警察庁、中国の関与が疑われる日本国内へのサイバー攻撃に注意喚起。侵入手口など解説、CLI版VSCodeが悪用される例も
今回は「警察庁、中国の関与が疑われる日本国内へのサイバー攻撃に注意喚起。侵入手口など解説、CLI版VSCodeが悪用される例も」についてご紹介します。
関連ワード (使用、個人、分析等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、Publickey様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
警察庁は、主に日本の安全保障や先端技術などの情報窃取を目的とした、中国の関与が疑われる組織的なサイバー攻撃のキャンペーンが行われているとして注意喚起を行っています。
警察庁および内閣サイバーセキュリティセンターは、2019年頃から現在に至るまで、「MirrorFace」(ミラーフェイス)(別名、「Earth Kasha」(アース カシャ))と呼ばれるサイバー攻撃グループによって、日本国内の組織、事業者及び個人に対するサイバー攻撃キャンペーンが行われているとしています。
その攻撃対象や手口、攻撃インフラなどを分析した結果、「MirrorFace」による攻撃キャンペーンは、おもに日本の安全保障や先端技術に係る情報窃取を目的とした、中国の関与が疑われる組織的なサイバー攻撃であると評価されるとのことです。
3つの攻撃キャンペーンが報告
今回のサイバー攻撃は、主に以下の3つに分類されると報告されています。
攻撃キャンペーンA
2019年から2023年にかけて、主に日本のシンクタンク、政府(退職者含む)、政治家、マスコミに関係する個人や組織に対し、不正なプログラム(マルウェア)を添付したメールを送信してマルウェアに感染させ、情報窃取を試みるサイバー攻撃。
攻撃キャンペーンB
2023年頃から、インターネットに接続されたネットワーク機器のソフトウェアのぜい弱性を悪用して標的ネットワーク内に侵入するサイバー攻撃。主な標的は日本の半導体、製造、情報通信、学術、航空宇宙の各分野であった。
攻撃キャンペーンC
2024年月頃から、主に日本の学術、シンクタンク、政治家、マスコミに関係する個人や組織に対して、マルウェアをダウンロードするリンクを記載したメールを送信してマルウェアに感染させ、 情報窃取を試みるサイバー攻撃。
攻撃キャンペーンAとCはいずれも標的型メール攻撃ですが、攻撃キャンペーンAでは「LODEINFO」と呼ばれるマルウェアが使用され、主に添付ファイルの開封を感染の起点としてたのに対し、攻撃キャンペーンCでは「ANEL」と呼ばれるマルウェアが使用され、主にメール本文のリンク先を感染の起点としているという違いがあると説明されています。
さらにキャンペーンCではVisual Studio Code(VSCode)を悪用する手口も確認されているとしています。
キャンペーンごとの侵入手口や緩和策
それぞれのキャンペーンでの主な攻撃方法や対策についても公開されています。ここでは手短に紹介していきましょう。
攻撃キャンペーンAの侵入手口
標的となる受信者に対して、マルウェアを含むファイルを添付したメールを送付。受信者が添付ファイルを開くことにより、マルウェアに感染させる。送信者名として、受信者が所属する(又は所属していた)組織の元幹部や、受信者が関心のある専門分野の有識者を詐称した事例が多く把握されている。
添付ファイルは、Microsoft WordやMicrosoft Excelのほか、VHDファイル(仮想ハードディスクイメージ)やISOファイル(光学ディスクイメージ)を使った事例が把握されており、多くは、Microsoft Office ファイルのマクロを有効化することによって「LODEINFO」と呼ばれるマルウェアに感染する。
攻撃キャンペーンBの侵入手口
VPN機器(クラウド向け仮想アプライアンスを含む)の脆弱性や、何らかの手段で得た認証情報(クライアント証明書を含む)の悪用により侵入されたとみられる事例のほか、外部公開サーバのSQLインジェクションの脆弱性を悪用したとみられる事例が把握されている。
侵入後、Active Directoryサーバへの侵害、Microsoft 365への不正アクセス、仮想化サーバへの不正アクセスや仮想マシンイメージの取得事例などが把握されており、また、コンピュータをCobalt Strike BEACON、LODEINFO、NOOPDOORと呼ばれるマルウェアに感染させた事例も把握されている。
攻撃キャンペーンCの侵入手口
標的となる受信者に対してファイルをダウンロードさせるリンクが記載されたメールを送付し、受信者がダウンロードしたZipファイルを展開後に、Microsoft Office 文書を開いてマクロを有効化すること、また、Microsoft Office文書に偽装されたリンクファイル(拡張子がlnk)を開くことにより、ANELと呼ばれるマルウェアに感染させる手口が把握されている。
メールの件名は、「取材のご依頼」、「所蔵資料のおすすめ」、「国際情勢と日本外交」といったキーワードを含み、メールの本文は、詐称された送信者が過去に第三者とやりとりしていたメールを何らかの手段で窃取し、一部だけ改変して送付しているとみられるため、違和感がなかったなどの事例が把握されている。
VS Codeの開発トンネル機能(Microsoft dev tunnels)を遠隔操作ツールとして悪用した事例も把握されています。
攻撃に対する主な対策
注意喚起において解説されている対策は多岐に渡っているため、ぜひ元の文書を参照いただきたいのですが、ここでは対策の中から主なものをいくつか紹介しましょう。
VPN機器などの侵入において悪用された脆弱性は「CVE-2023-28461」「CVE-2023-27997」「CVE-2023-3519」などが挙げられています。これらの脆弱性について確認しておく必要があります。
VSCodeを悪用する手口については、攻撃者が侵入したPCへ密かにCLIツール版のVSCodeをダウンロード及びインストールした上で、開発トンネル機能(Microsoft dev tunnels)を使用することで、遠隔からのコマンド実行を可能にするというものです。
そのため、開発トンネル機能(Microsoft dev tunnels)が使用する通信先との不審な通信が発生していないかを監視、確認することが求められます。
標的型のメール攻撃に対しては、普段からの交流相手であっても普段と少しでも異なる状況、例えば、普段はMicrosoft Officeファイルをそのまま添付するやりとりが多いのに、パスワード付きZipファイルが届く場合、拡張子がVHDやISOといった日頃のやりとりでは見かけない形式のファイルが届く場合などの違和感を感じたら、添付ファイルを開いたりリンクをクリックしたりせず、送信者に確認することが求められます。
また、安易に「コンテンツの有効化」をクリックしないことも有効とされます。
ぜひ下記の警察庁による注意喚起をご一読されることをお勧めします。
≫MirrorFaceによるサイバー攻撃について(注意喚起)|警察庁Webサイト