台湾有事は起こるのか？中国のサイバー攻撃能力を知って備えよう

サイバーリーズン・ジャパン（以下、サイバーリーズン）はこのほど、台湾有事を取り巻く環境と中国を中心としたサイバー脅威に関する記者向けの勉強会を実施した。この勉強会では、同社のサイバーストラテジー・エバンジェリストである中村玲於奈氏が調査し考察した情報に基づいて、台湾有事と中国のサイバー脅威の現状が示された。

CIA（米中央情報局）のウィリアム・バーンズ長官が「中国の習氏が2027年までに台湾侵攻を成功させるための準備を行うよう、軍に指示していることを把握している」と発言したが、緊張感が高まる中で、中国のサイバー攻撃能力と有事に想定されるサイバー攻撃について押さえておくべきだろう。

1949年に成立した中国は、建国100周年の時点で世界一の強国となることを目標としているようだ。2010年代の中国はGDP（国内総生産）が日本を超えて世界2位となっている。千人計画や外資誘致の強化による技術獲得と経済成長を遂げ、軍事力と影響力の強化を進めた。将来的には世界一の軍事大国となり、米国一強ではない多極化世界となることを狙っているような状況だ。

中国を取り巻く動きと各国の狙い

中国は社会主義現代強国の実現に加えて、中華民族の偉大なる復興と、台湾問題の解決と祖国統一といったイデオロギーを掲げているという。また、対米の軍事拠点としても、戦略原子力潜水艦が太平洋に容易に進出するために、そして、台湾の早期警戒レーダーを無効化するために台湾を統一したいようだ。

加えて、台湾には先端半導体の工場が新設されるなど経済的な価値も高まっている。2019年時点では回路幅10ナノメートル未満の先端半導体の生産能力の9割以上を台湾が占めているという。

中国から見た太平洋進出の壁

これに対して、アメリカとしては、原子力潜水艦の太平洋進出の難化や早期警戒レーダーによる長距離ミサイルの検知など、既存の中国軍事戦力への哨戒能力は維持したい考えだ。また、中国による先端半導体の技術力獲得を阻止する狙いもあると見られる。簡単に中国の台湾統一を許容できるわけではないようだ。

もちろん日本にとっても、ひとごとではない。日本は特にエネルギー関連の資源の大部分を海上輸送に頼っていることもあり、台湾有事の際には迂回などによるコスト高騰も考えられる。台湾に進出している日本企業は3124社（2022年7月現在）で、中国に進出している企業は1万社を超えていることもあり、ビジネスへの影響も予想される。

日本のシーレーンへの影響も懸念される

中国のサイバー攻撃能力はどれほどか{#id2}

中国も他国と同様に、軍の諜報機関、対外諜報機関、対内諜報機関を有している。軍の諜報機関である人民解放軍には、ドイツのSolarWorldやアメリカのWestinghouseにサイバー経済スパイを行ったとみられるAPT1や、JAXAなどへサイバー攻撃を行ったAPT40(Tick)などが所属する。

対外諜報機関としては2008年のクラウドホッパー作戦で知られるAPT10などが所属する。このキャンペーンの被害対象には富士通やNTTなど日本企業も含まれている。APT17（Axiom）は2015年に日本年金機構に攻撃を行い、約125万人の年金情報を窃取した。

対内的な諜報機関である国務院公安部は、国内統治のための活動を実施しており、具体的な被害やグループが不明なのだという。しかし、チベットやウイグルなどの少数民族を標的としてサイバー攻撃を行っているScarlet Mimicや、TA413、APT15などの関与が示唆されているとのことだ。

ちなみに、中国のサイバー部隊は17.5万人規模だという。日本は540人、ロシアは1000人、アメリカでも6200人であることを考えると、文字通り"桁違い"の規模であることが分かる。

