MirrorFaceがLodeInfoを利用して日本を狙うサイバー攻撃の実態と対策
中国のハッカーグループ「MirrorFace(ミラーフェイス)」が日本を標的とするサイバー攻撃に使うマルウェア「LodeInfo(ローディンフォ)」について解説します。このマルウェアは高度な技術を用いて情報を盗み出し、日本の企業や個人に重大なリスクをもたらしています。
目次
LodeInfoとは
LodeInfoは、感染したデバイスから情報を収集し、攻撃者に送信されます。
感染経路にはフィッシングメールや改ざんされたファイルが含まれます。
主に「社会工学的手法」が利用されます。
MirrorFaceとは
MirrorFaceは、中国政府と関連があるとされるグループで、日本の政治、外交、技術情報を狙った攻撃を繰り返しています。これまでの攻撃事例から、その高度な技術力と持続的な活動が明らかになっています。
LodeInfoの機能
LodeInfoの主な機能は以下の通りです。
1.情報収集機能
LodeInfoは、感染したコンピュータから重要な情報(ファイル、パスワード、システム情報など)を盗むために設計されています。この情報は攻撃者(MirrorFace)に送られます。
2.隠蔽技術
LodeInfoは、セキュリティソフトや防御システムに見つからないようにするため、さまざまな技術を使って隠れながら動きます。これにより、被害者が気づかないままデータを盗むことが可能です。
3.遠隔操作機能
攻撃者は、LodeInfoを使って感染したコンピュータを遠隔操作できます。これにより、追加のマルウェアをインストールしたり、システムを操作したりすることが可能になります。
LodeInfoの感染方法
LodeInfoの感染方法は、ターゲットを騙してマルウェアを実行させる「社会工学的手法」が主軸です。
社会工学的手法とは、人間の心理や行動を利用して、相手から情報を引き出したり、特定の相手に行動を取らせたりする手法です。
サイバー攻撃でよく使われる方法で、技術的なハッキングではなく、非常に巧妙な手口を利用して人間を「だます」ことに焦点を当てています。
社会工学的手法は、次のような人間の心理を狙います
・信頼:ターゲットが攻撃者を信用してしまう。
・恐怖:トラブルを避けるために急いで行動してしまう。
・好奇心:興味を引く内容でターゲットを誘導する。
また、MirrorFaceは、日本のターゲットに合わせた巧妙な手口の偽装を行っています。
たとえば、
・メールの内容は自然な日本語で書かれており、日常業務に関連する話題を装います。
・見覚えのある企業ロゴや署名が含まれていることもあります。
LodeInfoの主な感染方法は以下の通りです。
フィッシングメール
最も一般的な感染方法はフィッシングメールです。この手法では、ターゲットがマルウェアをダウンロードして実行するよう仕向けます。
・手口の流れ
(1) メールの送信
MirrorFaceは、ターゲットに見覚えがありそうな差出人名や件名を使用します。たとえば、「業務連絡」や「重要なお知らせ」などのタイトルが多いです。
(2) 添付ファイルの罠
メールに添付されたファイルは、Word文書やExcelファイルに見せかけたもので、マルウェアが埋め込まれています。
例:マクロ(自動化スクリプト)が含まれており、ファイルを開くとマルウェアがダウンロードされます。
(3) 悪意のあるリンク
メール内に記載されたリンクをクリックすると、悪意のあるウェブサイトに誘導され、LodeInfoがダウンロードされます。
改ざんされた正規ファイル
MirrorFaceは、信頼性のあるソフトウェアやファイルを改ざんしてLodeInfoを埋め込むことがあります。
・具体例
(1) ソフトウェアのアップデートファイルに見せかけた偽のインストーラー。
(2) 公開されているドキュメントや報告書のPDFに偽装されたファイル。
ターゲットがこれらの改ざんファイルをダウンロードして実行すると、LodeInfoが裏でインストールされます。
ドライブ・バイ・ダウンロード
悪意のあるウェブサイトを訪れるだけでLodeInfoがインストールされることがあります。
・仕組み
(1) 攻撃者が操作するウェブサイトや広告に悪意のあるスクリプトを埋め込みます。
(2) ターゲットがこのウェブサイトを訪問すると、ブラウザやプラグインの脆弱性を利用してLodeInfoが自動的にダウンロードされます。
USBデバイス経由
MirrorFaceは、USBデバイスを使った感染も利用することがあります。これは特に、オフライン環境のネットワークをターゲットにする場合に使われます。
・手口の流れ
(1) 攻撃者が感染したUSBメモリを準備。
(2) ターゲットがこのUSBを使用すると、自動実行ファイルがLodeInfoをシステムにインストールします。
LodeInfoの対策
感染を防ぐための対策として
1.フィッシングメールに注意する
・知らない人からのメールや不審な添付ファイルを開かない
→ 見覚えのないメールや、内容が怪しいメールは無視するか削除しましょう。
・リンクをクリックする前に確認
→ URLをマウスオーバーして、正しいウェブサイトか確認します。
2.ソフトウェアを常に最新の状態に保つ
・OSやアプリケーションのアップデートを定期的に実行
→ 古いバージョンには脆弱性があるため、最新のセキュリティパッチを適用しましょう。
・使用しているセキュリティソフトをアップデート
→ 新しいマルウェアへの対応が可能になります。
3.信頼できるソースからのみダウンロード
・公式サイト以外のソフトウェアやファイルを避ける
→ 改ざんされたファイルにLodeInfoが含まれている可能性があります。
4.不審なUSBデバイスを使用しない
・誰が使ったかわからないUSBメモリや外部デバイスを接続しない
→ LodeInfoが自動的にインストールされる危険があります。
MirrorFaceがLodeInfoを利用して日本を狙うサイバー攻撃の実態と対策のまとめ
LodeInfoは、中国のハッカーグループ「MirrorFace」によって使用されるマルウェアです。主に日本を標的にし、フィッシングメールや改ざんされたファイルを通じて感染を広げます。
ターゲットが不審な添付ファイルを開いたり、悪意のあるリンクをクリックすると、LodeInfoがシステムに侵入し、情報の窃取や不正操作を行います。
感染を防ぐには、メールのリンクや添付ファイルを慎重に扱い、ソフトウェアを最新に保つことが重要です。また、バックアップの実施やセキュリティツールの活用で被害を最小限に抑えることが可能です。
基本的なセキュリティ対策を徹底することが防御の鍵となりますね。