警察庁は2025年1月8日に【MirrorFace】と呼ばれるサイバー攻撃グループの注意喚起を発表しました。この記事ではサイバー攻撃グループ【MirrorFace】について、プレスリリースや報道記事などの情報をもと解説し、どのような対策が必要なのかを専門家目線でまとめています。
目次
警察庁が「MirrorFace」の注意喚起を発表
2025年1月8日、警察庁及び内閣サイバーセキュリティセンターでは、2019年頃から現在に至るまで、日本国内の組織、事業者及び個人に対するサイバー攻撃キャンペーンが、「MirrorFace」(ミラーフェイス)と呼ばれるサイバー攻撃グループによって実行されたと発表されました。
発表された注意喚起は、MirrorFaceの攻撃手口を公表し、標的となる可能性のある組織や個人にサイバー空間の脅威を認識させ、適切なセキュリティ対策を促すことを目的とされています。
出典:警察庁
MirrorFaceとは
「MirrorFace」は、別名「Earth Kasha」(アース カシャ)と呼ばれ、2019年頃から日本国内の組織を標的とするサイバー攻撃グループです。主に政府、シンクタンク、政治家、メディア関係者を対象に、標的型メールや脆弱性を利用したネットワーク侵入によって情報窃取を試みていると発表されています。警察庁と内閣サイバーセキュリティセンターは、このグループの活動を中国の関与が疑われる組織的なサイバー攻撃と評価しています。
出典:警察庁
MirrorFaceのサイバー攻撃の手口
Mirrorfaceの攻撃の手口は、多様な手法を駆使しています。これにより、防御が複雑化し、対策が困難になります。使用されるおもな手法は以下の3つが挙げられています。
1.標的型攻撃メール(フィッシングメール)
LODEINFO、NOOPDOOR、ANELなどのマルウェアを含むファイルを添付したメールを送付して受信者が添付ファイルを開くことにより、マルウェアに感染させる手口で攻撃をします。
2.ソーシャルエンジニアリング
人間の心理的な弱点や信頼を悪用して、不正に情報やアクセス権を取得する攻撃手法です。技術的な手法を用いずに情報漏洩やシステム侵入を引き起こします。
例としてなりすましやフィッシングがあります。また、攻撃者が「サポート窓口の電話番号が変更になりました」と偽の連絡先情報を通知し、ターゲットが自ら連絡してくるよう誘導するリバース・ソーシャル・エンジニアリングも挙げられます。
先述した標的型攻撃メールもソーシャルエンジニアリングの手法のひとつです。
3.VPN機器の脆弱性を突いた侵入
VPN機器とは、インターネット上で安全な通信を実現するために、暗号化された仮想プライベートネットワークを構築・管理するための専用ハードウェアやソフトウェアのことです。
攻撃者は、VPN機器のファームウェアやソフトウェアに存在する既知の脆弱性を悪用し、不正に管理権限を取得をします。
中でもMirrorFaceは、Windows Sandbox機能という本来安全にアプリをテストするための仮想環境を利用し悪意のあるソフトウェアを隠蔽することによって、Sandbox内でマルウェアを実行してホスト環境からの検出を回避しより高度な攻撃を実行していると報告されています。
出典:警察庁
MirrorFaceによって考えられる被害
MirrorFaceの目的は金銭を要求することではなく、機密文書、メール通信内容、認証情報などの重要な情報を取得することのため、長期的かつ深刻な被害をもたらす可能性があります。
また、特定の組織や個人を狙った攻撃を行い、ターゲットに合わせてカスタマイズされた高度な標的型攻撃のマルウェアを使用するため、一般的なセキュリティ対策では検知が困難になります。
一度侵入すると、長期間にわたりネットワーク内に潜伏し、継続的に情報を収集し、被害の規模が時間とともに拡大する危険性があります。
MirrorFaceのサイバー攻撃に対する対策の呼びかけ
システムとソフトウェアの徹底的な更新、 高度なセキュリティ対策、人的セキュリティ対策等を総合的に実施することで、MirrorFaceによるサイバー攻撃のリスクを大幅に低減することが可能です。
受信者側の対策
普段から交流のある送信者であっても、メールに違和感がある場合は添付ファイルを開いたりリンクをクリックしたりせず、送信者に直接確認することが重要です。
システム管理者側の対策
広範囲かつ長期間にわたるログの集中保存・管理を行い、VPN等のネットワーク機器のログを注意深く監視し、不審な接続や活動を確認することが求められます。
サイバー攻撃被害に遭った場合には、大幅な被害拡大を防ぐためのフォレンジック調査を調査専門業者に依頼することをお勧めします。
フォレンジック調査とは
フォレンジック調査とは、サイバー攻撃、情報漏えい、データ改ざんなどのセキュリティ関連インシデントが発生した際に、その原因を特定し、被害の範囲や影響を明らかにするための詳細な調査手法です。
もともとフォレンジック調査は、犯罪や事件が起きた時、その現場から犯行の手掛かりとなる「鑑識」を指していました。特にデジタルデータからの証拠収集・分析は「デジタル鑑識」あるいは「デジタル・フォレンジック」とも呼ばれます。
インシデントが起きた場合、特定の機関に報告義務が発生する場合があります。自社だけの調査では、調査報告をしても認められない場合があり、第三者機関で調査を行うのが一般的です。
私たちデジタルデータフォレンジック(DDF)には、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応実績があり、IPAからも承認を得ています。
相談や見積もりを無料で受け付けています。いつでも対応できるよう、24時間365日体制でご相談を受け付けておりますので、まずはお気軽にご相談ください。
\相談から最短30分でWeb打ち合わせを開催/
DDFは累計ご相談件数3.9万件以上のフォレンジック調査サービスです
まとめ
今回の記事では、サイバー攻撃グループMirrorFaceについて解説しました。
MirrorFaceは、国際的に注意喚起が発表されるようなグループですが、他にもサイバー攻撃グループは多く存在しており、いつ誰が標的にされるかはわりません。セキュリティ対策を行うことでリスクを少しでも小さくしていきましょう。
関連記事

