中国関連ハッカーが日常機器を“踏み台”化 日本も共同署名した国際警告が示す新たなサイバー脅威の現実
日本の国家サイバー統括室が、英国主導で公表された「Defending against China-linked covert networks of compromised devices(侵害されたデバイスで構成される中国関連の匿名ネットワークに対する防御)」という国際アドバイザリーに共同署名したことは、単なる国際協調の一場面として見過ごすべきではない。今回の文書は、中国関連の攻撃者が、家庭用ルーターやウェブカメラ、NAS、ファイアウォールなど、世界中で侵害された日常機器を束ねた匿名ネットワークを使って攻撃を隠し、標的への侵入、マルウェア配布、情報窃取、データ流出までを行っていると警告している。日本がこの共同署名に加わったという事実は、この脅威が遠い海外の話ではなく、日本の企業、自治体、重要インフラ、さらには家庭用ネットワーク環境にも直結する現実的なリスクだという認識を示している。
今回のアドバイザリーで特に重視されているのは、攻撃そのものの高度さだけではなく、攻撃の“見えにくさ”である。英国NCSCとCISAなどの共同文書は、中国関連アクターが多数の侵害済み機器を入口ノード、途中ノード、出口ノードとして組み合わせることで、攻撃元の帰属を難しくし、通信経路を頻繁に変えながら大規模に悪性活動を行っていると説明している。つまり、攻撃者は自分のサーバーから直接狙うのではなく、世界中の乗っ取られた機器を“匿名の道路網”として利用しているわけだ。これにより、防御側は「怪しい中国発IP」を単純に止めれば済むという発想では対応できなくなる。正規ユーザーも使っている普通の機器群の陰に攻撃が紛れ込むため、検知も遮断も格段に難しくなる。
この構造の危うさは、日本の組織にとって極めて重い意味を持つ。なぜなら、日本国内には依然として更新が止まったSOHO向けルーター、初期設定のまま運用される監視カメラ、外部公開設定が甘いNAS、パッチ適用が遅れがちな小規模事業者のネットワーク機器が多数存在しているからだ。アドバイザリーは、防御策としてエッジデバイスの把握、リモート接続への多要素認証、IP許可リスト、ゼロトラスト方針、ネットワーク構成の可視化などを挙げているが、これは裏を返せば、そうした基本対策すら不十分な環境が依然として広く残っていることを意味する。中国関連アクターが狙っているのは、巨大企業の最先端サーバーだけではない。むしろ、更新されず、監視も薄く、安価で大量に普及した周辺機器こそが、匿名化ネットワークの材料として最も都合がよい。
今回の警告で具体例として言及された「Raptor Train」は、その危険性を非常にわかりやすく示している。各国当局の説明によれば、このネットワークは2024年時点で20万台超、別報道では26万台超のデバイスにまで広がったとされ、中国系セキュリティ企業Integrity Technology Groupとの関係や、中国政府関連ハッカー集団Flax Typhoonとのつながりが指摘されている。さらに、以前にVolt Typhoonが使い、米国が2024年初頭に無力化した「KV Botnet」も、脆弱なCiscoやNETGEARルーターを中心に構成されていた。重要なのは、これらが特別な軍用装備や秘密装置ではなく、市販の家庭用・小規模事業者向け機器を土台にしていたという点だ。つまり、サイバー戦の匿名化インフラは、私たちの生活空間のすぐそばにある製品群の脆弱性から組み上がっている。
日本にとってこの脅威がより深刻なのは、標的となる分野が幅広いからだ。Reutersは、各国当局がこの匿名ネットワーク型の攻撃について、重要セクターへの長期潜伏やデータ窃取を可能にするものだと警告していると報じた。英国側も、こうした手法が中国関連アクターの多数に使われているとみられ、企業や組織のシステム侵入を難読化する主な手段になっていると説明している。日本でこれを置き換えれば、電力、通信、物流、製造、医療、地方自治体、研究機関、防衛関連サプライヤーなど、広範な分野が対象になりうる。特に日本は、重要インフラと民間ネットワーク、そして小規模サプライヤーのデジタル接続が密接に絡んでいるため、一見すると末端に見える脆弱機器が、大きな組織への侵入経路となる危険性を常に抱えている。
この問題をさらに厄介にしているのは、攻撃インフラの“低コスト・低リスク性”である。INTERNET Watchが紹介した内容でも、Volt TyphoonやFlax TyphoonがRaptor Trainのような匿名ネットワークを、標的スキャンからマルウェア配布、盗んだデータの持ち出しまで、サイバー攻撃のあらゆる段階で利用しているとされている。攻撃者から見れば、自前のインフラを持つよりも、他人の機器を使い捨てのように踏み台化する方が安く、追跡もされにくい。しかも通信経路には一般利用者も混じるため、防御側は正当な利用との切り分けにも苦しむ。これは日本企業のセキュリティ担当者にとって大きな負担だ。相手は国家支援が疑われる高い技術力を持ちながら、攻撃経路そのものは安価な消費者機器で構成される。高い防御コストを日本側に強いながら、相手は低コストで隠密性の高い攻撃を続けられるという非対称性がある。
だからこそ、日本がこの国際アドバイザリーに参加した意味は大きい。単に「中国関連の脅威に日本も賛同した」という政治的メッセージではなく、今後の防御の軸足が“入口で止める”から“ネットワーク全体を可視化し、異常を前提に監視する”方向へ移ることを示しているからだ。NCSCの助言では、ネットワーク図の整備、外部接続デバイスの棚卸し、不要な管理ポートの閉鎖、多要素認証、ログ監視、ゼロトラスト適用など、きわめて地道だが実効性の高い対策が勧められている。これは、日本の組織が“高度な国家支援型攻撃”という言葉に身構える前に、まず自社や自庁の足元にある機器を把握できているか、外部接続経路を説明できるか、管理者権限の防御が甘くないかを問い直せということでもある。
特に注意すべきは、中小企業や地方自治体、病院、学校といった「狙われにくい」と思われがちな組織である。大企業に比べて人手も予算も限られ、ネットワーク機器の更新が後回しにされやすく、委託業者任せで資産把握が不十分なケースも少なくない。だが、国家支援型の攻撃者にとっては、こうした場所はむしろ有力な踏み台や横移動の入口になりうる。自らが本命標的でなくても、大手企業や官公庁につながるサプライチェーンの一部であれば十分に価値がある。中国関連の匿名ネットワークが、日本国内にある脆弱機器を経由地として利用するだけでも問題は深刻だが、さらにその先の侵入や情報窃取に使われれば、被害は一気に拡大する。
今回の国際共同警告は、結局のところ、日本社会に二つの現実を突きつけている。一つは、中国関連とされるサイバー脅威が、もはや特定の政府機関や防衛分野だけの問題ではなく、日常機器を足場に広がる“平時の常態的脅威”になっているという現実である。もう一つは、その脅威に対抗する鍵が、最先端の防衛技術だけでなく、古いルーターを放置しない、機器の一覧を作る、MFAを徹底する、不要な外部公開を閉じるといった基本動作の積み重ねにあるということだ。中国関連ハッカーの高度化は確かに脅威だが、それに対抗する出発点は意外なほど地味で、しかし決定的に重要な管理の徹底なのである。日本も共同署名した今回のアドバイザリーは、そのことを改めて明確に示した国際的な警告だと言える。
