近年、日本企業を標的とした「APT攻撃」が増加傾向にあります。例えば、中国系とされる攻撃グループ「MirrorFace」（別名：Earth Kasha）は、標的型メール攻撃による不正なログイン情報の窃取、業務用アカウントを悪用した内部情報の漏えいなど、巧妙な手口を用いることで知られています。実際に警察庁やJPCERT/CCからも注意喚起が発表されており、国内企業にとって現実的な脅威といえるでしょう。

本記事では、警察庁や国家サイバー統括室（NISC）の資料を踏まえ、APT攻撃の現在地やMirrorFaceによる具体的な攻撃事例を紹介するとともに、実用的な対策の実践ポイントについて解説します。

【関連記事】近年増加するファイルレスマルウエアに対抗する手段とは？

APT攻撃とは？──その特徴と企業が取るべき対策

「APT攻撃」とは、Advanced Persistent Threat（高度標的型攻撃）の略で、特定の組織や企業、政府機関などを狙って、長期間に渡って継続的に行われるサイバー攻撃を指します。その構成要素は、以下の通り。

Advanced（高度）

既知の攻撃手法だけでなく、ゼロデイ脆弱性や複雑なマルウエアなど、高度な技術を組み合わせて侵入します。

Persistent（持続的）

一度侵入に成功すると、数か月から数年にわたって潜伏し、発覚しないように情報を盗み続けます。

Threat（脅威）

金銭的利益だけでなく、知的財産・軍事機密・外交情報など、国家や大企業にとって重要な情報も標的になります。

従来のウイルス感染や無差別型攻撃と異なり、APT攻撃は「特定のターゲットを長期間追い続ける」点が特徴です。

APT攻撃でよく用いられる手口には、次のようなものがあります。

標的型メール攻撃

実在の人物や取引先を装ったメールで添付ファイルを開かせ、マルウエアに感染させる。

ゼロデイ攻撃

公開されていないソフトウエアの脆弱性を突く。

アカウント侵害

不正に入手した認証情報を使い、業務システムに侵入する。

内部拡散

一度侵入に成功すると、組織内の別サーバーやクラウド環境へと移動して支配範囲を広げる。

このようにAPT攻撃は、従来型のセキュリティ対策をすり抜ける“高度・多様で長期的な脅威”であり、すべての企業、政府機関、組織などが注意しなければならない問題です。

“誰もが標的”の時代へ──MirrorFaceに見るAPT攻撃の現在地

近年急増するAPT（高度標的型攻撃）の中でも特に注目されているのが、中国系の攻撃グループと見られる「MirrorFace」の活動です。同グループは、巧妙に偽装した業務メールを用いて標的企業の内部に侵入し、機密情報を窃取するという手法で複数の日本企業を攻撃。警察庁やJPCERT/CCも公式に注意喚起を発しており、その攻撃手口や対策を押さえておくことが求められます。

MirrorFaceの攻撃事例──偽装メールから始まる“内部犯行のような侵害”

MirrorFaceは、日本の政治・行政・報道・防衛・製造業を標的に活動する攻撃グループと見られ、JPCERT/CCや警察庁もその活動を継続的に警戒しています。以下は、同グループが展開した三つの代表的な攻撃キャンペーンの実態です。

キャンペーンA（2019年〜2023年）：マルウエア付きメールによる標的型攻撃

通常のメールと見分けがつきにくい巧妙さで、実在する退職官僚や有識者の名を騙ったマルウエア付きのメールを送信する攻撃です。件名や本文も、受信者の関心を引く内容に仕立てられており、一見して違和感を覚えにくいよう偽造されています。

このメールに付けられたマルウエアに一度感染すると、攻撃者に管理者権限を奪取され、ネットワーク内を横断的に移動。社内のファイルサーバーなど複数のリソースにアクセスし、広範囲にわたる情報窃取が行われました。さらに、一部の事例ではWindows Sandboxを悪用し、マルウエアを仮想環境内で実行することでEDRやウイルス対策の検知を回避する手口も確認されています。

