MirrorFace APT: 日本を狙う執拗なサイバー脅威

長期にわたるスパイ活動

日本のサイバーセキュリティは、中国とつながりがあるとされる高度なサイバースパイ集団「MirrorFace APT」という形で継続的な課題に直面している。この脅威グループは少なくとも2019年から標的型攻撃を画策しており、日本全国の組織、企業、著名人への侵入に注力している。警察庁（NPA）と内閣サイバーセキュリティセンター（NCSC）の当局は、国家安全保障と技術の進歩に関連する情報収集を目的としたサイバー作戦の主要プレーヤーとしてMirrorFaceを指摘している。

MirrorFace と APT10 とのつながり

MirrorFace (別名 Earth Kasha) は、複数の国に対してサイバースパイ活動を行った経歴を持つ、より大規模な APT10 グループの関連組織であると考えられています。同グループは、ANEL、LODEINFO、NOOPDOOR (別名 HiddenFace) など、さまざまなカスタム ツールや公開ツールを利用して活動を行っています。

この脅威グループは、スピアフィッシング戦術を採用し、セキュリティの脆弱性を悪用して標的のシステムに侵入することで知られています。日本が依然として主な標的ですが、台湾やインドでも活動が確認されており、より広範な戦略的関心を示唆しています。

時間の経過とともに展開するキャンペーン

MirrorFace の活動は 3 つの異なるキャンペーンに分類されており、それぞれが特定の手法とツールを使用してネットワークに侵入し、データを盗み出します。

政治団体とメディア団体をターゲットとする（2019～2023年）

最初の大規模なキャンペーンは、2019年12月から2023年7月にかけて行われ、政治機関、メディア、政府機関、研究機関を標的としていました。攻撃者はスピアフィッシングメールを展開することで、情報収集とリモートアクセス用に設計されたLODEINFO、NOOPDOOR、 Lilith RATのカスタマイズされた亜種（LilimRAT）などの悪意のあるペイロードを配布しました。

重要な産業におけるセキュリティの弱点の悪用（2023）

2023年2月から10月にかけて第2波の攻撃が発生し、日本の経済・技術インフラにとって極めて重要な産業に注目が移りました。半導体製造、通信、航空宇宙、学術などの分野が主な標的となりました。この段階では、インターネットに接続されたデバイス、特にArray Networks、Citrix、Fortinetに関連するデバイスの既知の脆弱性が悪用されました。攻撃者はこれらの弱点を利用して、 Cobalt Strike Beacon 、LODEINFO、NOOPDOORなどのツールを展開し、企業ネットワーク内に足がかりを築きました。

最近の戦術と適応（2024年～現在）

2024 年 6 月に出現した最新の既知の攻撃は、再び学術機関、研究機関、政治家、メディア関係者を標的としています。スピアフィッシングは依然として主要な侵入手段であり、攻撃者は ANEL (別名 UPPERCUT) を配信してシステムを侵害し、永続的なアクセスを確立します。

ステルスと持続性のための高度な技術

MirrorFace は、最新のセキュリティ対策を回避するために戦術を適応させる能力を実証しています。注目すべき手法の 1 つは Visual Studio Code リモート トンネルを使用するもので、これによりグループは検出を回避しながら、侵害されたシステムを秘密裏に制御することができます。

さらに、このグループは、安全なアプリケーション テスト用に設計された機能である Windows Sandbox 内で悪意のあるペイロードを実行していることが確認されています。この隔離された環境で有害なコードを実行することで、攻撃者はシステムの再起動時に活動の痕跡が消えるようにし、フォレンジック分析で重要な証拠が発見されるのを防いでいます。

サイバーセキュリティと防衛への影響

MirrorFace の継続的な活動は、日本およびアジア太平洋地域全体が直面しているサイバー脅威の進化を浮き彫りにしています。このグループは国家安全保障、テクノロジー、産業に重点を置いているため、その活動は政府の政策と民間部門のセキュリティ戦略の両方に重大な影響を及ぼす可能性があります。

高リスク分野で事業を展開する組織は、こうした脅威に対抗するために、常に警戒を怠らず、積極的なサイバーセキュリティ対策を講じる必要があります。これには、電子メールのセキュリティ強化、既知の脆弱性を修正するためのソフトウェアの定期的な更新、異常なネットワーク アクティビティを識別できる高度な検出ツールの導入などが含まれます。

続くサイバー紛争

MirrorFace APT の活動は、サイバースパイ活動の永続性と、協調的なサイバーセキュリティ活動の重要性を強調しています。当局はグループの手法を追跡し、分析することができていますが、その影響を軽減し、将来の攻撃に先手を打つことは依然として課題となっています。脅威アクターが技術を改良し続ける中、国家や組織は機密情報を不正アクセスから保護するために防御を強化する必要があります。