ニューノーマル処方箋(第64回)
ランサムウエアがビジネス化。「RaaS」の脅威
<目次>
・2019年から日本を狙いサイバー攻撃を続ける「MirrorFace」とは
・【手口その1】痕跡が付かない!?「Windows Sandbox」の悪用
・【手口その2】無償提供の開発ツールが、被害者のPCを遠隔操作
・MirrorFaceの攻撃の根幹にマルウエアあり
2019年から日本を狙いサイバー攻撃を続ける「MirrorFace」とは
警察庁と内閣サイバーセキュリティセンターは2025年1月8日、2019年から現在に至るまで、日本国内の組織・事業者・個人に対するサイバー攻撃キャンペーンが、「MirrorFace」(ミラーフェイス)と呼ばれるグループによるものであることを発表しました。
同発表によると、MirrorFaceは「Earth Kasha(アース カシャ)」とも呼ばれるサイバー攻撃グループで、2019年より日本のシンクタンクや政治家、マスコミに関係する個人および組織をターゲットにマルウエアを添付したメールを送信し、情報窃取を試みるサイバー攻撃を行っていました。
2023年頃には、日本の半導体・製造・情報通信・学術・航空宇宙の各分野を対象に、インターネットに接続されたネットワーク機器に対してソフトウエアの脆弱性を悪用し、ネットワーク内に侵入するサイバー攻撃を実行しました。さらに2024年6月からは、学術・シンクタンク・政治家・マスコミに対し、マルウエアをダウンロードさせるリンクを記載したメールを送り、情報窃取を試みたとしています。
同発表ではこれらMirrorFaceによる攻撃は、日本の安全保障や先端技術に関する情報窃取を目的とした、中国の関与が疑われる組織的なサイバー攻撃活動であると評価しています。
【手口その1】痕跡が付かない!?「Windows Sandbox」の悪用
MirrorFaceが行うサイバー攻撃の手口には、一定の傾向があります。その1つが、「Windows Sandbox」の悪用です。
Windows Sandboxとは、Windows 10もしくは11のPro、Enterprise、Educationエディションで利用できる、仮想マシンを構築するためのソフトウエアです。PC内に別の仮想的なWindowsデスクトップ環境を構築し、ホストコンピュータ(リアル環境で使用中のPC)から隔離された環境で、さまざまなアプリケーションのテストを一時的に実行できます。
攻撃者はWindows Sandboxの起動設定を利用し、ホストコンピュータ内にあらかじめ感染させておいたマルウエアをWindows Sandboxで永続的かつ密かに実行し、C2サーバー(攻撃者がマルウエアに感染した端末を遠隔操作するために使用するサーバー。司令塔サーバー)と通信させていました。
この場合、仮想環境でマルウエアが永続的に活動するため、ウイルス対策ソフトやEDRなどのセキュリティツールによる監視の目から逃れられる上、PCがシャットダウンされるとWindows Sandbox内の痕跡も消去されるため、マルウエアの証跡調査は困難だといいます。
警察庁は別添の資料にて、Windows Sandboxの利用予定がなければ機能をオフ(無効)にすること、Windows Sandboxを実行痕跡が確認できるよう設定を変更することを呼びかけています。
Windows Sandboxの機能が有効か否かは、「コントロールパネル」→「プログラムと機能 」→「Windowsの機能の有効化または無効化」で確認できる
(警察庁「Windows Sandboxを悪用した手口及び痕跡・検知策」の資料より引用)
【手口その2】無償提供の開発ツールが、被害者のPCを遠隔操作
別の手口として、「Visual Studio Code」の悪用も挙げています。
Visual Studio Codeは、Microsoftが無償で提供しているプログラム開発に用いられるツールで、「Microsoft dev tunnels」という、リモートからソフトウエアの開発を行ったり、コマンドでコンピューターを操作したりする機能を備えている点が特徴です。
MirrorFaceの攻撃は、まずは標的型メールで被害者のPCにマルウエアを感染させ、そのマルウエアがMicrosoft dev tunnels機能を使うためのツール「VS Code CLI」をダウンロードさせます。攻撃者はこのVS Code CLIを利用して被害者のPCを遠隔操作し、コマンド実行を行うとしています。
警察庁は別添の資料にて、Visual Studio Codeが悪用された痕跡は特定のフォルダの作成やイベントログなどから確認できるとして、その表示方法を公開しています。