中国の公的機関に関与している攻撃グループの例

中国系のAPTグループ

具体的な攻撃手法を見てみると、複数の中国系アクターはマルウェアとして「PlugX」や「LODEINFO」を使用しているそうだ。攻撃コードをメモリで実行させる際にDLLサイドローディングという手法によって、これらマルウェアが実行される。コードの実行自体は正規のプロセスでもあるため、アンチウイルスが検知しにくい特徴があるという。

APT27は、セキュリティベンダーであるShenzhen Leagsoft Technologiesから窃取したとみられる、正規のデジタル証明書を使用してマルウェアに署名する手法を用いている。また、APT10は画像データ内に悪意のあるコードを隠すステガノグラフィを用いている。このように、検知を回避する手口が巧妙化しているとのことだ。

その他、Tropic TrooperはUSBメモリなどを経由して閉域ネットワークに侵入するマルウェア「USBferry」を用いている。物理的にわざとUSBメモリを落として、従業員や関係者に使わせることで侵入に成功するように、「エアギャップ環境」が狙われている。

中国を中心とするアクターの攻撃手法

中国は2019年に、ゼロデイ脆弱性の発見後2日以内に報告を求める規定を試行した。2021年12月に発覚したLog4jの脆弱性に関して、アリババが当該の脆弱性を発見していたにもかかわらず当局への報告を怠ったとして、処分を受けている。DHS（アメリカ合衆国国土安全保障省）は「中国はメーカーが修正する前にゼロデイ脆弱性を利用することを意図している」と指摘している。

Microsoftの報告によると、実際に中国系の攻撃者によるゼロデイ脆弱性を悪用した攻撃件数が増加しているとのことだ。APT5がCitrix ADCのゼロデイ脆弱性を悪用した攻撃キャンペーンを実施するなど、事例も増えているようだ。

ゼロデイ脆弱性を利用した攻撃の例

有事の際に考えられるサイバー攻撃

台湾の想定シナリオによると、侵攻の初期段階には演習の名目で中国沿岸に軍隊が集結し、「認知戦」として民衆にパニックを誘発するという。第二段階では、弾道ミサイルや巡航ミサイルによって重要な軍事施設を攻撃するとともに、戦略支援部隊によって台湾軍のシステムへサイバー攻撃が仕掛けられる。

なお、平時からも情報収集を目的とするサイバースパイ行動は行われていると考えられる。情報戦や、より高度なサイバー攻撃の実施に向けたサイバースパイは、台湾だけでなくアメリカや日本に向けても実施されているという。

さらに高列度のサイバー攻撃として、アメリカと台湾の接近や、台湾の独立志向をけん制するためのサイバー攻撃の可能性もあるそうだ。特に注目を引く標的へのDDoS（Distributed Denial of Service：分散型サービス拒否攻撃）が想定される。2022年にアメリカのペロシ前下院議長が台湾を訪れた際には、コンビニエンスストアのサイネージが乗っ取られ、悪意のあるメッセージが表示されたような例もある。

こうした純粋なサイバー攻撃に加えて、本格的なサイバー攻撃や、その本格的な攻撃開始の意図を隠ぺいするための半常態的な攻撃の懸念もある。こうした動きは、ロシアによるウクライナ侵攻の際にも見られたとのこと。実際の侵攻開始は2022年2月24日からではあるが、約1カ月前から顕著なサイバー攻撃が観測されている。

実際に想定されるサイバー攻撃

なお、武力行使に至らない場合でも日本へのサイバー攻撃はあり得るのだという。サイバーリーズンの予測によると、その際には民間のアクターが利用される可能性が高い。ただ、当然中国側には国家支援型のアクターも存在し、そこからの攻撃も考えられる。重要なのは、日本単独、あるいは日米の協力によって攻撃者を特定する能力やサイバー反撃能力を備えることだ。

何より"有事"が起こらないに越したことはないが、「備えあれば憂いなし」だ。備えすぎるくらいに備えても損はないだろう。