コロナウイルスの猛威の中、中国のハッカーが英国の大手企業を標的に

3月と4月に新型コロナウイルスがヨーロッパを襲う中、中国政府を名乗るハッカーたちも猛威を振るいました。健康危機への対応に追われる組織を狙った中国に加担する犯罪者たちは、世界中の民間企業、研究機関、そして政府を攻撃しました。

西側諸国の安全保障高官によると、中国政府とその治安機関のために活動する国家支援を受けた攻撃者が「今回の危機に乗じて利益を得よう」としており、国にとって有益な情報を盗もうとしているという。これには英国の大手社会福祉会社への攻撃も含まれる。

中国の行動に詳しいサイバーセキュリティ専門家によると、「Advanced Persistent Threat 41（ATP41）」として知られるハッカー集団が、英国の大手民間社会福祉サービス提供会社に侵入し、その過程でシステムを混乱させたという。この攻撃は、英国が新型コロナウイルス感染症（COVID-19）の流行で最も深刻な時期を迎えようとしていた3月に発生した。

別の事例では、別の中国グループに属する国家支援ハッカーが、匿名化された患者データを扱う英国と米国の技術企業2社を標的にしたとみられている。攻撃者はこれらの企業を偵察したが、情報筋によると、実際に侵入されたという証拠はないという。また、4月と5月には、新型コロナウイルス感染症が最初に発生した武漢を拠点とする中国のサイバーアクターが、複数の欧州諸国政府とそのシステムを標的にしたと付け加えている。

攻撃の具体的な詳細は公表されていないが、欧州各国政府のシステムを侵害しようとする中国の試みは他のセキュリティ研究者によって確認されている。

新たな詳細は、パンデミック中の中国の広範かつ無差別なサイバー活動を浮き彫りにしている。これに先立ち、米国政府当局は7月21日、オーストラリアからスウェーデンに至るまで複数の企業を「奪い、複製し、置き換える」ことを目的とした10年にわたる世界的なサイバー攻撃を実行したとして、中国が支援するハッカー2名を起訴した。これらの攻撃には、4月に英国の匿名の人工知能・がん研究企業を標的とした攻撃も含まれている。

「世界が自国民をコロナウイルスから守ることを優先する一方で、中国は危機に乗じて利益を上げ、諜報活動能力を強化するためにハッキングチームの立ち上げを優先してきた」と、西側諸国の安全保障担当幹部は語る。彼らによると、中国のハッキング活動の「規模の大きさ」は広く理解されておらず、国家安全部とつながりのある複数のAPT（高度で持続的な脅威）攻撃グループが機密情報へのアクセスを狙っているという。APTは、高度で継続的な攻撃を実行するハッキンググループである。彼らは一度に数ヶ月から数年にわたってネットワーク内に潜伏し、これまで知られていなかった脆弱性を悪用することもある。

情報筋によると、中国の23地域で活動するハッカー集団は、多くの人が知っているよりもはるかに多いという。これらの集団は、台湾をはじめとする地域における民主主義のプロセスを弱体化させるなど、様々な目的で活動していると情報筋は述べている。

これらの主張は、パンデミック中に発生したとされる一連の国家主導のハッキング攻撃の最新のものだ。先週、英国、米国、カナダの当局は、ロシア政府と関連があるとみられるハッカー集団「コージー・ベア」（正式名称ATP29）がコロナウイルスワクチン開発に関する情報を盗もうとしたとして、公に非難した。7月初旬には、FBIが中国を名指しし、ウイルス研究を行っている米国の医療機関、製薬会社、大学を「危険にさらそうとしている」と指摘した。

その結果、中国と西側諸国間の緊張はますます高まっている。英国におけるファーウェイの5G技術の禁止、ウイグル族イスラム教徒への人権侵害、香港国家安全維持法などは、いずれも中国の国内外での活動に対する批判を引き起こしている。「中国との関与政策において、主に協力を重視していた時代から、中国の台頭がより批判的に見られるようになった時代へと移行しつつあることは明らかです」と、王立安全保障研究所で中国関連の政策問題を専門とする研究員、ヴィール・ナウエンズ氏は述べている。

「中国は協力の機会を提供する一方で、深刻な課題も抱えている」と彼女は付け加える。過去5年間、習近平国家主席は中国が人工知能、量子コンピューティング、そして5Gなどの主要技術の基盤となる共通ルールの分野で超大国になるという野心的な目標を掲げてきた。

中国は、政府、法執行機関、民間セキュリティ企業からハッキング疑惑について公に批判されているにもかかわらず、一貫してこれらの主張を否定している。本稿執筆時点では、駐英中国大使館は本記事に関するコメント要請に回答していない。しかし、本記事の公開後、大使館の広報担当者は次のように述べた。「中国政府はサイバーセキュリティの揺るぎない擁護者です。あらゆる形態のサイバー攻撃とサイバー犯罪に断固として反対し、闘います。」また、サイバー攻撃の調査を行う者は証拠を提示すべきであり、「根拠のない憶測は止めなければならない」と付け加えた。

