日本に警鐘!ミラーフェイスによるサイバー攻撃の実態

当ページはアフィリエイト広告を利用しています

記事内に広告が含まれています。
日本に警鐘!ミラーフェイスによるサイバー攻撃の実態
提供:photoAC「Rossi0917様」

近年、サイバー攻撃がますます巧妙化し、国家間のサイバー戦争も現実の脅威となっています。今回は、中国のサイバー攻撃グループ「ミラーフェイス」が日本に与える影響について解説します。最近の報告では、このようなグループが日本国内のネットワークに侵入し、情報を窃取し続けている実態が明らかになりました。彼らの手口は高度化・多様化しており、従来のセキュリティ対策では十分に対応できない場合も多いのです。この記事では、彼らの攻撃手法や狙いについて詳しく解説するとともに、こうした脅威から身を守るための対策についても掘り下げていきます。

ミラーフェイスとは?

ミラーフェイスは、中国政府に支援されている高度なサイバースパイ活動グループ(APT)です。日本の警察庁と国家サイバーセキュリティ事件対策・戦略センターは、2019年からミラーフェイスが活動していると発表しました。このグループは、日本の機密情報や国家安全保障に関わる情報を盗むための高度な手法を駆使しています。

サイバー攻撃の手口

ミラーフェイスが使用するサイバー攻撃の手口は多岐にわたります。以下は主な攻撃手法となります。

  1. フィッシングキャンペーン
    • 2019年から2023年にかけて、日本のシンクタンク、政府、政治家を対象に、巧妙なフィッシングメールを送り込みました。これにより、マルウェアを送り込み、機密情報を盗み出したようです。
  2. ネットワークデバイスの脆弱性悪用
    • 2023年には、ヘルスケア、製造、情報通信、教育、航空宇宙などのネットワークデバイスの脆弱性を発見し、これを悪用しました。具体的には、Fortinet FortiOS、FortiProxy、Citrix ADC、Citrix Gatewayの脆弱性を狙いました。まずFortiOSはFortinet社のセキュリティオペレーティングシステムであり、FortiProxyはWebトラフィックのフィルタリングを強化します。Citrix ADCはアプリケーション配信コントローラーで、Webアプリのパフォーマンス向上に役立ち、Citrix Gatewayはセキュアなリモートアクセスを提供します。これらの製品の脆弱性を突かれると、ネットワーク全体が危険にさらされる可能性があります。
  3. SQLインジェクション攻撃
    • 2023年2月から10月にかけて、外部の公開サーバーでSQLインジェクションを利用して日本の組織にアクセスする手法が観察されました。SQLインジェクション攻撃は、攻撃者が悪意のあるSQLコードを入力フォームやURLに挿入し、データベースに対して不正な操作を行う手法です。これにより、攻撃者はデータベース内の機密情報を盗み出したり、データを変更・削除したりすることができます。例えば、ログインフォームに悪意のあるコードを入力することで、不正アクセスが可能になるというわけです。
  4. 専用のマルウェアを使用
    • 彼らは独自のマルウェアを開発し、侵入後に情報収集やバックドア設置を行います。過去には「LodeInfo」と呼ばれるマルウェアが使用されていたことが確認されています。LodeInfoは、中国のAPTグループ「MirrorFace」が使用するカスタムマルウェアで、主に日本を標的としたサイバー攻撃に利用されています。このマルウェアは、フィッシングメールを通じて配布され、感染したシステムから機密情報を収集し、攻撃者に送信する機能を持っています。また、リモート操作を可能にするバックドア機能や、攻撃の痕跡を消す自己削除機能も備えています。そのコードは難読化されており、セキュリティソフトによる検知を回避する設計が施されています。LodeInfoの攻撃は主に、政府機関や防衛産業、研究機関などに対する情報窃取を目的としており、日本の国益に深刻な影響を及ぼす可能性があります。このような脅威に対抗するためには、メールセキュリティの強化やシステムの定期的な更新、ネットワークの異常監視が重要です。
  5. 持続的な攻撃
    • 一度侵入に成功すると、ネットワーク内で長期間にわたり活動を続け、徐々に情報を集めていきます。これがAPTの「持続的」な特徴を示しています。具体的には初期侵入後にセキュリティ監視を回避しながらネットワーク内で横展開を進め、システムや端末を操作し続けます。彼らは価値のある情報を収集し、少しずつ外部に送信することで、攻撃を目立たせずに継続します。また、バックドアを設置して再侵入可能な状態を維持し、長期的に活動を行うことができます。これがAPT攻撃の特徴的な「持続的」なアプローチであり、通常のサイバー攻撃とは異なり、検出が困難であるため、被害は時間をかけて深刻化します。

