性があります。マクロは便利な機能ではありますが、受信したファイルの閲覧において必要でない場合は、実行を許可するべきではありません。

不審に感じた場合は、必ずコンテンツの有効化の必要性をファイル提供元に確認しましょう。

警視庁が推奨する対策②：システム管理者向け

続いて、システム管理者向けの対策についてご紹介します。

ログの集中保存・管理

サイバー攻撃の封じ込めや根本的な対策を行うためには、攻撃の概要と影響範囲を正確に把握することが不可欠です。一方で、サイバー攻撃を行う者は、侵入先のサーバーや機器のログを消去することで証拠を隠滅しようとします。よってログデータは可能な限り異なるサーバーに集約・保存することが推奨されます。

なお、IPAでは「コンピュータセキュリティログ管理ガイド」として、米国NISTが発行しているログ収集におけるガイドラインの翻訳資料を公開しています。ログの収集にあたっては、こちらのガイドラインを一読することをおすすめします。

VPN等のネットワーク機器の確認

悪意のある攻撃者は、VPN機器に設置されたトンネルやバックドアを経由して、ADサーバーやファイルサーバーへとアクセスします。よって、VPN機器を送信元とした、ネットワーク内部での異常な活動を監視する必要があります。

注意しなければならないのが、VPN機器や設定によってはユーザごとにIPアドレスを割り当てずに、機器のLAN側IPアドレスが送信元として使用される場合があるということです。この場合監視が難しくなるため、VPN機器の設定や仕様を確認する必要があります。

また、VPN機器のログにおいて、VPNアクセス元IPアドレスにループバックアドレスが記録されている事例もみられました。不審・不正なVPN接続がないか確認するために、適切なアクセス元IPアドレスが記録されるように設定を行う必要があります。

業務に必要の無い機能やソフトウェアの有効・使用状況の確認

今回明らかになった攻撃手法ではWindows Sandboxの悪用が見られました。業務においてWindows Sandboxを利用していない場合は、本機能を無効にするべきです。

また、同様に意図せずに本来業務に利用しないはずのVS Codeがインストールされていないかも確認しましょう。

併せて、Microsoft dev tunnelsによる通信が発生していないかも監視すべきです。具体的には、以下のドメイン宛ての通信が発生していないかをチェックします。

通信するタイミング	通信先ドメイン
認証時	github.comlogin.microsoftonline.com
開発トンネルへのアクセス時	global.rel.tunnels.api.visualstudio.com[clusterId].rel.tunnels.api.visualstudio.com[clusterId]-data.rel.tunnels.api.visualstudio.com.[clusterId].devtunnels.ms.devtunnels.ms

※引用：警視庁「VS Codeを悪用した手口及び痕跡・検知策」P9より

ウイルス対策ソフトの検知状況の監視・確認

ウイルス対策ソフトがマルウェアを検知した場合、検知されたPC上の場所や検知名でその重大性を判断できます。たとえば「C:\Windows\System32」フォルダでマルウェアが検知された場合は注意が必要です。また、検知名をインターネット検索した際に国家関与型のサイバー攻撃に使われるマルウェアであると明らかとなった場合は、速やかに関係機関への届け出を行うべきです。

アタックサーフェスマネジメント（ASM）の実施

近年では、サイバー攻撃への対抗策としてアタックサーフェスマネジメント（ASM）に取り組む企業も増えつつあります。

アタックサーフェスマネジメントは、企業がサイバー攻撃のリスクを軽減するために行う取り組みです。まず、組織のIT資産を可視化し、攻撃対象となりうる領域（アタックサーフェス）を特定します。その後、アタックサーフェスにおける脆弱性情報を収集し、リスク度合いに応じてセキュリティアップデートや設定の変更といった対応を行っていきます。

アタックサーフェスマネジメントを行うことで、特にVPN機器やファイアフォールなどを起点としたサイバー攻撃を防ぎやすくなります。より詳しい内容については以下の記事で解説していますので、併せてご覧ください。