今週の米国による起訴を受け、駐英中国大使はツイートでデータ盗難の主張を否定した。「このような非難は中国の科学者とその業績に対する敬意を欠くものであり、研究開発における国際協力を損なう可能性もある」と劉暁明氏は述べた。「世界はこのような根拠のない主張に強く反対し、拒絶しなければならない」。他の主張も同様に強く否定している。2018年には、米国は「真実を尊重」し、「中国を故意に中傷するのをやめるべきだ」と述べている。

しかし、中国のハッキング活動は目新しいものではない。過去10年間、注目を集めたハッキン​​グは中国政府のために活動するグループによるものとされ、米国の法執行機関は有罪とみられる者に対し逮捕状を発行してきた。標的には軍事機密や技術機密、個人データなどが含まれており、2017年には4人の中国人ハッカーが信用調査会社Equifaxから1億4300万人分のデータを盗んだとされている。

「中国は他のどの国よりも多くのハッキングを行う巨大な国です」と、セキュリティ企業FireEye傘下のMandiant Threat Intelligenceでサイバースパイ分析担当シニアマネージャーを務めるベン・リード氏は語る。今月初め、FBIは10時間ごとに新たな中国関連の防諜案件を開始していると発表し、現在進行中の防諜案件の半数が中国に対するものだと付け加えた。FBIはまた、アメリカ人の成人が中国にデータを盗まれた可能性は「ゼロではない」と述べている。

パンデミックの間、リード氏は中国が支援するハッカーたちが新型コロナウイルス関連の情報に注力しているのを目撃した。「医療機関を標的とした攻撃もいくつか確認されています」とリード氏は語る。「最も活発なグループはAPT41です」と彼は付け加える。「彼らは金銭目的の活動を続けており、従来のスパイ活動と見紛うような標的を狙っています」。リード氏は、過去6ヶ月間にEUの政府機関や機関に対する中国が支援するハッキング攻撃を発見したことを認めている。6月、欧州委員会は中国による病院への攻撃を非難した。中国はこれを否定し、パンデミックに関連するサイバー攻撃は「すべての国によって明確に非難されるべきだ」と述べた。

「EU諸国では、よくある添付ファイルを使ったスピアフィッシングが主流です」とリード氏は語る。スピアフィッシング攻撃では、ハッカーが人々を騙して機密システムへのログイン情報を提供させたり、マルウェアを含むファイルをダウンロードさせたりしようとする。個人を標的とし、本物に見えるように見せかける仕掛けを駆使する。例えば、メールは上司からの送信であるかのように偽装される。スピアフィッシングが成功すれば、ハッカーはネットワークに足掛かりを築き、そこから動き回ってデータを収集することができる。

マンディアントは、ヨーロッパ全域で中国のハッカーが大統領府や外務省へのアクセスを試みているのを確認した。外交情報へのアクセスが目的だった可能性もあるが、攻撃対象が侵害されていないため、真偽を断定することはできない。リード氏は、顧客の守秘義務があるため、標的となった国や政府の名前を挙げることはできないと述べている。マンディアントの親会社であるファイア・アイは、中国などによる英国に対する新型コロナウイルス感染症関連のスパイ活動の試みに関するさらなる分析結果を近日中に発表する予定だ。

新型コロナウイルスワクチンの情報を盗もうとしたとされるロシアの支援を受けたハッカー集団の戦術と類似点が見られた。中国のために活動するハッカー集団は、ハードウェアとソフトウェアの脆弱性を素早く悪用したようだ。「これらの脆弱性は新たに発表されたものもあり、多くのユーザーが脆弱性を修正するパッチをインストールしていなかった可能性がある」と、米国司法省は7月21日、データ窃盗と数百万ドルの個人的利益を得たとして、中国国籍の李小宇（リー・シャオユー）氏と董家志（ドン・ジアジー）氏の2人を起訴した際に述べた。

セキュリティ企業チェック・ポイントの脅威インテリジェンス担当グローバルマネージャー、ロテム・フィンケルスティーン氏は、各国がサイバー攻撃を行う際によくある方法は2つあると説明する。パンデミックの間、チェック・ポイントは2つの別々のサイバー攻撃が中国によるものだと公表した。中国はモンゴル政府を装ったスピアフィッシングメールを使用し、新型コロナウイルス感染症の蔓延に関する詳細が記載されているとされるマルウェアが仕込まれた添付ファイルを政府機関に開かせようとしたとされている。2つ目の攻撃では、中国を拠点とするハッカー集団がアジア太平洋地域の政府に対してスパイ活動を行っていると主張されている。

