Written by WizLANSCOPE編集部
目 次
MirrorFaceとは、日本を主な標的とするサイバー攻撃グループで、巧妙で高度な攻撃を仕掛けるとして、昨今注目を集めています。
本記事では、MirrorFaceについて、侵入手口や攻撃手口、高度なサイバー攻撃に対策する方法などを解説します。
▼本記事でわかること
- MirrorFaceの概要
- MirrorFaceの侵入手口
- MirrorFaceの攻撃手口
- 高度なサイバー攻撃に対策する方法
また、高度なサイバー攻撃に対策する方法として、 「LANSCOPEソリューション」の活用方法もあわせて解説しています。
「自社環境やサービスの脆弱性に懸念がある」「診断ツールではなく、プロの目による診断を受けたい」という企業・組織の担当者の方は、ぜひご確認ください。
MirrorFace(ミラーフェイス)とは
「MirrorFace(ミラーフェイス)」とは、日本を主な標的とするサイバー攻撃グループであり、別名「Earth Kasha(アース・カーシャ)」と呼ばれています。
MirrorFaceは、高度な標的型攻撃(APT:Advanced Persistent Threat)をおこなうことで知られており、主な活動目的は、日本国内の重要機関や先端技術を扱う企業、研究機関などから、安全保障や科学技術に関する機密情報を窃取することです。
その手法は多岐にわたり、とくに標的型攻撃メール(スピアフィッシング)や、IT機器やソフトウェアの脆弱性を突いた侵入が多く確認されています。
また、 MirrorFaceは、被害者に気がつかれないように長期間にわたってシステム内に潜伏し、情報を静かに抜き取るといった巧妙な手口を特徴としています。
実際の被害事例として、2023年から2024年にかけて宇宙航空研究開発機構(JAXA)が複数回にわたってMirrorFaceの攻撃を受け、内部資料が外部に流出するという重大なセキュリティインシデントが挙げられます。
この事例は、MirrorFaceが日本の重要インフラや技術開発分野に強い関心をもっていることを示しており、日本全体にとっての深刻な脅威であることを再認識させる出来事となりました。
現在もMirrorFaceは活動を続けており、関係機関やセキュリティベンダーがその動向を監視しつつ、対策を講じています。
しかしながら、 MirrorFaceの攻撃手法は日々進化しており、従来のセキュリティ対策だけでは防ぎきれないケースも増えています。そのため、組織や個人においても最新のサイバーセキュリティ情報に目を向け、継続的に対策を強化することが必要とされています。
MirrorFaceの侵入手口
MirrorFaceは、高度な技術と巧妙な戦術を用いて日本国内の組織や個人に対してサイバー攻撃を仕掛けるグループです。
MirrorFaceが情報を不正に取得するために使う手口は、以下の2つに大別されます。
- 標的型攻撃メール
- ネットワーク機器の脆弱性
MirrorFaceの侵入手口を詳しく確認していきましょう。
標的型攻撃メール
MirrorFaceの攻撃で最も多く確認されているのが、標的型攻撃メールを用いた手法です。
警察庁と内閣サイバーセキュリティセンター(NISC)の発表によれば、2019年から2024年にかけて確認されたMirrorFaceによるサイバー攻撃は210件にのぼり、その大半が標的型攻撃メールを用いたものです。
標的型攻撃メールとは、攻撃者がマルウェア(悪意あるプログラム)が仕込まれたファイルを添付したメールを狙った相手に直接送り、メールの受信者がそのファイルを開くと、マルウェアがコンピューターに感染し、内部の情報を外部に送信する仕組みが作動するというものです。
標的型攻撃メールの厄介な点として、メールが不審に見えないように工夫されている点が挙げられます。
たとえば、以下のような形式を装って、メールが送信されます。
- GmailやOutlookなどのフリーメールアドレスを使って送信される
- 本物の取引先や社内の正規のメールアドレスを装って送信される
- メール件名に「会合資料」や「会議日程」など、受信者が気になりそうな業務関連のキーワードが使われる
- 実際にその組織に所属していた元幹部や関係者になりすまして送信される
標的型攻撃は、特定の個人や企業に向けておこなわれる攻撃のため、個人や企業に関係のありそうな人物や組織を装い、一見して不審に思われない工夫がされています。