MirrorFaceの攻撃の根幹にマルウエアあり
警察庁はMirrorFaceによる攻撃を検知し、被害を緩和させるための策として、まずは標的型メールに注意するよう呼びかけています。
標的型メールに多く見られる件名は国際情勢に関連したものが多く、例えば「日米同盟」「台湾海峡」「ロシア・ウクライナ戦争」といったキーワードを含むものが見られるそうです。この他、「勉強会案内」「会合資料」「委員会名簿」といった受信者の関心を引くもの、受信者と交流のある人物を詐称した氏名や名字で「●●●●です。」といったものもあると解説しています。
加えて、安易に「コンテンツの有効化」ボタンをクリックしないよう指摘しています。このボタンは、添付ファイルやダウンロードしたファイルを開いた際に、Microsoft Officeファイルのマクロが実行される間際に表示されます。このボタンをクリックさせる表示が画面に表れた場合は、受信したファイル内容にマクロのような高度な機能が本当に必要かを検討し、不審に感じた場合はファイルの提供元に確認するよう呼びかけています。
システム管理者に対する注意喚起では、広範囲かつ長期間にわたってログを集中保存・管理することや、Windowsにおいて必要のない機能やソフトウエアの有効・使用状況を確認することなどを挙げています。
ここまで述べたように、MirrorFaceはWindowsのさまざまな機能を駆使し、証跡や痕跡が残りにくいサイバー攻撃を仕掛けていますが、その攻撃の根幹にはマルウエアの存在があります。MirrorFaceの攻撃はいずれも標的型メールから始まっており、Windows SandboxもVisual Studio Codeも、端末がマルウエアに感染しなければ、悪用される可能性を抑えられます。
すべての攻撃のきっかけであるマルウエアをどう防ぐか、その感染源である標的型メールにどう対抗するかが、MirrorFaceの脅威から逃れるための近道といえるでしょう。
【TP】
あわせて読みたい記事
連載バックナンバー
ニューノーマル処方箋
- 第68回 大量の通知で多要素認証を突破する?ユーザーを消耗させる攻撃手口とは 2025.05.14
- 第67回 テレワークの長時間労働を抑える「境界マネジメント」6選 2025.05.13
- 第66回 パタハラにご注意!2025年4月より育児・介護休業のルールが改正 2025.05.12
- 第65回 暗号化しない新たなサイバー攻撃「ノーウエアランサム」とは 2025.05.09
- 第64回 ランサムウエアがビジネス化。「RaaS」の脅威 2025.05.02
- 第63回 セキュリティ機器の"抜け穴"は「ASM」で塞げる 2025.05.02
- 第62回 2019年から日本を狙いサイバー攻撃を続ける「MirrorFace」の脅威 2025.04.30
- 第61回 新人教育の定番「OJT教育」を効果的に実施する方法とは 2025.04.25
- 第60回 「セキュリティが速度を犠牲にする」は、過去の話? 2025.04.25
- 第59回 サイバー攻撃による被害を防ぐために、企業が考えるべきセキュリティのポイント 2025.05.13
- 第58回 1本の電話が大きなリスクに!? 実は怖い迷惑電話とその対策 2025.02.07
- 第57回 ビジネスケアラーが増加中。企業がすべき支援とは 2024.07.31
- 第56回 エコカーを導入すると、補助金がもらえる!? 2024.07.31
- 第55回 AIの「禁止事項」とは何か?AI事業者ガイドラインを読む 2024.07.31
- 第54回 トラックの運賃が上がる?国土交通省が「標準的運賃」を改定 2024.07.30
- 第53回 雇用調整助成金の新制度は「リスキリング」が重要 2024.07.30
- 第52回 文章生成AIの理想的な使用法とは?東京都がガイドラインを公開 2024.07.30
- 第51回 パスワードがなくても認証できる!「パスキー」とは 2024.07.30
- 第50回 若者世代は特に不調!?従業員のメンタルヘルスは大丈夫? 2024.07.24
- 第49回 小規模事業者に限定した補助金を受給する方法 2024.07.24
- 第48回 インボイスにも対応「IT導入補助金2024」を解説 2024.07.12
- 第47回 なぜだまされる?「特殊詐欺」を食い止める方法 2024.07.10
- 第46回 IPAが警告「遠隔操作ソフト」を使った詐欺の防ぎ方 2024.07.10
- 第45回 オフィスソフトは「買い切り型/クラウド型」どっちを選ぶ? 2024.06.28