「一つの方法は、自国の機関を使ってこの種の攻撃を維持することです」とフィンケルスティーン氏は言う。「もう一つの方法は、代理部隊を使うことです。つまり、攻撃を民間の組織にアウトソーシングするということです。これは通常、攻撃から自国を切り離すために行われます。」中国はこれら両方を行っていると考えられている。人民解放軍戦略支援部隊は「北京の情報支配獲得に向けた取り組みの最前線にいる」と、2019年に米国議会に提出された報告書で述べられている。しかし、関与しているのは支援部隊だけではない。過去の分析では、政府や軍のハッカーに加えて、「請負業者、愛国的なハッカー、さらには犯罪組織」も含まれていた。

西側諸国の高官セキュリティ関係者が指摘したように、最近になってハッカーが中国国家安全部（MSS）の地方事務所と関連していることが多発している。MSSは、米国中央情報局（CIA）と連邦捜査局（FBI）を合わせたような組織と言える。今週米国で起訴された2人の中国人は、MSS広東省支部と関連していた。また、MSS江蘇省支部に勤務する他の2人の中国人情報職員は、2018年10月に航空データと技術データの窃盗容疑で米国で起訴されている。

「彼らが使用する手法を見つけることができます」とフィンケルスティーン氏は言います。「私たちが目にする共通の手法から、彼らは知識を共有していると考える傾向があります。もし知識を共有しているのであれば、それを実現する何らかのネットワークが存在するのです。」マンディアントのリード氏は、中国のグループがハッキングツールを共有しているのを確認したと付け加えます。これには、マルウェアライブラリの共有や、様々な攻撃で共通するコードが含まれます。「地域に非常に特化しているグループも存在します」と彼は言います。「中央アジアとモンゴルに特に力を入れているグループもあります。」

中国が支援するハッキング文化の詳細が明らかになったのは2018年12月、米国と英国政府がハッキング集団APT10（別名Stone Panda）を45人から「数百ギガバイトの機密データ」を盗んだとして公表した時だった。攻撃にはNASAの情報窃取も含まれていた。ATP10の職員は、中国国家安全部（MSS）天津支部と密接な関係があり、標準的な9時から5時までの勤務時間を送っていた。2人の男性に対する米国の起訴状によると、彼らは「オフィス環境で働き、通常は中国の勤務時間中にハッキング活動に従事していた」という。今週起訴されたハッカーたちは、広東省の何の変哲もないオフィスビルで働いていた。

中国による国家支援型ハッキングに対抗する国々は、これに対抗するのに苦労している。英国や米国を含む多くの国が独自のサイバー攻撃部隊を擁しているが、その運用方法についてはほとんど知られていない。「こうした活動のほとんどは条約で規定されていない」と、オックスフォード大学の国際公法教授ダポ・アカンデ氏は述べている。「規則は必ずしもサイバー作戦やサイバー活動に特化しているわけではない」。アカンデ氏は120人の国際法学者からなるグループを率いて、パンデミック中の医療施設へのハッキング行為は国際犯罪として扱うべきだと主張している。

主張の多くは、2015年に英国、米国、中国の間で締結された合意に反しているように思われる。英国と中国の共同声明によると、両国は「サイバー空間を利用した知的財産、企業秘密、または機密の企業情報窃盗」を実行または支援しないことで合意した。さらに、両国間には「相互尊重と理解」が必要であると付け加えられている。

アカンデ氏は、サイバー攻撃は既存の国際法に基づいて訴追できると述べている。ハッキングの可否を規定する新たな国際法は必要ないかもしれない。国家による他国の内政干渉の禁止、武力行使の禁止、健康権や生存権といった人権に関する既存の規則は、国家が支援するハッキングにも適用できるとアカンデ氏は付け加えた。

過去3年間、中国のために活動しているとみられるハッカーの名指しと非難が急増している。英国と米国の政治家たちは、攻撃対象国に屈辱を与えることで、将来のハッキング活動を阻止できると期待している。しかし実際には、中国であれロシアであれ、名指しされたハッカーが海外に渡航して逮捕されるリスクを冒す可能性は低い。こうした声明には、容認できない行為を明確に示すという別の目的もあるのかもしれない。

「これらの声明は、政府とサイバーセキュリティ機関の間で相当な協力が行われていることを示しています」とアカンデ氏は述べる。複数の国が不適切なスパイ行為とは何かについて合意できれば、ルールに違反する国への対処が容易になると付け加えた。「各国は、サイバー空間が統治されていない空間であるという考えを非常に避けようとしています。ここにも法が適用されるということを明確にしたいのです。」

2020年7月24日19:00 BST更新：英国駐在中国大使館からの声明が追加されました

マット・バージェスはWIREDの副デジタル編集長です。@mattburgess1からツイートしています。

この記事はWIRED UKで最初に公開されました。