そのため、受信者の警戒心も和らぎやすく、ファイルを開いてしまいやすいです。
ネットワーク機器の脆弱性
MirrorFaceは、メールによる攻撃だけでなく、企業や組織が利用しているネットワーク機器の脆弱性を悪用して侵入する手口も報告されています。
ネットワーク機器とは、たとえばルーターやVPN機器、ファイアウォールなど、社内外の通信を管理する装置です。
ネットワーク機器には、ときにセキュリティ上の「穴(脆弱性)」が存在することがあり、攻撃者はそこを突いて内部ネットワークへの侵入を試みます。
MirrorFaceは、すでに公表されている脆弱性情報(CVEなど)をもとに、対策が遅れている機器を探し出し、リモートから侵入できるよう設定を操作したり、マルウェアを送り込んだりします。
こうして、メールによる感染よりも目立ちにくい形でシステム内に侵入し、長期間にわたって情報を盗み続けるケースがあります。
このように、MirrorFaceの侵入手口は非常に巧妙で、単なる技術的な防御だけでは防ぎきれないケースがあります。
そのため、MirrorFaceの攻撃から企業・組織を守るためには、日々の注意喚起と、システムの定期的なアップデート、メールの取り扱いに関する教育が極めて重要です。
MirrorFaceの侵入後の攻撃手口
MirrorFaceは、標的型攻撃メールやネットワーク機器の脆弱性を悪用して組織内に侵入した後、すぐに情報を盗むわけではありません。
まずは痕跡を残さずに拠点(足場)を築き、長期的に内部を探索・支配できるように巧妙な手段を講じます。
その際に用いられる代表的な手法が、「Windows Sandbox」や「Visual Studio Code」の悪用です。
MirrorFaceの攻撃手口を詳しく確認していきましょう。
Windows Sandboxを悪用
「Windows Sandbox」とは、隔離された安全な環境で不審なプログラムを実行できるMicrosoftのセキュリティ機能です。
隔離された仮想の一時環境内で動作するため、たとえマルウェアであっても、本体のシステムには影響を与えない仕組みになっています。
ところがMirrorFaceは、この「安全のための仕組み」を逆手にとって悪用する特徴があります。
MirrorFaceは、マルウェアをSandbox内で起動し、その中から本体の環境へ徐々にアクセスしていく特殊な手法を用います。
Sandbox内で起動することで、セキュリティ製品にマルウェアの存在を検知されにくくし、痕跡を残さずに調査・活動を継続します。
また、一部のマルウェアは、実行後に自己消去する機能が備わっているため、ログにも残らず証拠隠滅することが可能です。
このように、Windows Sandboxを「隠れ蓑」として使い、セキュリティの目をかいくぐるのがMirrorFaceの攻撃の特徴です。
Visual Studio Codeを悪用
「Visual Studio Code(以下、VS Code)」は、世界中の開発者に利用されている無料のコードエディターで、豊富な拡張機能(プラグイン)によって高い柔軟性と利便性を誇るツールです。
MirrorFaceは、VS Codeの「拡張性の高さ」を攻撃の足がかりとするケースがあります。
たとえば、悪意のある拡張機能をインストールし、マルウェアを背後で実行させたり、不正な外部通信をおこなわせたりする手口が確認されています。
また、VS Codeの起動時に自動的に不正なコードが実行されるよう設定し、ユーザーの気づかぬうちに攻撃を継続させることも可能です。
開発者が日常的に使用するツールが悪用されると、攻撃の発見が遅れ、被害が深刻化するリスクが高まります。
とくに開発部門やIT管理部門のPCは、重要な情報資産やシステムへのアクセス権を有しているため、MirrorFaceにとっては格好の標的となり得ます。
信頼性の高い開発環境を維持するためには、拡張機能の導入管理や実行権限の制御を含めた対策が必要不可欠です。
前述した2つの手口はいずれも、「ユーザーが安心して使っている正規のツール」を使って攻撃を仕掛けるという点で共通しています。
前述した通りMirrorFaceは、痕跡を残さずに拠点を築くため、外部のセキュリティ監視から逃れやすく、長期間にわたり内部での活動を続けることが可能なのです。
MirrorFaceによるサイバー攻撃への対策
MirrorFaceのような高度なサイバー攻撃グループに狙われた場合、ひとつの対策だけで完全に防ぐことは難しいのが現実です。
