中国語を使用するハッカー集団「MirrorFace」は7月の参議院選挙直前から、日本の政党および党員を標的にして活動していたことが、16日発表のセキュリティ企業ESETの報告によって明らかになった。

MirrorFaceは、日本国内の外交機関、学術機関、防衛産業、メディア企業、シンクタンクを標的としていることで知られている。中国人ハッカー集団APT10との関連も指摘されているが、今回の調査では既存集団との関係を特定できず、新たな脅威のアクターとした。

ESETによると、MirrorFaceは特定政党広報部を装い、スピアフィッシング・メールを党員向けに送付していた。選挙公報用の動画を各自のSNSで配信するよう呼びかける内容だ。

動画ファイルの題名は「皆さんの暮らしを守り抜く責任」「決断と実行。暮らしを守る。」であり、参院選の自民党の標語と重なる。また拡散先のリンク名も「党参院選特設サイトの『SNSで選挙に参加しよう』」とこれも同名の自民党公式サイトで使用されていることから、自民党をターゲットにしていることが窺える。

動画ファイルを展開すると、MirrorFaceが主力としているバックドア「LodeInfo」に感染する。認証情報のほか、文書やメールを盗み出していたという。ハッカー集団はバックドアを通じて、スクリーンショットの撮影、キー入力、プロセスの強制終了、ファイルの抽出などを実行することが可能になる。

ESETの調査員ドミニク・ブライテンバッチャー氏は「調査中に、被害者から貴重なデータを収集・流出させるための追加のマルウェアやツールの展開・利用など、さらなるMirrorFaceの戦術、技術、手順を明らかにすることができた」と述べた。いっぽうで侵入の痕跡を残すなどのエラーも見受けられたという。

報告書は、MirrorFaceは日本国内の重要なターゲットを狙い続けているとして、注意を呼びかけている。