中国語を使うハッカーグループが日本の参院選を狙って議員にフィッシング攻撃を仕掛けたことが判明、自民党が標的か

2022年7月に行われた日本の参議院議員選挙に合わせて、「MirrorFace」と呼ばれるハッカーグループが日本の政治家を標的にフィッシングメールキャンペーンを展開していたことを、セキュリティソフトを開発するESETの研究者が報告しました。MirrorFaceは日本の企業や組織を標的とするハッカーグループであり、中国語を使用することが知られています。

Unmasking MirrorFace: Operation LiberalFace targeting Japanese political entities | WeLiveSecurity
https://www.welivesecurity.com/2022/12/14/unmasking-mirrorface-operation-liberalface-targeting-japanese-political-entities/

Hackers target Japanese politicians with new MirrorStealer malware
https://www.bleepingcomputer.com/news/security/hackers-target-japanese-politicians-with-new-mirrorstealer-malware/

Chinese MirrorFace APT group targets Japanese political entitiesSecurity Affairs
https://securityaffairs.co/wordpress/139698/apt/mirrorface-apt-group-targets-japan.html

ESETがMirrorFaceというコードネームで呼ぶハッカーグループは中国語を使用し、日本国内のメディア・防衛関連企業・シンクタンク・外交機関・学術機関などのデータを流出させることを目的に活動しています。MirrorFaceの特徴としては、日本国内のターゲットにのみ使用される「LODEINFO」という独自のマルウェアを持っている点が挙げられます。なお、MirrorFaceはカスペルスキーなどが「APT10」という名称で呼ぶハッカーグループと関連するという推測があるものの、ESETはMirrorFaceを既知のハッカーグループに帰属させる確証がないとして、独立したグループとして追跡しているとのこと。

そんなMirrorFaceは参議院議員選挙が実施される直前の2022年6月29日、「Operation LiberalFace(オペレーション・リベラルフェイス)」というフィッシングメールキャンペーンを展開したとESETの研究者は報告しています。ESETによると、MirrorFaceは「日本の特定政党」の広報部門を装い、選挙公報用の動画をSNSで投稿するように呼びかけるメールを政治家に送信したとのこと。このメールには、実行時にマシンへLODEINFOをデプロイする悪意のある添付ファイルが含まれていました。

ESETが公開したフィッシングメールの原文が以下。「中国からのフィッシングメール」と聞いて連想するような怪しい日本語ではなく、「党広報では、参院選における候補者、比例代表に対するさらなる投票促進のため、○○によるSNS用動画を制作し、党公式アカウントやTVCM、WEB広告を通じ、広くPRを行っているところです。つきましては、さらなる党PRの強化に向け、各候補者はもちろんのこと、都道府県連所属の各級議員の皆様におかれましても、ご自身のSNSに○○SNS動画を必ず掲載し、有権者に対し広く拡散してください。参院選必勝に向け、各位のご協力をお願い申し上げます。」と、公式なメールと見分けが付かないような文章で記されています。

ESETはオペレーション・リベラルフェイスについて、「2022年7月10日に参議院議員選挙が行われたことから、このメールはMirrorFaceが政治団体を攻撃する機会を狙っていたことを明確に示しています。また、メールの具体的な内容から、特定政党の議員がターゲットにされていることがわかります」と述べています。

メールの文面をよく見ると、PR動画のタイトルが「決断と実行。暮らしを守る。」となっているほか、「※党・参院選特設サイト『SNSで選挙に参加しよう』からでも、ツイートできます。」といった文言も確認できます。「決断と実行。暮らしを守る。」は自民党が参院選で掲げた標語であり、「SNSで選挙に参加しよう」も自民党の公式特設サイトであることから、ターゲットとなったのは自民党であることがうかがえます。

ESETによると、フィッシングメールの添付ファイルを実行すると侵入先のマシンにLODEINFOがデプロイされ、LODEINFOがシステムに「MirrorStealer」という新たなマルウェアを展開するとのこと。MirrorStealerは今回新たに報告された資格情報スティーラーであり、ウェブブラウザや電子メールクライアントなど、さまざまなアプリケーションから資格情報を盗み取るものです。また、MirrorFaceはLODEINFOを通じて、その他のドキュメントや電子メールも盗み出したと報告されています。

注目に値するのが、MirrorStealerが対象にした電子メールクライアントの中に、主に日本で利用されている電子メールクライアントである「Becky!」が含まれているという点です。さらに、MirrorFaceが盗み出したファイルの中には、拡張子が「.jtd」のものも含まれていました。この拡張子は日本語ワードプロセッサ「一太郎」のドキュメントを指しており、これらの点からMirrorFaceが日本のターゲットに特化していると推測されています。

オペレーション・リベラルフェイスにおいて、MirrorFaceは侵害の痕跡を削除しようとしたものの失敗し、いくつかのログが侵入先のマシンに残されていたとのこと。また、いくつかのLODEINFOコマンドにタイプミスも見られることから、攻撃が手動または半手動で行われたことが示唆されています。ESETは、「調査の結果、MirrorFaceのオペレーターはやや不注意で、痕跡を残したり、さまざまな間違いを犯したりしていることが明らかになりました」と述べました。