警察庁は1月8日、「MirrorFaceによるサイバー攻撃について(注意喚起)|警察庁Webサイト」において、中国の関与が疑われる脅威グループ「MirrorFace(別名:Earth Kasha)」が日本国内の組織、事業者および個人に対してサイバー攻撃を実行したとして注意を喚起した。

サイバー攻撃は2019年頃から継続して実行されたと評価されており、確認された3種のサイバー攻撃キャンペーンについて概要を伝えている。

  • MirrorFaceによるサイバー攻撃について(注意喚起)|警察庁Webサイト

    MirrorFaceによるサイバー攻撃について(注意喚起)|警察庁Webサイト

確認された3種のサイバー攻撃キャンペーン

警察庁が公開したサイバー攻撃キャンペーンの概要は次のとおり。

シンクタンク、日本政府、政治家、マスコミへの攻撃

2019年から2023年にかけて、日本国内のシンクタンク、政府(退職者含む)、政治家、マスコミに関係する個人および組織を標的に攻撃が行われた。マルウェア「LODEINFO」を添付したスピアフィッシングメールを用い、添付ファイルを開いた被害者から情報窃取を試みた。

ネットワーク機器への攻撃

2023年頃からインターネット接続されたネットワーク機器の脆弱性を悪用して侵入する攻撃が確認された。日本国内の半導体、製造、情報通信、学術、航空宇宙分野の組織が主な標的となった。

侵害された環境からはトンネリングツールやWebシェルの設置が確認されている。また、侵害したコンピューターにマルウェアを展開した事例も確認されている。

学術、シンクタンク、政治家、マスコミへの攻撃

2024年6月頃から日本国内の学術、シンクタンク、政治家、マスコミに関係する個人および組織を標的に攻撃が行われた。マルウェア「ANEL」をダウンロードするリンクを記載したスピアフィッシングメールを使用し、マルウェアと気づかずに実行した被害者から情報窃取を試みた。

このキャンペーンではVisual Studio Codeの悪用も確認されている。Visual Studio CodeはMicrosoftが提供している開発者向けソフトウェアで、セキュリティソリューションから安全なソフトウェアとして認識されている。そのため、悪用しても検出される可能性は低く、インストール不要のCLIツールとして使用できる点も悪用性を高めている。

悪用された脆弱性

ネットワーク機器の侵害キャンペーンにおいては、次の脆弱性の悪用が確認されたと伝えている。

  • CVE-2023-28461 - Array NetworksのArray AGシリーズおよびvxAG(9.4.0.481およびそれ以前)に不適切な認証の脆弱性。認証されていないリモートの攻撃者は任意のコードを実行できる可能性がある(CVSSスコア: 9.8)
  • CVE-2023-27997 - FortiOSおよびFortiProxyのSSL-VPNにヒープベースのバッファーオーバーフローの脆弱性。認証されていないリモートの攻撃者は任意のコードを実行できる可能性がある(CVSSスコア: 9.8)
  • CVE-2023-3519 - Citrix NetScaler ADCおよびNetScaler Gatewayにコードインジェクションの脆弱性。認証されていないリモートの攻撃者は任意のコードを実行できる可能性がある(CVSSスコア: 9.8)

検知と緩和策

いずれのキャンペーンにおいてもWindows Sandbox(一部のWindowsに標準搭載された仮想環境)を悪用し、検出の回避およびフォレンジック調査の妨害を行うことが確認されている。

警察庁が発表した資料では、これら一連の攻撃への検知および緩和策が示されており、システム管理者およびユーザーは内容を確認し、必要に応じて実施することが推奨されている(参考:「(PDF) MirrorFace によるサイバー攻撃について (注意喚起)」)。

最後に、警察庁は機器の不審な動作やネットワークの不審な通信を検知した際に、速やかに所管省庁、警察、内閣サイバーセキュリティセンター、セキュリティ関係機関等に情報提供してほしいと呼びかけている。