中国 APT MirrorFace の脅威:日本の政府と民間の機密情報を狙うサイバー攻撃

Chinese APT Group Is Ransacking Japan’s Secrets

2025/01/10 DarkReading — 中国政府が支援する高度なサイバースパイ MirrorFace (別名:Earth Kasha) による、日本への攻撃により、国家安全保障に関する機密情報や、組織の技術情報などが、危険に晒されているとして、日本の警察庁と NISC (内閣サイバーセキュリティ・センター) が警告を発している。両局によると、APT (advanced persistent threat group) グループ である MirrorFace の活動は、2019年から開始されていたという。

警察庁の声明には、「この注意喚起は、MirrorFace によるサイバー攻撃の手口を公表することで、標的となる組織/事業者/個人が直面する、サイバー空間の脅威への認識を促すものである。それにより、サイバー攻撃の被害の拡大防止/未然防止のための、適切なセキュリティ対策を推奨していく」と記されている。

MirrorFace による日本へのサイバー攻撃

日本の法執行機関は、2019年頃から現在に至るまで、日本の組織に対して実行された、MirrorFace による以下の3種類の攻撃を特定した。

キャンペーンA:2019年〜2023年

MirrorFace が日本の機密情報を盗むために用いた、初期の永続的な戦術は、日本のシンクタンク/政府/政治家に対してマルウェアを送り込むことを目的とした、精巧なフィッシング・キャンペーンであった。

キャンペーン B:2023年

2023年には、MirrorFace の攻撃対象は、医療/製造/情報通信/教育/航空宇宙などの分野におけるネットワーク・デバイスの脆弱性へと変化した。このキャンペーンでは、Fortinet FortiOS/FortiProxy (CVE-2023-28461)、Citrix ADC CVE-2023-27997、Citrix Gateway (CVE-2023-3519) などの脆弱性が悪用された。また、2023年2月〜10月にかけては、MirrorFace が外部公開サーバの SQL インジェクションの脆弱性を悪用し、日本の組織にアクセスしていたことも確認されている。

キャンペーン C:2024年6月頃〜

2024年6月頃からは、メディア/シンクタンク/日本の政治家を標的とし、マルウェアを送り込むことを目的とした、別のフィッシング・キャンペーンが開始された。

ーーーーー

中国の別の APT グループである Salt Typhoon によるサイバー攻撃が注目を集める中で、これらの MirrorFace の活動に関する情報が明らかになった。なお、Salt Typhoon の攻撃は、米国およびグローバルな電気通信企業米国財務省を対象に実行されている。

MirrorFace は、中国人民解放軍 (PLA:People’s Liberation Army) のサイバー戦部隊として活動しているようだと、元 FBI 特別捜査官であり、ExtraHop の CISO である Mark Bowling は述べている。

Bowling は、「MirrorFace は、2019年以降から、巧妙に作られたスピア・フィッシング・キャンペーンを展開している。彼らは LODEINFO/MirrorStealer などの兵器化されたコード/ロジックを使用して、認証情報の窃取や特権の昇格を行ってきた。さらに、日本との武力紛争を想定して、中国軍が優位に立つために利用できる、データの外部流出を行っている」と述べている。

地政学的な緊張が世界中で高まり続けている中で、Bowling が予測しているのは、特に米国を標的とする国家支援の APT 活動の増加である。

Bowling は、「ウクライナでの戦争や、台湾における緊張、そして、代理戦争として進行中のイラン/イスラエルの敵対関係などを背景として、より攻撃的で執拗なデジタル・キャンペーンが展開されている。今年は、国家支援のグループによる脅威の、大規模化と高度化が顕著になるだろう。公益事業/電気通信/医療などの重要なインフラが、標的にされることに間違はない」とコメントしている。

この、MirrorFace による攻撃に関しては、2025/01/09 の「中国系 APT の MirrorFace による日本への攻撃:2019年から続く侵害とは」が第一報となります。こちらの記事が、日本サイドからの情報で構成されているのに対して、今回の記事は米国からのコメントも併記される形となっています。まだまだ、続報がありそうな感じがします。よろしければ、 Salt Typhoon で検索も、ご参照ください。