MirrorFace
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2026/01/20 00:57 UTC 版)
MirrorFace(ミラーフェイス)は、中華人民共和国を背景に持つとされる持続的標的型攻撃(APT)グループである。セキュリティベンダーによっては「Earth Kasha」(アース・カシャ)とも呼ばれる。遅くとも2019年から活動が確認されており、主に日本の政治団体、シンクタンク、学術機関、防衛産業などを標的としたサイバースパイ活動を行っている[1]。
広義には、中国国家安全部(MSS)との関連が疑われる「APT10」(別名:Stone Panda、MenuPass)の傘下にあるサブグループ、あるいはリソースを共有する実行部隊として評価されている[2]。
概要
MirrorFaceは、日本の国益に関わる情報の収集を主な目的としており、特に日本の外交政策、安全保障戦略、選挙情勢などに関連する非公開情報を標的としている。当初は日本国内への局所的な攻撃が中心であったが、2024年以降は欧州連合(EU)の外交機関や、台湾、インド、ベトナムといったインド太平洋地域の組織へと攻撃範囲を拡大していることが確認されている[3]。
MirrorFaceという呼称は、ESETなどが使用し、活動初期に日本の組織から情報を窃取するために使用された独自のマルウェア「MirrorStealer」に由来する。また、実在する政治家や組織になりすますミラーリング手法を多用することにも関連している[4]。トレンドマイクロは、「Kasha(火車)」呼称を用いている。火車は日本の妖怪であり、死体を盗む伝承があることから、執拗に日本の情報を持ち去る性質になぞらえている。複数の分析機関は、使用されるマルウェア(LODEINFOやANEL)のコード類似性やインフラの共有状況から、MirrorFaceをAPT10クラスタの一部と位置づけている[4]。
活動
2019年〜2023年頃までは、スピア・フィッシングメールを主要な侵入経路としていた。日本のシンクタンク、報道機関、国会議員などを標的とし、実在するジャーナリストや広報担当者になりすまして、悪意あるマクロを含んだWord文書や、マルウェアを格納したISOファイルを送り、マルウェアを送り込んだ[5]。2022年7月の第26回参議院議員通常選挙直前には「Operation LiberalFace」と呼ばれるキャンペーンが展開された。この作戦では、特定の政党の広報部を装い、選挙活動のための動画拡散を依頼するメールを通じてマルウェア「LODEINFO」や「MirrorStealer」に感染させようとした[4]。
2023年に入ると、VPN機器などのネットワークインフラの脆弱性を悪用する手法へと転換した[5]。テレワークの普及に伴い導入が進んだArray Networks、Fortinet、Citrixなどの機器が標的となった。特にArray Networks製のSSL VPNゲートウェイに対する脆弱性(CVE-2023-28461等)の悪用が顕著であり、認証なしでのリモートコード実行を通じて内部ネットワークへの侵入が行われた[6]。
2024年以降、MirrorFaceは「Operation AkaiRyū(赤い龍作戦)」と呼ばれるキャンペーンを展開し、活動範囲を欧州へと拡大した[5]。「2025年大阪・関西万博」に関する情報を囮として、日本と関係を持つ欧州の外交機関を標的とした[7]。このフェーズでは、かつてAPT10が使用していたバックドア「ANEL」の改良版が再投入されたことが技術的な特徴である[8]。
攻撃手法と技術
MirrorFaceは、検知回避と持続的な潜伏に特化した高度なツールセットを保有している。
- LODEINFO:2019年頃から使用されている主要なバックドア。DLLサイドローディングを用いてメモリ上で実行され、頻繁にアップデートが繰り返されている[9]。
- NOOPDOOR (HiddenFace):2022年に観測された隠密性の高いインプラント。MSBuildを使用したファイルレス実行や、感染端末固有の情報を用いた復号化プロセスにより、解析を困難にしている[8]。
- ANEL (UPPERCUT):APT10が過去に使用していたバックドア。2024年のキャンペーンで復活し、最新のセキュリティ対策を回避するよう改良されている[10]。
- MirrorStealer:日本国内で利用されているメールソフトBecky! Internet Mailからの情報窃取機能を備えたツールであり、日本の環境に特化した攻撃を行う証左とされている[4]。
- Visual Studio Codeの悪用:ポータブル版のVS Codeを設置し、正規機能であるリモートトンネルを悪用して外部からのC2通信経路を確立する手法が確認されている[8]。
- Windows Sandboxの悪用:感染端末上でWindows Sandboxを有効化し、隔離された環境内でマルウェアを実行することで、ホスト側のセキュリティ製品による検知や痕跡の残留を防ぐ手法が用いられている[11]。
脚注
- ^ “Chinese APT Group Is Ransacking Japan's Secrets”. Dark Reading. 2026年1月13日閲覧。
- ^ “ANEL and NOOPDOOR Backdoors Weaponized in New MirrorFace Campaign Against Japan”. The Hacker News. 2026年1月13日閲覧。
- ^ “Operation AkaiRyū: MirrorFace invites Europe to Expo 2025 and revives ANEL backdoor”. WeLiveSecurity (ESET). 2026年1月13日閲覧。
- ^ a b c d “Unmasking MirrorFace: Operation LiberalFace targeting Japanese political entities”. WeLiveSecurity (ESET). 2026年1月13日閲覧。
- ^ a b c “Chinese APT Group Is Ransacking Japan's Secrets” (英語) 2026年1月13日閲覧。
- ^ “CVE-2023-28461 Detail”. National Vulnerability Database (NVD). 2026年1月13日閲覧。
- ^ “China-Aligned MirrorFace Hackers Target EU Diplomats with World Expo 2025 Bait”. The Hacker News. 2026年1月13日閲覧。
- ^ a b c “Earth Kasha Updates TTPs in Latest Campaign Targeting Taiwan and Japan”. Trend Micro. 2026年1月13日閲覧。
- ^ “Spot the Difference: Earth Kasha's New LODEINFO Campaign”. Trend Micro. 2026年1月13日閲覧。
- ^ “MirrorFace Leverages ANEL and NOOPDOOR in Multi-Year Campaign”. The Hacker News. 2026年1月13日閲覧。
- ^ Dominik Breitenbacher (2025). JSAC2025: MirrorFace Investigation (PDF) (Report). JPCERT/CC (JSAC).
関連項目
- 持続的標的型攻撃(APT)
- Volt typhoon
- MirrorFaceのページへのリンク