慶應大学や一橋大学も標的に
「2016年から2017年にかけて発生したJAXA(宇宙航空研究開発機構)や三菱電機をはじめとする防衛関連の企業など、日本の研究機関や会社およそ200にのぼる組織が受けた大規模なサイバー攻撃について、警察当局の捜査で中国人民解放軍の指示を受けたハッカー集団『Tick』によるものとみられることが分かった」
4月20日、NHKがこう報じた。報道では明らかにされていないが、「200にのぼる組織」には三菱電機、日立製作所、NEC、IHIなどの防衛関連企業だけでなく、慶應大学や一橋大学などの研究機関が含まれている。
英語でTick(ダニ)と呼ばれるこのハッカー集団は、中核組織は5名から6名。その配下に15名から16名のハッカーが属している極めて小集団のハッカーグループで、主に日本と韓国のハイテク企業を標的にした攻撃を行っている。
その特徴は、言語能力に長け、攻撃手法は標的に対して執拗かつ深く潜伏して行うことだが、中国人民解放軍の正規部隊ではなく、あくまでも中国政府としては関与していない、民間のグループという位置づけだ。後述するように、そこからは中国政府の「民間の犯罪行為」で押し留めようとする戦略が透けて見える。
JAXAをはじめとする一連のサイバー攻撃に使用されたのは日本国内のレンタルサーバーだったことが明らかになったが、その契約者が偽名だったということで、警視庁は二人の中国人を私電磁的記録不正作出・同供用容疑で書類送検した。
今回の捜査は、警視庁公安部に2017年4月に設置された「サイバー攻撃対策センター」が行ったもので、同センターはもともと警視庁公安部に所属していたサイバー攻撃特別捜査隊を拡張し、専門知識を持ったおよそ百人体制の組織で、東京オリンピック・パラリンピックの開催に備えて創設された。主に政府機関や重要企業などへのサイバー攻撃の捜査を専門としている。
人民解放軍所属の女から
複数の捜査関係者に取材、話をまとめると、事件の詳細は次のようなものだ。
一人はファーウェイ・ジャパンに勤務していた30代の中国共産党員の中国人で、数年前に日本に帰化している。男はファーウェイに勤務する知人から、中国の通信事業者大手チャイナユニコムの社員を紹介され、レンタルサーバーの契約を依頼された。
もう一人の男は中国人の元留学生で、過去の勤務先である国営企業の元上司に紹介された61419部隊所属の女性軍人から、レンタルサーバーの契約を依頼されたという。61419部隊とは、中国人民解放軍総参謀部隷下の第三部技術偵察第四局の別称で、日本および朝鮮半島を担当するハッキング集団の部隊である。
中国人民解放軍には、こうしたハッキング技術を持った兵士がおよそ40万人いると推定されている。
中国人元留学生が来日した際、任意で聴取を行ったところ、彼のスマートフォンに残されたSNSやメールからは、人民解放軍所属の女から「祖国に貢献しろ」と迫られ、レンタルサーバーの契約や日本製セキュリティーソフトの購入などを指示されていたことが明らかとなった。
購入した日本製セキュリティーソフトには、組織のパソコンを一元管理するソフト「SKYSEA」(スカイシー)も含まれ、中国軍の手によって製品が分析された。2016年に行われたサイバー攻撃は、その脆弱性を利用したものだ。
その脆弱性は、SKYSEAの開発元のSky(スカイ)株式会社も発見していなかったもので、スカイはようやく半年後の同年12月21日に対策を施した修正プログラムを公開している。セキュリティを売り物にしていたスカイのソフトウェアがサイバー攻撃の原因となったのは皮肉な話だ。
スカイは、スカイシーをバージョンアップするようユーザー企業に呼び掛けたが、バージョンアップが全ての企業で行われなかったため、2017年に入ってもサイバー攻撃は続いた。スカイはその後も段階的にバージョンアップを繰り返しているが、全ての企業がそれを終えているわけではなく、いまもサイバー攻撃に晒される危険性があるという。
事件の捜査は2年前からほとんど進展がなく、2人ともにすでに中国へ帰国しており、時効が迫っていたことから今回、書類送検したというのが真相である。