攻撃フローの一例

1.なりすましメール送信：退職した官僚や研究者、有識者を装い、受信者の関心を引く件名・内容でマルウエアを仕込んだファイルを貼付したメールを送信。
2.添付ファイル実行：WordやExcelのマクロ付きファイルを開かせ、マルウエア「LODEINFO」を実行。
3.遠隔操作ツールの展開：LilimRATやNOOPDOORといった追加マルウエアをダウンロードさせ、持続的な侵入を維持。
4.内部探索と情報窃取：社内ネットワークに潜伏し、ファイルを検索・圧縮・外部送信。

キャンペーンB（2023年）：VPN脆弱性を突いたネットワーク侵入型攻撃

この攻撃では、メールを介さず、VPN機器の脆弱性や認証情報の悪用を通じて、標的組織の内部ネットワークに直接侵入する手口が確認されています。複数社のVPN機器を対象とした脆弱性の悪用が報告されており、侵入後は高度な持続型の活動が展開されました。

攻撃者は、WebShellやNeo-reGeorgトンネリングツールなどを用いて内部にバックドアを設置し、Active DirectoryやMicrosoft 365など複数のシステムへ横断的にアクセス。仮想マシンのイメージを含む機密情報を取得・持ち出す事例も確認されています。攻撃対象は製造、半導体、情報通信、航空宇宙など、我が国の先端技術やインフラを担う分野におよんでいます。

攻撃フローの一例

1.VPN機器の脆弱性悪用：既知の脆弱性や盗取された認証情報を利用し、ネットワークに侵入。
2.WebShell設置と内部侵害：侵入後、WebShellやNeo-reGeorgトンネリングツールなどを使ってバックドアを設置。
3.システム横断アクセス：Active DirectoryサーバーやMicrosoft 365、仮想化サーバーへの不正アクセスを実行。
4.情報窃取：社内に保存された機密情報や仮想マシンのイメージを取得・外部へ送信。

キャンペーンC（2024年〜）：精巧な改ざんメールと開発者ツールの悪用

マスコミ関係者や専門家を装ったメールが使われた事例です。実際の手口では、過去にやり取りされたメールの一部を巧妙に改変することで、本文に不自然さを感じさせないように仕立てられていました。また、メール内のリンクをクリックさせることで、標的にマルウエア「ANEL」を感染させる手口が確認されています。

感染後はVisual Studio Code（VS Code）の「開発トンネル機能」(Microsoft dev tunnels)を悪用して遠隔操作を可能にし、ネットワーク内部で持続的な活動が行われました。マルウエアNOOPDOORやWindows Sandboxを悪用することで検知を逃れつつ、情報を収集する手法も確認されています。

攻撃フローの一例

1.改ざんメール送信：マスコミ関係者などを名乗り、過去の実在メールを一部改変した本文を用いてメールを送信。本文内にマルウエア誘導リンクを挿入。
2.ファイルダウンロードと実行：リンク先からZipファイルをダウンロードさせる。展開後に.lnk形式の偽装文書やマクロ付きOffice文書を開かせ、「ANEL」を実行。
3.ツール悪用による遠隔操作：Visual Studio Codeの「開発トンネル機能（Microsoft dev tunnels）」を用いて、外部からコマンド操作を実行。
4.持続的活動と情報窃取：NOOPDOORの展開やWindows Sandboxの活用により、ネットワーク内で継続的にデータ収集と送信を実施。

参考：MirrorFaceによるサイバー攻撃について（注意喚起）┃警 察 庁・内閣サイバーセキュリティセンター

APT攻撃が巧妙化する現実にどう対抗するか 企業が現実的に取り入れるべき三つの重点対策

APT攻撃──特にMirrorFaceの事例に見られるような現代の攻撃に対抗するには、多層的な防御アプローチが不可欠です。ウイルス対策ソフトやファイアウォールなどの入り口対策も重要ですが、前述の通り、それらをすり抜ける手口も巧妙化しています。