被害状況

ミラーフェイスによるサイバー攻撃の被害は広範囲にわたります。例えば、重要な政策情報や機密文書が盗まれ、日本の安全保障に大きな影響を与えました。また、政府機関や企業のネットワークが侵害され、業務に支障をきたすケースも報告されています。

国際的な影響

ミラーフェイスの活動は、日本国内だけでなく国際的にも大きな影響を及ぼしています。同じく中国政府に支援されているサイバー攻撃グループ「ソルト・タイフーン」が、米国および世界の通信会社や米国財務省に対するサイバー攻撃を実行していることが大々的に報じられています。

対策

1. フィッシング対策を強化する

MirrorFaceはフィッシングメールを用いて初期侵入を試みます。そのため、フィッシング攻撃を防ぐために以下を実施しましょう:

  • メールフィルタリング: フィッシングメールや悪意のある添付ファイルを検出・ブロックするためのメールゲートウェイを使用。
  • 従業員教育: フィッシングの手口や疑わしいメールの識別方法について定期的に教育を行い、従業員が注意深くなるようにする。

2. 多要素認証(MFA)の導入

  • 多要素認証: 特に重要なアカウントや管理者アカウントには、多要素認証を導入し、認証情報が盗まれても不正アクセスを防げるようにします。

3. ネットワークの監視と異常検知

  • 侵入検知システム(IDS)や侵入防止システム(IPS): ネットワーク上で異常な活動を検出し、リアルタイムで警告を発する仕組みを導入します。
  • ログの監視: サーバーやネットワーク機器のログを定期的に監視し、不審なアクセスや異常な通信を早期に発見します。

4. 定期的なセキュリティパッチの適用

  • システム更新: 攻撃者は既知の脆弱性を悪用するため、OSやアプリケーションに対して定期的にセキュリティパッチを適用し、最新の状態を保つことが重要です。

5. 最小権限の原則

  • ユーザー権限の制限: すべてのユーザーアカウントに対して必要最小限の権限だけを付与します。特に管理者権限を持つアカウントは最小限にし、アクセス制御を強化します。

6. バックアップと復旧の準備

  • 定期的なバックアップ: 重要なデータを定期的にバックアップし、万が一のデータ損失に備えます。バックアップはオフラインで保管することが望ましいです。
  • 復旧手順の確認: インシデント発生時に迅速にシステムを復旧できるように、復旧手順を定期的にテストします。

7. サプライチェーンのセキュリティ強化

MirrorFaceはサプライチェーン攻撃を通じて企業に侵入することもあります。そのため、取引先やパートナー企業に対してもセキュリティ基準を設定し、共通のセキュリティ対策を施すことが重要です。

8. 高度なセキュリティツールの導入

  • EDR(Endpoint Detection and Response): エンドポイントにおける異常な挙動を検出し、リアルタイムで対応できるようにします。
  • XDR(Extended Detection and Response): より広範囲なネットワークやクラウド環境を対象にした統合的な脅威検出ツールを活用します。

9. セキュリティインシデント対応計画の策定

  • インシデント対応: 攻撃が発生した場合に迅速に対応できるよう、インシデント対応計画を策定し、従業員に対して訓練を実施します。

まとめ

サイバー攻撃は、私たちの日常生活や国家の安全に大きな影響を与える重大な問題です。ミラーフェイスのような高度なサイバー攻撃グループから自分自身や組織を守るためには、セキュリティ意識を高め、適切な対策を講じることが重要です。日常的にセキュリティ対策を行い、サイバー攻撃に対する防御力を強化しましょう。

出典

DARKREADING:Chinese APT Group Is Ransacking Japan’s Secrets