国際・政治

中国共産党の軍隊が、スパイを操り日本にサイバー攻撃した疑惑=山崎文明

    中国軍は40万人ものサイバー兵士を抱えているとみられる (Bloomberg)
    中国軍は40万人ものサイバー兵士を抱えているとみられる (Bloomberg)

    中国軍のサイバー部隊 スパイ使い日本を攻撃か=山崎文明

     宇宙航空研究開発機構(JAXA)や防衛関連の企業など日本の研究機関や企業およそ200にのぼる組織が、2016年6月から17年にかけて大規模なサイバー攻撃を受けていたとNHKが4月20日に報じた。捜査に当たった警察当局は、攻撃者を中国人民解放軍の指示を受けたハッカー集団「Tick(ティック)」と見ているとも伝えられた。

     また、一連のサイバー攻撃に使用された日本国内のレンタルサーバーを偽名で契約・使用していたということで、2人の中国人の男を私電磁的記録不正作出・同供用容疑で書類送検したという。

     NHK報道ではTickの犯行のような印象を受けるが、筆者が複数の捜査関係者に取材した結果見えてきたのは、中国共産党が組織的に、大規模に関わっているという疑いである。

    「祖国に貢献しろ」と恫喝

     今回の捜査は、警視庁公安部に4年前に設置された「サイバー攻撃対策センター」が行ったものだ。同センターには専門知識を持ったおよそ100人が在籍し、主に政府機関や重要企業などへのサイバー攻撃の捜査を専門とする。

     複数の捜査関係者の話をまとめるとこうだ。まず、書類送検された2人が担っていた役割とは、サイバー攻撃者が日本の機関や企業を攻撃するための「糸口」を作ることであった。その糸口として悪用されたのが、次に説明する日本のレンタルサーバーであり、欠陥を抱えていた日本製のセキュリティーソフトであった。

     具体的に見ていこう。容疑者の一人Aは中国人の元留学生だ。Aは、レンタルサーバーの契約を人民解放軍「61419部隊」所属の軍人の女から頼まれたという。女とAをつないだのは、Aが以前勤めていた中国国営企業の元上司であった。

     61419部隊とは、中国共産党の軍隊である人民解放軍の総参謀部隷下の「第3部技術偵察第4局」の別称で、日本および朝鮮半島を担当するハッキング集団の部隊。人民解放軍には、ハッキング技術を持った兵士が約40万人いると推定されている。捜査に当たったサイバー攻撃対策センターの職員が、Aに任意聴取を行った際、Aのスマートフォンに残されていたSNSやメールの内容から、Aが61419部隊の女に「祖国に貢献しろ」と迫られ、サーバー契約や日本製セキュリティーソフトの購入などを指示されたことも分かっているという。

     もう一人の容疑者Bは中国の通信大手ファーウェイの日本法人ファーウェイ・ジャパンに勤務していた30代の中国人で、中国共産党員である。数年前に日本に帰化している。このBが日本国内のレンタルサーバーを契約したのは、中国最大の通信事業者チャイナユニコム(中国聯合通信)の社員に頼まれたからという。捜査関係者によればチャイナユニコム社員とBをつないだのは、Bの知人であるファーウェイの社員であった。

     サイバー攻撃には、攻撃の起点となるサーバーが必要であり、AとBの2人の容疑者は指示通り契約をした。また、攻撃する対象がセキュリティー上の脆弱(ぜいじゃく)性を抱えているからサイバー攻撃は可能になる。そこで、攻撃者はセキュリティー上、重大な欠陥を抱えているソフトを導入している組織・企業を狙う。

     一連の攻撃で狙われた日本の組織・企業が導入していた日本製セキュリティーソフトの一つが、企業など組織内のパソコンを一元管理するソフト「SKYSEA(スカイシー)」である。Aが指示されてスカイシーを購入したのは、人民解放軍が製品の脆弱性を分析するためである。16年6月のサイバー攻撃はスカイシーの脆弱性を突いたものだった。