では、企業や組織はどのように対処すればよいのでしょうか。「企業が現実的に取り入れるべき対策」を三つのポイントでご紹介します。

1.EDR（Endpoint Detection and Response）の強化

EDRは、ウイルス対策ソフトでは見逃されがちな「ふるまいの異常」を可視化・検知できるツールです。端末の操作ログ、ファイルアクセス、外部通信をリアルタイムに監視し、以下のような兆候を捉えることができます。

・不審なPowerShellやコマンドの実行
・管理共有フォルダへの横断的アクセス
・深夜時間帯の不正な外部送信

ただし、近年はWindows Sandboxを悪用してマルウエアを実行し、ホスト側のEDRやウイルス対策の検知を回避する手口が確認されています。サンドボックスは終了時に環境が破棄されるため、マルウエアの活動痕跡が残らず、事後調査を困難にする点も大きな脅威です。

そのため、対策にあたっては以下のような工夫が求められます。

・必要でない場合はSandboxを有効にしない
・Sandbox実行のイベントログや構成ファイル（.wsb）の監視を併用する
・マネージドEDR（MDR）サービスの活用による24時間体制の監視を取り入れる

このようにEDRは「万能の守り」ではなく、高度な回避手口を想定した運用と補完策を組み合わせることで真価を発揮します。

【関連記事】「XDR」とは？「EDR」が進化したソリューションを解説

2.特権ID・管理者権限の棚卸と最小化

APT攻撃の多くは、初期感染後に管理者アカウント（特権ID）の奪取へと進みます。そして、特権IDを足掛かりに社内システム全体へ横展開し、機密情報の窃取や追加マルウエアの展開を行うのが常套手段です。とりわけ、放置された古い管理者アカウントや、実態に合わない過剰権限は「侵入後に即座に悪用される脆弱点」となります。

そのため、以下の観点から定期的な棚卸しを実施する必要があります。

・使用されていない管理者アカウントが放置されていないか
・特定のユーザーに過剰な権限が与えられていないか
・Active Directoryの管理権限が適切に分離・制御されているか

また、権限の乗っ取り後に正規操作に見せかけた活動が行われる可能性もあるため、特権IDの利用状況そのものを監査・ログ監視する仕組みも求められます。「必要な人に、必要最小限の権限だけを付与する」というゼロトラストの原則を、アカウント管理でも適用することで、侵入後の横展開リスクを大幅に抑えることができます。

3.長期的な目線でのセキュリティ教育

APT攻撃の入口は今もなお「メール」が主流です。MirrorFaceの攻撃でも、業務連絡に見せかけた偽装メールが使われました。そのため、以下のような受信者側の慎重な対応が不可欠です。

・不審な送信元アドレス（GmailやOutlookの個人アドレスなど）に注意する
・「パスワード付きZIP」「VHD」「ISO」など、通常と異なる形式の添付ファイルに警戒する
・「コンテンツの有効化」ボタンは不用意に押さない（マクロ実行に注意）
・少しでも違和感のあるメールは送信者やIT管理者に確認する

上記の徹底を促すため「年に1～2回の標的型メール訓練（疑似攻撃）による社員教育」を導入する企業も増えてきています。「社員のミスが原因だった」とならないためにも、訓練と技術の両輪で入口の堅牢性を高めることが求められます。

APT攻撃に強い組織づくりのカギは「継続力」

MirrorFaceをはじめとするAPT攻撃は、いまや中堅企業も標的となる現実的な脅威です。防御の鍵は、セキュリティ製品の導入だけでなく、それを正しく使い続ける運用体制にあります。

EDRの活用や権限管理の最適化、社員教育の実施といった基本対策を、徹底することを継続しましょう。「今は何も起きていないから大丈夫」ではなく、「今から備える」姿勢が、組織の将来を守る第一歩となるのです。