100万人以上の年金加入者の個人情報が漏洩
実は過去にも日本を標的にしたサイバー攻撃で、今回と同様にレンタルサーバーが使用された例は他にもある。代表的なものが、2015年に発覚した日本年金機構へのサイバー攻撃である。
日本年金機構の職員が送られてきたメールを開封したところ、コンピュータウイルスに感染し、この職員らが使用していたパソコンが遠隔操作され、100万人以上の年金加入者の個人情報が漏洩した事件である。典型的なフィッシングメール(詐称メール)を端緒としたサイバー攻撃だが、パソコンを遠隔操作していたサーバーがレンタルサーバーだった。
当初の報道では港区の海運会社のサーバーと報じられたが、港区の海運会社は、都内のインターネット大手A社が運営するレンタルサーバー会社のサーバーを利用していただけで、管理責任はレンタルサーバー会社にあったことが判明している。
一般にレンタルサーバー会社のサーバーは管理がいい加減で、脆弱性と呼ばれるコンピュータの瑕疵がそのまま放置されていることが多く、ハッカーがその脆弱性を利用してサーバーを乗っ取ることができ、いまもその危険性は放置されたままだ。
意図的にサーバーの遠隔操作を放置する日本企業
乗っ取られたサーバーは、コンピュータウイルスの遠隔操作に利用される(こうしたサーバーはコマンド&コントロール《C&C》サーバーやC2サーバーと呼ばれる)。
コンピュータウイルスは、あらかじめこうしたC&Cサーバーと通信できるように細工されており、一度パソコンに感染するとC&Cサーバーと自動で通信を開始してしまう。
A社に対しては、多くのセキュリティ会社がサーバーが乗っ取られていることを警告していた。2014年12月には公的機関である経済産業省の外郭団体、一般社団法人ジェイピーサート・コーディネーションセンター(JPCERT/CC)がA社にサーバーの乗っ取りを通知していた。
JPCERT/CCは、日本国内で発生したセキュリティに関する事件の技術的情報を取りまとめるとともに、ネットワーク管理者と共有することを目的にした団体で、A社のサーバーに関しても早くから注視していた。
A社に対して複数のセキュリティ会社が、「サーバーの脆弱性を解消するために、必要なら無償で技術協力する」とまで伝えていたが、A社から前向きな返答はなかった。セキュリティ会社の担当者は、「いまもA社のサーバーが悪用されている状況は変わっておらず、防止策を取らないのが不思議」と証言する。
A社の担当者は、サーバーが遠隔操作に利用され、悪用されていることをセキュリティ会社から指摘されたことを認めたうえで「通信の秘密があり、サーバーが悪用されているか事前に検知することはできない。不審な通信が分かればできる限りの対策はしている」と話している(産経新聞2015年8月22日)。
だが、この言い分は実に奇妙で、意図的にサーバーが遠隔操作に利用されている状態を放置したとしか思えない。
仮に通信の秘密の問題があったとしても、ネットワークを監視することは「違法性阻却事由」が認められており、「サーバーが悪用されているか事前に検知することはできない」との理由にはならない(「違法性阻却事由」とは、法律上は違法行為であっても目的が正義に反しなければ違法ではないとする考えで、正当防衛や緊急避難がこれに該当する)。
事実、A社はネットワーク監視で有名な情報セキュリティ企業にネットワークの監視業務を委託しており、サーバーが悪用されていたことも分かっていたはずだ。
日本企業は中国共産党の配下か
A社のサーバーをC&Cサーバーとして利用し、大規模なサイバー攻撃を仕掛ける手口は、セキュリティ会社によって「クラウディオメガ」(Cloudy Omega)攻撃(キャンペーン)と名づけられ、海外でも有名になっていた。
2015年8月23日に台湾で開催された「ヒットコン」(HITCON)というハッカーのイベントでもこの問題は紹介され、日本のみならずハイテク企業が多く集まる台湾や金融都市シンガポールまでもが被害に遭っている、と報告されている。