ですが、日常的なセキュリティ対策を地道に徹底することで、攻撃を未然に防ぐ、あるいは早期に検知することが可能です。
本記事では、MirrorFaceによる攻撃をはじめとするサイバー攻撃への対策方法を6つ紹介します。
詳しく確認していきましょう。
不審なメールの添付ファイルやリンクは安易に開かない
MirrorFaceによる標的型攻撃の多くは、メール経由でマルウェアを送り込む手法を取っています。
とくに、正規の担当者や関係者を装ってメールを送り、巧妙に添付ファイルやリンクを開かせようとしてくる特徴があります。
メールによる感染を防ぐには、送信元に覚えがないメールや、内容に違和感のあるメールを受け取った場合、安易に添付ファイルを開いたりリンクをクリックしたりしないという意識づけが重要です。
社内アドレスや過去にやり取りをした相手のメールアドレスであっても、少しでも違和感がある場合は、ファイルやリンクを開かずに、送信者やシステム管理者などに確認・相談をしましょう。
とくに、業務上重要なファイルのやりとりは、信頼できる手段での確認徹底が求められます。
エンドポイントセキュリティを強化する
PCやスマートフォンなどのエンドポイントは、サイバー攻撃者にとって最も狙いやすい侵入口のひとつです。
業務で使用しているデバイスが一度マルウェアに感染してしまうと、該当の端末だけじゃなく、社内ネットワーク全体への拡散や、機密情報の流出といった甚大な被害につながる恐れがあります。
このような被害リスクを防ぐためには、エンドポイントにおけるセキュリティ体制の強化が欠かせません。
エンドポイントセキュリティの強化にとくに効果的なのが、ウイルス対策ソフトとEDRを組み合わせた多層的防御です。
EDRは、デバイスの挙動をリアルタイムで監視し、不審な操作やファイルの動き・未知の脅威に対して即座にアラートを上げたり、封じ込めをおこなったりする機能を備えています。従来型のウイルス対策製品が防げない高度な攻撃やゼロデイ攻撃への対応においても、EDRは大きな力を発揮します。
さらに最近では、AIを活用したアンチウイルス・EDR製品も登場しており、セキュリティの精度と効率が飛躍的に高まっています。
従来のパターンマッチングだけに頼らず、AIが学習した異常挙動のパターンに基づいてリアルタイムで検知・判断するため、未知のマルウェアやファイルレス攻撃などにも柔軟に対応可能です。
ログの取得および保存をおこなう
万が一サイバー攻撃が発生した場合、被害の範囲や侵入経路を特定するためには、システムやネットワークのアクセスログの分析が不可欠です。
この分析には、リアルタイムで収集されるログだけでなく、一定期間にわたって保管されたログも必要になります。
継続的にログを取得し保存する管理体制を整備しておくことで、攻撃の早期発見や被害の最小化につながるでしょう。
マクロの有効化に注意する
マルウェア感染の手口として、ExcelやWordなどの「マクロ機能」を悪用する事例が後を絶ちません。
とくにMirrorFaceのような高度な攻撃グループは、巧妙に偽装した業務文書を通じてマクロの実行を誘導するケースがあります。
通常、マクロは自動で実行されない設定になっていますが、ユーザーが不用意に有効化してしまうと、悪意あるコードが実行されてしまいます。
マクロ付きファイルを扱う際は、出所や内容を慎重に確認する習慣をつけることが大切です。
セキュアなネットワーク環境を構築する
社内ネットワークの設計そのものを見直すことも、攻撃への耐性を高めるうえで効果的です。
セキュアなネットワーク環境には、ファイアウォールによる通信の制御、VPNを用いた安全な接続、アクセス権の最小化など、複数のレイヤーで守る「多層防御」の考え方が求められます。
また、業務ごとにネットワークを分割(セグメンテーション)しておくことで、一部が侵害されたとしても被害の拡大を防ぐことが可能です。
脆弱性診断・ペネトレーションテストを実施する
自社のシステムやネットワークにどのような弱点(脆弱性)が存在するかを把握するには、専門のセキュリティ技術者による脆弱性診断やペネトレーションテストが有効です。
MirrorFaceのような攻撃者は、一般に公開されている脆弱性情報をもとに侵入口を探し出します。
そのため、定期的に診断を実施し、継続的に適切な対応を講じることで、攻撃者が侵入できない強固なセキュリティ体制を構築できるでしょう。
