黒ヤギさんと手紙

●2019年から続く中国からの攻撃
発表文では、「2019年頃から現在に至るまで、日本国内の組織、事業者及び個人に対するサイバー攻撃キャンペーンが、「MirrorFace」（ミラーフェイス）（別名、「Earth Kasha」（アース カシャ））と呼ばれるサイバー攻撃グループによって実行された」とされます。
”キャンペーン”という言葉は宣伝広告でよく目にしますが、本来の意味は”一連の軍事行動”、”組織的活動”を指します。けっして優しい言葉ではないのです。

●”遺憾の意”
さらに「主に我が国の安全保障や先端技術に係る情報窃取を目的とした、中国の関与が疑われる組織的なサイバー攻撃である」と書かれています。
ふつう、政府の発表文の中で、特定の国を名指しすることはめったにありません。その分、かなりの確証があると思われます。
このような発表文は「パブリック・アトリビューション」とよばれ、外交的には相手を非難するとともに、相手の行動を抑止する意図が含まれます。

今回、警察庁とNISCの注意喚起は、攻撃の状況やその手口をかなり詳細に分析して発表することによって、ターゲットとして狙われそうな機関の関係者に相応の対策を求めるものです。そのような職場に勤務する全員が心しておかなければなりません。

●３つの攻撃パターン
今回の発表文では、攻撃の３パターンを説明しています。
攻撃キャンペーンAは不正メールの添付ファイルによるマルウェア感染です。
キャンペーンBはネットワーク機器の脆弱性を突いた侵入です。
キャンペーンCは不正メールで指示したダウンロードによるマルウェア感染です。
AとCは標的型メール攻撃と言われるものです。

●キャンペーンAは下火に
キャンペーンAはおそらく初期の攻撃で使われたものと思われます。主にシンクタンク、政府（退職者含む）、政治家、マスコミに関係する個人や組織を対象にして、対象者が興味を持ちそうなタイトルを付け、対象者の知人をよそおった発信元を称していました。

当時、有名だったのはEmotetとよばれるマルウェア[3]でした。
この頃に”不審な添付ファイルは開かないように”という通達を目にした人も多かったのではないでしょうか。またメールシステムが添付ファイル形式をチェックして不審なものは拒絶する仕組みも使用されました。おかげで、この手にひっかかるケースは減少したと思われます。

それでも2024年5月頃までMirrorFaceによる侵害が継続していた事例が判明しています。実際にマルウェアに感染させた時期と、それを使って内部に侵入する時期が離れているわけです。
筆者の知る事例では、2015年に悪性ソフトウェアが設置された後、2022年になってそれを使った不正侵入がおこなわれました。7年の間は誰も気づきませんでした。

●キャンペーンBはやっかい
2023年2月頃から10月頃にかけて、VPN機器（クラウド向け仮想アプライアンスを含む）の脆弱性などを狙った侵入手口です。主に我が国の半導体、製造、情報通信、学術、航空宇宙の各分野の企業や研究機関です。この攻撃キャンペーンによる侵入が原因とみられる侵害活動が、2024年1月頃や6月頃まで継続していた事例が把握されています。
この侵害はサーバーのログなどを分析しないと判明しないため、検知はなかなか難しいものです。とにかく内部に侵入されないように、システム管理者がきめ細かくシステムをメンテナンスするしかありません。
2024年6月に発覚した宇宙航空研究開発機構（JAXA）の情報流出でも、この手口が用いられたようです[4]。

●キャンペーンCは今盛ん
キャンペーンAと同様の標的型メール攻撃ですが、添付ファイルは使わず、メールに記載したダウンロード・アドレスをクリックさせる手です。そのダウンロードによってマルウェアが侵入します。
添付ファイルを用いずに、単にクリックするだけなので、メールの受信者がうっかりアクセスしてしまう可能性は高くなります。
しかし、メール自体を疑うという注意はキャンペーンAとまったく同じです。

●一斉訓練の重要性
今回の注意喚起では、使用されたソフトウェア、環境、手口などがかなり具体的に示されています。
2019年以来、MirrorFaceによるサイバー攻撃が210件もおこなわれ、うち標的型メール攻撃が8割を占めたとされます[5]。

もちろんシステム管理者は十分な対応が求められます。
たとえばNISCは、特に大企業、国の機関などのシステム管理者を対象とした「全分野一斉演習」[6]を実施しています。防災訓練と同じように、定期的にチェックをおこなうことが大切です。

●怪しさに気づく感性
一般の勤務者はどうすればよいか。
上に書いたように、キャンペーンAもキャンペーンCも、攻撃対象はメールを読み書きする立場の人間です。
忙しいときに、流れ作業のようにメールを処理していると、うっかりダウンロード先にアクセスしてしまうかもしれません。
やはり基本に忠実になって、怪しげなメールは打ち捨てるくらいの気持ちで臨む必要があるでしょう。あの童謡[7]の黒ヤギさんのように「読まずに食べる」のがよいかもしれません。。

高齢者がキャッシュレスのサービスやオンラインのサービスを避けるときに、「なんだかわからない」、「個人情報が盗まれてしまいそう」というあいまいな感情による理由を付けるのをしばしば見受けます。
高齢者は新しい技術に不慣れだから、と解釈するのがふつうですが、もしかするとそのような忌避感情は”野生の勘”なのかもしれないと思い始めました。
年齢を問わず、便利なネットワーク・サービスの裏では、常に”何か不穏なもの”がうごめいているという野生の感覚は忘れないようにしましょう。■

[1] 警察庁「MirrorFaceによるサイバー攻撃について（注意喚起）」(2025年1月8日） https://www.npa.go.jp/bureau/cyber/koho/caution/caution20250108.html
[2] 警察庁「北朝鮮を背景とするサイバー攻撃グループTraderTraitorによる暗号資産関連事業者を標的としたサイバー攻撃について」（2024年12月24日） https://www.npa.go.jp/bureau/cyber/koho/caution/caution20241224.html
[3] マルウェア（Malware）とは、malicious software（悪意のあるソフトウェア）の略語。その後、Emotetは世界8か国の捜査機関の合同捜査の結果、2021年1月に制圧されました（※）。
※ 日経新聞「ウイルス「エモテット」ネットワークを制圧　国際捜査で」、2021年1月29日（オンライン版）
[4] JAXA「JAXAにおいて発生した不正アクセスによる情報漏洩について」（2024年7月5日） https://www.jaxa.jp/press/2024/07/20240705-2_j.html
[5] 日経新聞「中国系ハッカー「ミラーフェイス」　日本の先端技術標的」（2025年1月8日オンライン版）（この記事の内容には公式発表文[1]に記載されていない情報も含まれているようです。） https://www.nikkei.com/article/DGXZQOUE069BO0W5A100C2000000/
[6] 内閣サイバーセキュリティセンター「重要インフラ15分野を対象に障害対応体制の検証のためのサイバー演習を実施～2024年度「全分野一斉演習」～」
https://www.nisc.go.jp/pdf/policy/infra/NISC_enshu_20241206.pdf
[7] 「やぎさんゆうびん」、まど・みちお作詩、1939年