イベント参加者は、「乗っ取られたサーバーを長年放置しているA社は、中国共産党の配下にある企業ではないかとの疑いがある」とさえ話している。
その結果として年金機構へサイバー攻撃が行われ、100万人以上の個人情報が、最終的には中国の都市、上海と瀋陽へ流出したのを筆者の所属する情報安全保障研究所では確認済みだ。
中国のサイバー攻撃は、2015年までは他人が契約したレンタルサーバーの脆弱性を見つけ、それが見つかればC&Cサーバーに仕立て上げるという作業が行われていたが、脆弱なレンタルサーバーを見つけ出すよりも、自身で契約したレンタルサーバーのほうが何かと都合が良いことに気づいたのか、2016年以降は自身で契約したレンタルサーバーが用いられるようになった。
ここでいう「自身」とは、ハッキングを仕掛ける側のことだが、自身で契約したレンタルサーバーは脆弱性を意図的に放置できるので、C&Cサーバーとして利用できる期間、すなわちハッキングできる期間が長いことや大量の個人情報や機密情報で容量が増えても誰も気に留めない、気づかれないなどメリットが大きい。
国内のレンタルサーバーを偽名で契約する手口は、いまも増加している。
レンタルサーバーの契約は、現在もクレジットカードさえあれば住所や氏名などが全くのでたらめでも、誰でも自由に契約できる。レンタルサーバーがたびたびサイバー攻撃に利用されていながら、なぜか規制しようとしないのが日本の実情だ。
中国国家ぐるみの犯罪
問題はさらに深刻だ。実は、2人の中国人が契約したレンタルサーバー2台の特定は、捜査の初期段階から明らかにされていた。攻撃されたサーバーの通信記録(ログ)や攻撃に使用されたコンピュータウイルスを調べれば、どこのIPアドレス(インターネット上のコンピュータや通信機器の識別番号)からアクセスしていたかがわかり、そのコンピュータの所有者を突き止めれば契約者は割り出すことができるからだ。
そのコンピュータのログを調べれば、61419部隊の本拠地である中国山東省にあるコンピュータと通信していたこともわかる。
攻撃に使用されたサーバーが乗っ取ったサーバーか契約したサーバーかの違いだけで、その手法は2015年の日本年金機構と全く同じだった。
ところが、今回書類送検された二人は民間人であり、罪状はあくまでも私電磁的記録不正作出・同供用容疑である。仮に中国山東省にあるコンピュータと通信していたことがわかったとしても、そのコンピュータもレンタルサーバーの可能性が高く、61419部隊が指示していたと断定できる証拠はない。
2010年4月に発覚したインド政府機関や在米パキスタン大使館などに対して行われたハッキング事件は、中国人民解放軍の犯行の可能性がきわめて高く、犯行に用いられたサーバーは四川省成都のレンタルサーバーが発信源だったが、中国政府は中国人民解放軍の関与を完全に否定している。
2015年の日本年金機構のサイバー攻撃でも、窃取された年金加入者の個人情報が、いくつかのサーバーを経て最終的に中国本土のサーバーに送信されている。そのサーバーの所有者は「Tokyo Sakura」という名前で登録されており、組織名は空白で、住所も「City: Tokyo」とだけあり、電話番号も架空の番号で、郵便番号も「1120849」と日本の郵便番号にはないでたらめな番号が記載されていた。
本来ならインターネットが国家管理されているはずの中国において、このようなでたらめなサーバーの管理者登録が許されるはずもなく、明らかに国家ぐるみの犯罪と言える。
あくまで「民間人」の犯行
最終的に窃取されたデータが送信されたサーバーの登録者情報がの情報でも、レンタルサーバー料金の毎月の引き落としに利用されているクレジットカードの番号から容疑者が特定できることもあるが、中国国内のレンタルサーバーの場合、登録者情報もでたらめで、国家ぐるみの犯罪だとすれば、毎月の支払いも免除されている可能性が高く、お手上げ状態だ。