- 第44回 医療機関を狙ったサイバー攻撃が増加中。どう防げば良いのか? 2024.06.28
- 第43回 自動車産業がサイバー攻撃に狙われている!?どう防ぐ? 2024.06.28
- 第42回 中堅企業も対象に。2024年度の「賃上げ税制」とは 2024.03.28
- 第41回 生成AIで作った文章・画像は、著作権法に違反していないのか? 2024.03.28
- 第40回 偽のセキュリティ画面に要注意!サポート詐欺の解決法 2024.03.28
- 第39回 ついに解禁 「Wi-Fi 7」は何が優れているのか? 2024.03.25
- 第38回 介護離職が増加中。仕事と介護を両立する方法とは 2024.02.27
- 第37回 「賃上げ」につながる価格交渉とは?公取委が公開 2024.02.27
- 第36回 非正規労働者の正社員化をサポートする助成金が拡充 2024.02.27
- 第35回 被害拡大中「フィッシング詐欺」の防ぎ方 2024.02.27
- 第34回 すべての通信を信用しない「ゼロトラスト」とは何なのか 2024.01.30
- 第33回 12月から社用車にもアルコールチェッカーが必須に! 2024.01.29
- 第32回 極地でも高速通信「スターリンク」の可能性 2024.01.26
- 第31回 IoTがサイバー攻撃を招く!?「ボットネット」の恐怖 2024.01.26
- 第30回 中小企業はどうやって価格交渉をすれば良いのか? 2024.01.25
- 第29回 「労働条件明示」のルールが変更。何が変わるのか? 2024.01.24
- 第28回 高齢化社会に適したビジネスとは?「2025年問題」を考える 2024.01.23
- 第27回 ゼロデイ攻撃はどう防ぐ? 2024.01.22
- 第26回 「スマート工場」でセキュリティ事故を防ぐためにはどうすれば良いか? 2024.01.19
- 第25回 2024年問題はどうすれば解決できるのか?厚生労働省が特設サイトを公開 2024.01.19
- 第24回 “事務作業の負担軽減”が新たな付加価値を生む 2023.09.20
- 第23回 製造業成長請負人が語る"デジタルな土壌"の作り方 2023.06.07
- 第22回 「ディフェンス重視」が、生き残る企業の条件になる 2023.03.30
- 第21回 「幻の日本酒」が安定供給できた裏にデータ活用あり 2023.03.30
- 第20回 可視化と分析でさらなる業務変革へ ビジネスプロセス改善の最新手法「プロセスマイニング」を解説 2023.03.30
- 第19回 バブル期京都でDX実現!24時間稼働の無人工場 2023.03.30
- 第18回 離職率が40%→10%に!一役買ったオンボーディング 2023.03.30
- 第17回 SaaSを使いこなして業務効率化、投資対効果を上げるクラウドサービスの選定・導入ガイド 2022.03.29
- 第16回 予防&万が一の速やかなデータ復旧で業務を止めない! ランサムウエアの被害を防ぐバックアップ6つのポイント 2022.03.29
- 第15回 シミュレーションの常識が劇的に変わる。リアルを超再現した「デジタルツイン」で一歩先行くビジネスを 2022.03.29
- 第14回 政府主導のプロジェクト例も解説、「農業DX構想」が描く農業の未来 2022.03.29
- 第13回 コロナ禍でも売り上げ30%増。地方工務店が進めたDX 2022.03.16
- 第12回 着物DXで経営を立て直した博多織五代目の「勝算」 2022.03.15
- 第11回 ドローン「免許制」で何が変わる?第一人者が解説 2022.03.15
- 第10回 年4億円コスト削減を達成した地方製造業のIoT活用術 2022.03.14
- 第9回 「小売業再建のプロ」が語る、利益率UPのヒント 2022.03.14
- 第8回 中小企業こそDXに向く。町工場・今野製作所の挑戦 2021.12.20
- 第7回 製造業がめざすべきDXのアプローチと未来の姿|「つながる工場」が変革へのカギに 2021.08.26
- 第6回 ワークマンを支える「Excel経営」とは?土屋専務に聞く 2021.08.25
- 第5回 日本版ワーケーション成功の合言葉は「ワクワク感」 2021.07.14
- 第4回 リスク対策のプロに聞く「儲かるBCP」とは 2021.03.10
- 第3回 その対策は効果ナシ! セキュリティの常識を検証する 2021.02.19
- 第2回 日本に必要なのは「問題児」。APU出口学長が語る 2021.01.20
- 第1回 成果が出るテレワーク、出ないテレワークの違いとは 2020.11.10