    『週刊エコノミスト』編集部がスカイシーの開発元のSky(スカイ)に取材したところ、同社はサイバー攻撃から約半年後の16年12月7日、顧客からの連絡でソフトに脆弱性があったことを把握。同21日に対応パッチ(修正プログラム)を公開し、適用するよう顧客に伝えた。スカイによれば、攻撃を受けたことを連絡してきた顧客は、数十社に上る。

     一方で、攻撃を受けたが連絡しなかった顧客もいる可能性があり正確な被害総数は把握していないという。スカイは複数回の大きなバージョンアップを実施しており、ほとんどの顧客は脆弱性対策がなされたバージョンを使っているという。

     警視庁公安部の捜査は2年前から進展がなく、容疑者も中国へ帰国しており、時効が迫っていたことから、書類送検したようだ。2人の容疑者が契約したレンタルサーバー2台の特定は、捜査の初期段階に判明した。攻撃されたサーバーの通信記録(ログ)を調べれば、どこのIPアドレス(インターネット上のコンピューターや通信機器の識別番号)からアクセス、つまり攻撃していたか分かる。さらにそのコンピューターのログを調べて61419部隊の本拠地である中国山東省にあるコンピューターと通信していたことが明らかになったと見られる。

     中国山東省にあるコンピューターと通信していたことが分かったとしても、そのコンピューターもレンタルサーバーである可能性が高く、部隊が指示していたと断定できる証拠はない。この種のレンタルサーバーの契約は架空の人物で登録されているのが通例だ。インターネットが国家により管理されている中国において、架空の契約者情報などということが許されるはずもなく、その事実をもってして、国家ぐるみの犯罪である可能性が高い。

     人民解放軍の兵士は直接、攻撃で手を下すことはない。今回、書類送検された2人も民間人であり、罪状はあくまでもレンタルサーバーの申し込みをホームページから偽名で行った私電磁的記録不正作出・同供用容疑である。

     10年4月に発生したインド政府機関や在米パキスタン大使館などに対して行われたハッキング事件は、人民解放軍の犯行の可能性が高いと見られている。犯行に用いられたサーバーは四川省成都のレンタルサーバーだったが、中国政府は人民解放軍の関与を完全に否定した。

     ハッキングを民間のハッカーのせいにしてしまうのも中国の常とう手段である。英語で「ダニ」という意味のTickは、中核組織は5〜6人、その配下に15〜16人のハッカーが属する小集団のハッカーグループで、主に日本と韓国のハイテク企業を標的にした攻撃を行う集団であるが、人民解放軍の正規部隊ではない。

    スパイ防止法の必要性

     日本の対応のふがいなさも浮き彫りになった。現在の日本の法律ではサイバー攻撃などの諜報(ちょうほう)活動を裁けないことを中国は熟知しており、行動を活発化させている。

     中国では17年6月に国民や企業に国の情報活動への協力を義務付ける「国家情報法」が施行されており、今後ますますこの種の事件は増えていく可能性がある。現実問題としては、当面、レンタルサーバーの契約時の身元確認を厳格化、厳罰化するなどの法律を早急に成立させることが肝要だ。

     国家によるサイバー攻撃を立件するには、米国のように法整備を進めるだけでなくヒューミント(人間を媒介とした諜報活動)が最後の決め手になる。法整備とともに諜報機関の設立も検討すべき時期に来ているのではないだろうか。スパイ防止法成立に向けた超党派での議論を期待する。

    (山崎文明・情報安全保障研究所首席研究員)

    インタビュー

    週刊エコノミスト最新号のご案内

    週刊エコノミスト最新号

    6月22日号

    EVと再エネ 儲かる金属14 日米欧中の電池大争奪戦 政府と企業の胆力が試される ■金山 隆一18 レアアースのネオジム 双日が豪ライナスに出資 ■小田切 尚登/編集部19 ネオジム磁石 大同特殊鋼とホンダが独自開発 ■編集部20 株価急騰 EVで注目の海外企業はこの5社 ■編集部21 銅 「新しい [目次を見る]

    デジタル紙面ビューアーで読む

    おすすめ情報

    最新の注目記事