MirrorFace（ミラーフェイス）とは？サイバー攻撃の手口や被害に遭わないための対策を解説

MirrorFace（ミラーフェイス）は、中国の関与が疑われるサイバー攻撃グループです。主に日本国内の組織、特に政府に関係する機関を標的とする犯罪組織で、警察庁や内閣サイバーセキュリティセンターで注意喚起が行われています。この記事ではMirrorFace（ミラーフェイス）の攻撃対象や手法、対策をご紹介します。

MirrorFace（ミラーフェイス）とは、別名「Earth Kasha（アース カシャ）」とも呼ばれるサイバー攻撃グループです。
警察庁・警視庁などの調査により、日本の安全保障や先端技術に関する情報窃取を目的としていること、中国が関与している可能性がある組織的な活動であることがわかっています。

参考：MirrorFaceによるサイバー攻撃について（注意喚起）｜警察庁
https://www.npa.go.jp/bureau/cyber/koho/caution/caution20250108.html

MirrorFace（ミラーフェイス）の攻撃対象は、主に日本の組織です。2019年ごろから日本の政府機関やシンクタンク、国連関連組織、メディア、その関係者などの組織や個人に対してサイバー攻撃を行っています。攻撃方法は2019年ごろから標的型攻撃メールが主でしたが、2023年にはネットワークの脆弱性を狙った攻撃が行われるようになりました。ターゲットは半導体、製造、情報通信、学術、空港宇宙分野などの企業や組織です。
その後、2024年には標的型攻撃メールの手口を再開しています。また少数ではあるものの、台湾やインドでの攻撃も観測されています。

今後もターゲットの変更があることが考えられるため、一般の企業や組織もMirrorFace（ミラーフェイス）の活動について注視する必要があるといえます。

MirrorFace（ミラーフェイス）の侵入手口として知られているのは、標的型攻撃メールと、ネットワーク機器の脆弱性を狙った攻撃、認証情報を悪用した攻撃です。

標的型攻撃メール

標的型攻撃メールは、標的の組織の関係者に不正なメールの添付ファイルやURLをクリックさせてマルウェアに感染させ、そのコンピューターを利用して悪意ある第三者を組織のコンピューターに侵入させるサイバー攻撃です。受信者に「正規のメールである」と誤認させるために、メールの件名や内容に「取材申請書」「日本の経済安全保障」「官公庁・公的機関一覧」といったように、一見信頼できそうな文言が使われます。
MirrorFace（ミラーフェイス）は、大きく分けて2つの手口で受信者をマルウェアに感染させます。

参考コラム：標的型攻撃メール訓練の効果を最大化するには？効果的な実施方法をご紹介

添付ファイルでマルウェアに感染させる手口

マクロ付きのドキュメントが梱包されているZipファイルが、メールに添付されている手口です。メールの受信者がこのドキュメントを実行してマクロを有効化すると、マルウェアがダウンロードされ、コンピューターがマルウェアに感染します。これは2019年12月ごろから2023年7月ごろまでによく見られた手口です。

メール内のリンクからマルウェアに感染させる手口

メール本文にファイルをダウンロードさせるリンクが記載されており、メールの受信者がリンクをクリックすると、マクロ付きドキュメントのZipファイルがダウンロードされるという手口です。このZipファイルを展開していく過程でマクロが有効化され、コンピューターがマルウェアに感染します。これは2024年6月以降に見られる手口です。

VPN 機器の脆弱性や認証情報の悪用

ネットワーク機器であるVPNの脆弱性や認証情報の悪用は、2023年によく見られた手口です。VPN機器に脆弱性をついたサイバー攻撃は一般の企業でも発生しており、広く被害をもたらしたことで知られています。
ほかに何らかの方法で得た認証情報を悪用したり、外部公開サーバーにSQLインジェクション攻撃をしかけて情報を窃取したりする手口も見られました。

MirrorFace（ミラーフェイス）が使用しているマルウェアは、主に下記の通りです。

・LODEINFO：Wordドキュメントのマクロを有効化することで展開され、exeファイルが実行されます。
・NOOPDOOR：使用者がほぼMirrorFaceと見られているシェルコード式のマルウェアです。
・LilimRAT：オープンソースの「LilithRAT」を改変して作られた亜種です。
・ANEL：2018年ごろまで別のサイバー攻撃グループに使われていたマルウェアで、2023年ごろから観測されるようになりました。