高度なサイバー攻撃への対策は「LANSCOPEソリューション」におまかせ
高度なサイバー攻撃の対策には、入口対策・内部対策のそれぞれに強みを持つ「LANSCOPEシリーズ」のセキュリティソリューションにお任せください。
本記事では、以下の2種類のソリューションを紹介します。
- 未知のマルウェアも検知・ブロックするAIアンチウイルス「LANSCOPE サイバープロテクション」
- プロフェッショナルの知見で最新のセキュリティ脅威に対抗する「LANSCOPE プロフェッショナルサービス」
LANSCOPE サイバープロテクション
MirrorFaceが仕掛ける高度なサイバー攻撃は、前述した通り、いつの間にかネットワーク内に潜伏し、活動している恐れがあります。
被害を防ぐためには、「侵入させない」対策に加えて、「侵入した場合に、感染前に検知する」エンドポイントのアンチウイルス製品の活用が効果的です。
エンドポイントセキュリティの強化には、業界最高峰のAIアンチウイルス「LANSCOPE サイバープロテクション」の導入がおすすめです。
「LANSCOPE サイバープロテクション」は、AI技術を活用した革新的な手法で、高精度でマルウェアを検知し、感染を未然に防ぐことが可能です。
「LANSCOPE サイバープロテクション」では、凶悪なマルウェアを速やかに検知・ブロックする、2種類のAIアンチウイルスを提供しています。
用途に応じて適切な製品を選択し、高度なサイバー攻撃への対策を目指してください。
「LANSCOPE サイバープロテクション」についてより詳しく知りたい方は、下記をあわせてご確認ください。
関連ページ
LANSCOPE プロフェッショナルサービス
自社のシステムやネットワークにどのような弱点(脆弱性)が存在するかを把握するには、専門のセキュリティ技術者による「脆弱性診断」や「ペネトレーションテスト」が有効です。
「LANSCOPE プロフェッショナルサービス」は、リピート率90%を誇る高品質な「脆弱性診断」と、実戦レベルの「ペネトレーションテスト」を提供しています。
「脆弱性診断」では、ネットワークやサーバー、Webアプリケーション、クラウドサービスなどの情報システム全体のリスクを診断し、脆弱性やハッキングを受ける可能性があるセキュリティホール、機密情報の持ち出しなどの内部不正といった、さまざまなセキュリティリスクの洗い出しを実施します。
また、「ペネトレーションテスト」では、実際に攻撃者の立場になってコンピューターやネットワークに侵入しようとする試みをおこない、セキュリティ上の脆弱性や問題点を発見し、最適な対策方法を提示します。
「LANSCOPE プロフェッショナルサービス」は、国家資格をもつ経験豊富なスペシャリストが、お客様の利用環境に潜む脆弱性・セキュリティリスクを網羅的に洗い出し、効率的な脆弱性対策をサポートします。
「自社環境やサービスの脆弱性に懸念がある」「診断ツールではなく、プロの目による診断を受けたい」という企業・組織の方は、ぜひ一度、「LANSCOPE プロフェッショナルサービス」にお問い合わせください。
ご都合や予算等に応じて、最適なプランをご紹介させていただきます。
まとめ
MirrorFaceとは、日本を主な標的とするサイバー攻撃グループで、高度で巧妙なサイバー攻撃を仕掛ける特徴があります。
近年、 MirrorFaceの攻撃に限らず、高度で巧妙なサイバー攻撃が増加しています。
平時から適切なセキュリティ対策を実施し、堅牢なセキュリティ体制の構築を目指しましょう。
▼本記事のまとめ
- MirrorFaceとは、日本を主な標的とするサイバー攻撃グループ
- MirrorFaceの主な侵入手口は、標的型攻撃メールやネットワーク機器の脆弱性である
- MirrorFaceによるサイバー攻撃を防ぐには、エンドポイントセキュリティの強化や継続的なログ取得に加えて、不審なファイルやリンクを開かないセキュリティ意識が重要である
- 攻撃者が侵入できない強固なセキュリティ体制の構築には、定期的に脆弱性診断やペネストレーションテストを受けることが効果的である
本記事で紹介した「巧妙化するマルウェアの感染手口」についてまとめた資料や、はじめて脆弱性診断を受ける方、効果的な脆弱性診断を実施したい方に向けて、「脆弱性診断の正しい進め方ガイド」をご用意しています。
ぜひダウンロードして、堅牢なセキュリティ体制の構築にお役立てください。
おすすめ記事