仮に日本国内で逮捕者が出てもあくまで「民間人」の犯行であり、人民解放軍の兵士が直接手を下すことはない。犯行に使用されたサーバーも民間のもので、ハッキングも民間のハッキング集団のせいにして自分たちは一切関係ないと白を切る。これが中国政府の常套手段なのだ。
こうしたレンタルサーバーを使用したハッキングはいまも増え続けている。2021年版のサイバー脅威の予測で、その被害が今後も拡大すると予測されているコンピュータウイルスにランサムウェアがある。「Ransom」(身代金)と「Software」(ソフトウェア)を組み合わせて作られた名称を持つこのウイルスに感染すると、パソコン内に保存しているデータが勝手にC&Cサーバーと通信し暗号化され、使用できなくなる。その端末と接続された別の端末も暗号化され使用が不可能になる場合もあり、それらの制限を解除するための身代金を要求する画面を表示させるウイルスで、近年脅威が拡大している。
2020年に米国で大規模な被害が出たIT資産管理ソフトSolarWindsを狙ったウイルスも、感染したパソコンがC&Cサーバーと通信を開始し暗号化される代物だった。このサイバー攻撃はロシアによるものと見られているが、やはりレンタルサーバーの脆弱性が根本原因としてあるのだ。
日本の法律では裁けない
今回の捜査では、中国本土にいると思われるハッカーの所在や氏名までは特定できていない。
一方で、たとえば2017年5月に米信用情報機関大手エクイファックスにハッキングを仕掛け、1億4550万人の個人情報が窃盗された事件で、米連邦捜査局(FBI)は「犯行は中国人民解放軍第54研究所の軍人4名によって行われた」などと具体的に容疑者を特定し、指名手配している。
今回の件で、日本にはそのような能力がないことが明らかになってしまった。諜報活動の基本は、敵にその能力を悟られないことにあることも忘れてはならない。
中国共産党は、現在の日本の法律では中国のサイバー攻撃は裁けないことを熟知しており、サイバー攻撃などの諜報活動をますます活発化させている。日本が早期にスパイ防止法を成立させなければならないのは誰の目にも明らかだ。
中国では2017年6月に、国民や企業に国の情報活動への協力を義務付ける「国家情報法」が施行されており、中国人従業員や留学生がいつ中国のスパイ活動を始めるかわからない。今後ますます、この種の事件は増えていくだろう。
事実、報道こそされていないが、ネットワークを監視する大手セキュリティ会社で、監視要員として雇っていた中国人従業員が、顧客のネットワーク構成などをバイドゥ(百度)という中国検索大手が運用するストレージサービス(インターネットを通じて、データを保管するためのディスクスペースを貸すサービス)を利用して大量に送り込んでいたという事件が発生している。容疑者はすでに退職しており、事件が発覚した時には中国に帰国したあとだった。
日本がいますぐにできることは、レンタルサーバーの契約時の身元確認の厳格化と厳罰化、さらに定期的なサーバーの脆弱性検査やネットワーク監視の義務化、行政からの警告に対して早期に対応することなどの法律を成立させることである。
中国国家安全保障省は4月26日に「スパイ防止セキュリティ作業に関する規則」を発表したが、この規則は2014年11月に施行された「中華人民共和国反間諜法」を補足するもので、中国へのスパイ活動を防止するために海外赴任者や留学生の渡航前研修を義務付けることや、国家安全保障機関が電子通信ツール、機器、設備や関連する部品に対するセキュリティ検査を行うことや、ネットワークやシステムへのリモート検査を実施することができるとしている。日本の脆弱性を尻目に、中国は着々と手を進めている。日本も少しは中国に学ぶべきだ。
さらに国家によるサイバー攻撃を立件するには、米国のように法整備を進めるだけでなく、ヒューミントと呼ばれる人からの情報収集を中心とする諜報活動が最後の決め手になる。日本政府は、情報を保護するあらゆる法を整備するとともに、諜報機関の設立も真剣に検討すべき時期にきている。もはや一刻の猶予もないほど事態は深刻化している。(初出:月刊『Hanada』2021年7月号)