MirrorFace（ミラーフェイス）が標的型攻撃メールや脆弱性攻撃で対象の組織に侵入した後は、情報窃取などの目的を遂行するため、Windows SandboxやVisual Studio Code (VS Code)が悪用されています。

Windows Sandbox の悪用

Windows Sandbox（サンドボックス）は、ホストとなるコンピューターと隔離された仮想のデスクトップ環境です。この環境は、更新プログラムのテストなどで、他のデータ等に影響を及ぼさずアプリケーションを安全に実行したい場合によく使われます。

MirrorFace（ミラーフェイス）は、標的型攻撃メールなどでコンピューターをマルウェアに感染させた後に、Windows Sandboxを悪用してウイルス対策ソフトやエンドポイントを監視する「EDR」の検知を逃れ、マルウェアを実行するという手口を使っています。Windows Sandboxはコンピューターをシャットダウンまたは再起動すると内容が消去されるため、サイバー攻撃の痕跡が残りにくく、事後の調査が困難になってしまうのです。

Visual Studio Code (VS Code) の悪用

Visual Studio Code (以下、VS Code) は、ソフトウェア開発のためのコードエディタです。
VS Codeには、コンピューターを外部のデバイスからリモートで操作できる「トンネル機能」があり、これをサイバー攻撃に悪用してコンソール画面を操作するという手口が見られています。操作されたコンピューター上のコンソール画面は設定によって非表示にできるため、利用者が不正な利用に気づきにくいのです。

ここまでMirrorFace（ミラーフェイス）の手口を見てきました。被害を防ぐためにはどのような対策をすればよいのでしょうか。

標的型攻撃メール対策

標的型攻撃メールには、もっともらしい件名や内容が書かれています。年々自然な日本語となってきていますが、それでも違和感を抱いたら添付ファイルやリンクを開かないようにすることが肝要です。また添付ファイルやダウンロードしたファイルを開いた際に、Microsoft Office ファイルの「マクロコンテンツの有効化」ボタンを押すように誘導される場合がありますが、マルウェアが実行される起点となるため、安易に有効化しないよう注意してください。
情報システム部門は標的型攻撃メール訓練などを実施し、従業員に対し注意喚起を行う必要があります。

標的型攻撃メールの対策について詳しくは下記記事をご参照ください。

参考コラム：標的型攻撃メール訓練の効果を最大化するには？効果的な実施方法をご紹介

ログの集中保存・管理

ログはサイバー攻撃の原因や影響範囲を把握するのに必要な情報であり、サイバー攻撃者は追跡されないことを狙ってログを消去する可能性があります。これに対抗するためには、ログを別のサーバーに集約して保存するという方法を採れます。
ログを一元管理する代表的な手法が、「SIEM (Security Information and Event Management)」です。小規模な企業では、米CISAの「LME (Logging Made Easy)」というツールを使う手もあります。

VPN 等のネットワーク機器の管理・ログの監視

脆弱性に対応するため、VPN機器やその他ネットワークに関する機器は最新のプログラムに更新するようにしましょう。またログの監視においては、「普段とは違う」という観点で行います。不審なログの例としては、下記の通りです。

・国内の拠点しかないのに海外からのログイン履歴がある
・アクセス元のIPアドレスにループバックアドレスがある（127.0.0.2 など）
・Active Directory（AD）サーバーやファイルサーバーへのアクセスが頻発している
など

不要なソフトウェアの無効化・監視

業務に必要ない機能やソフトウェアは無効化しておきます。特にWindows Sandboxは、業務上使用することがなければ必ず無効にしておきましょう。また無効にした後も、不自然に有効化されていないか注意が必要です。VS Codeも同様で、意図せずインストールされていないか、あるいは有効となっていないか確認し、その後も状況を注視しておきましょう。

サイバー攻撃グループMirrorFace（ミラーフェイス）の概要や攻撃手法、その対策までご紹介しました。マルウェアによる攻撃だけでなく近年ニュースとなっているDDoS攻撃も、犯罪組織による犯行と思われるケースがあります。ログの監視や不審なアクセスの遮断はMirrorFace（ミラーフェイス）への対策と同時にDDoS攻撃対策にも有効です。
DDoS対策やセキュリティ対策についてお悩みの際は、ぜひアクセリアにご相談ください。