中国軍のサイバー部隊　スパイ使い日本を攻撃か＝山崎文明

　宇宙航空研究開発機構（ＪＡＸＡ）や防衛関連の企業など日本の研究機関や企業およそ２００にのぼる組織が、２０１６年６月から17年にかけて大規模なサイバー攻撃を受けていたとＮＨＫが４月20日に報じた。捜査に当たった警察当局は、攻撃者を中国人民解放軍の指示を受けたハッカー集団「Ｔｉｃｋ(ティック)」と見ているとも伝えられた。

　また、一連のサイバー攻撃に使用された日本国内のレンタルサーバーを偽名で契約・使用していたということで、２人の中国人の男を私電磁的記録不正作出・同供用容疑で書類送検したという。

　ＮＨＫ報道ではＴｉｃｋの犯行のような印象を受けるが、筆者が複数の捜査関係者に取材した結果見えてきたのは、中国共産党が組織的に、大規模に関わっているという疑いである。

「祖国に貢献しろ」と恫喝

　今回の捜査は、警視庁公安部に４年前に設置された「サイバー攻撃対策センター」が行ったものだ。同センターには専門知識を持ったおよそ１００人が在籍し、主に政府機関や重要企業などへのサイバー攻撃の捜査を専門とする。

　複数の捜査関係者の話をまとめるとこうだ。まず、書類送検された２人が担っていた役割とは、サイバー攻撃者が日本の機関や企業を攻撃するための「糸口」を作ることであった。その糸口として悪用されたのが、次に説明する日本のレンタルサーバーであり、欠陥を抱えていた日本製のセキュリティーソフトであった。

　具体的に見ていこう。容疑者の一人Ａは中国人の元留学生だ。Ａは、レンタルサーバーの契約を人民解放軍「６１４１９部隊」所属の軍人の女から頼まれたという。女とＡをつないだのは、Ａが以前勤めていた中国国営企業の元上司であった。

　６１４１９部隊とは、中国共産党の軍隊である人民解放軍の総参謀部隷下の「第３部技術偵察第４局」の別称で、日本および朝鮮半島を担当するハッキング集団の部隊。人民解放軍には、ハッキング技術を持った兵士が約40万人いると推定されている。捜査に当たったサイバー攻撃対策センターの職員が、Ａに任意聴取を行った際、Ａのスマートフォンに残されていたＳＮＳやメールの内容から、Ａが６１４１９部隊の女に「祖国に貢献しろ」と迫られ、サーバー契約や日本製セキュリティーソフトの購入などを指示されたことも分かっているという。

　もう一人の容疑者Ｂは中国の通信大手ファーウェイの日本法人ファーウェイ・ジャパンに勤務していた30代の中国人で、中国共産党員である。数年前に日本に帰化している。このＢが日本国内のレンタルサーバーを契約したのは、中国最大の通信事業者チャイナユニコム（中国聯合通信）の社員に頼まれたからという。捜査関係者によればチャイナユニコム社員とＢをつないだのは、Ｂの知人であるファーウェイの社員であった。

　サイバー攻撃には、攻撃の起点となるサーバーが必要であり、ＡとＢの２人の容疑者は指示通り契約をした。また、攻撃する対象がセキュリティー上の脆弱(ぜいじゃく)性を抱えているからサイバー攻撃は可能になる。そこで、攻撃者はセキュリティー上、重大な欠陥を抱えているソフトを導入している組織・企業を狙う。

　一連の攻撃で狙われた日本の組織・企業が導入していた日本製セキュリティーソフトの一つが、企業など組織内のパソコンを一元管理するソフト「ＳＫＹＳＥＡ（スカイシー）」である。Ａが指示されてスカイシーを購入したのは、人民解放軍が製品の脆弱性を分析するためである。16年６月のサイバー攻撃はスカイシーの脆弱性を突いたものだった。

『週刊エコノミスト』編集部がスカイシーの開発元のＳｋｙ（スカイ）に取材したところ、同社はサイバー攻撃から約半年後の16年12月７日、顧客からの連絡でソフトに脆弱性があったことを把握。同21日に対応パッチ（修正プログラム）を公開し、適用するよう顧客に伝えた。スカイによれば、攻撃を受けたことを連絡してきた顧客は、数十社に上る。

　一方で、攻撃を受けたが連絡しなかった顧客もいる可能性があり正確な被害総数は把握していないという。スカイは複数回の大きなバージョンアップを実施しており、ほとんどの顧客は脆弱性対策がなされたバージョンを使っているという。

　警視庁公安部の捜査は２年前から進展がなく、容疑者も中国へ帰国しており、時効が迫っていたことから、書類送検したようだ。２人の容疑者が契約したレンタルサーバー２台の特定は、捜査の初期段階に判明した。攻撃されたサーバーの通信記録（ログ）を調べれば、どこのＩＰアドレス（インターネット上のコンピューターや通信機器の識別番号）からアクセス、つまり攻撃していたか分かる。さらにそのコンピューターのログを調べて６１４１９部隊の本拠地である中国山東省にあるコンピューターと通信していたことが明らかになったと見られる。

　中国山東省にあるコンピューターと通信していたことが分かったとしても、そのコンピューターもレンタルサーバーである可能性が高く、部隊が指示していたと断定できる証拠はない。この種のレンタルサーバーの契約は架空の人物で登録されているのが通例だ。インターネットが国家により管理されている中国において、架空の契約者情報などということが許されるはずもなく、その事実をもってして、国家ぐるみの犯罪である可能性が高い。

　人民解放軍の兵士は直接、攻撃で手を下すことはない。今回、書類送検された２人も民間人であり、罪状はあくまでもレンタルサーバーの申し込みをホームページから偽名で行った私電磁的記録不正作出・同供用容疑である。

　10年４月に発生したインド政府機関や在米パキスタン大使館などに対して行われたハッキング事件は、人民解放軍の犯行の可能性が高いと見られている。犯行に用いられたサーバーは四川省成都のレンタルサーバーだったが、中国政府は人民解放軍の関与を完全に否定した。

　ハッキングを民間のハッカーのせいにしてしまうのも中国の常とう手段である。英語で「ダニ」という意味のＴｉｃｋは、中核組織は5〜６人、その配下に15〜16人のハッカーが属する小集団のハッカーグループで、主に日本と韓国のハイテク企業を標的にした攻撃を行う集団であるが、人民解放軍の正規部隊ではない。

スパイ防止法の必要性

　日本の対応のふがいなさも浮き彫りになった。現在の日本の法律ではサイバー攻撃などの諜報(ちょうほう)活動を裁けないことを中国は熟知しており、行動を活発化させている。

　中国では17年６月に国民や企業に国の情報活動への協力を義務付ける「国家情報法」が施行されており、今後ますますこの種の事件は増えていく可能性がある。現実問題としては、当面、レンタルサーバーの契約時の身元確認を厳格化、厳罰化するなどの法律を早急に成立させることが肝要だ。

　国家によるサイバー攻撃を立件するには、米国のように法整備を進めるだけでなくヒューミント（人間を媒介とした諜報活動）が最後の決め手になる。法整備とともに諜報機関の設立も検討すべき時期に来ているのではないだろうか。スパイ防止法成立に向けた超党派での議論を期待する。

（山崎文明・情報安全保障研究所首席研究員）