サイバー攻撃「中国軍が関与」 警視庁公安部が結んだ点と点

投稿日時: 投稿者:

平成28~29年に宇宙航空研究開発機構(JAXA)など国内約200の組織がサイバー攻撃を受けた事件では、警視庁公安部が、中国軍直下のハッカー集団の関与を裏付け、攻撃ツールを販売していた中国籍の男を書類送検した。日本の警察当局が、サイバー攻撃の主体を他国機関と特定し、結果を公にした初めての事案であり、関係者は意義を強調する。専門家は「誰もが狙われる可能性があると認識すべきだ」として、社会全体の情報セキュリティー意識の向上を訴える。
特殊な攻撃
「背景組織を特定したのは、非常に意義深い」。警視庁公安部による書類送検から2日後の4月22日、警察庁の松本光弘長官は定例記者会見で今回の事件に触れ、そう見解を示した。
公安部は送検時の発表で、中国・山東省青島を拠点とする中国人民解放軍のサイバー攻撃専門部隊「61419部隊」の関与が濃厚と説明。同部隊とメンバーがほぼ重なる「Tick(ティック)」という国際的なハッカー集団が、実務を担っていた疑いが強いとした。
松本長官の発言は、これらの捜査結果を受けてのものだった。
捜査関係者によると、サイバー分野で、攻撃元を特定することを、英語の同義語を用いて「アトリビューション」と呼ぶ。過去、日本の捜査当局がアトリビューションに成功した事例は他にもあるとされるが、公にすることで敵側に利する結果となる可能性もあり、関係機関のみの情報共有にとどまるケースが多い。
一方、別の捜査関係者は、「日本の捜査能力を国内外に示し、同種事案への抑止力になりうるというメリットもある」と説明。今回の事件は、関係者の聴取に成功し、メール記録など客観証拠が集まったこともあり、中国を〝名指し〟することが可能と判断した。
攻撃を受けたのは、JAXAのほか、三菱電機、IHIといった民間企業に加え、慶応大などの学術機関、岐阜県など複数の自治体、大阪のテレビ局など、多種多様な業種に及んだ。いずれも、個々の社員らのパソコンを一括管理するソフトウエア「SKYSEA(スカイシー)」を導入しており、ティックは、このソフトの脆弱性を突いた。
その手口は、「ゼロデイ攻撃」と呼ばれる特殊なものだった。
同胞が「道具屋」
この攻撃では、ソフトウエアの脆弱性を開発元より先に発見したうえで、各組織内の正規サーバーを装った偽サーバーを経由し、情報搾取のためのマルウエア(悪意のあるソフト)を送り込む。脆弱性を修正するプログラムが利用者向けに公開される日を初日(ワンデイ)とし、それ以前の攻撃であることから、名づけられた。
捜査関係者によると、非常に高度な手口で、使い手は限られる一方、ティックはこれを駆使することで知られていた。「数あるハッカー集団の中でも群を抜く能力があり、脅威度は最も高い」。捜査関係者はティックをそう評する。
公安部はさらに捜査の過程で、送り込みに使われたとみられるサーバーを特定。契約者として中国籍の男2人の関与が浮上する。
このうち、中国共産党員で、国営の大手情報通信会社に勤務する30代のシステムエンジニアの男は、中国のインターネットサイト上で、サーバー利用に必要なIDやIPアドレスなどを転売していたことが確認された。男は当時、中国在住だったが、日本を訪れた際に公安部が任意で聴取。「小遣い稼ぎだった」などと関与を認め、ティック側がその一部を購入していたことが判明した。
つながった点と点。公安部は4月20日、28年9月から29年4月にかけて計5回、偽の名前や住所で日本国内のレンタルサーバーと契約したとして、この男を私電磁的記録不正作出・同供用容疑で書類送検した。
公安部は男に事件の全体像の把握はなく、ティック側が「道具屋」として利用したとみている。
捜査を継続
だが、もう1人の男からは、中国側の明確な指示の存在が明らかになる。
日本への留学経験を持つこの男も、事件発覚後に再び来日しており、公安部が任意で事情を聴いた。メールの確認なども進めた結果、中国人民解放軍の軍人を夫に持つ中国在住の女が男に対し、サーバーIDなどの提供を要求していたことが分かった。
男は聴取に「女は知人で、『国に貢献しなさい』とか、『夫の出世は、あなたの活躍にかかっている』と迫られた」などと説明。サーバーIDのほか、USBメモリーも入手し提供したが、同じく要求された日本製のセキュリティーソフトは、購入に必要な日本の法人登記がそろえられず断念したという。
中国側は日本製ソフトを収集、分析し、別のサイバー攻撃の足掛かりにしようとした可能性もある。
公安部はこの女に対しても、来日時に接触に成功。元留学生の男を含め、捜査を継続して立件の可否を検討している。
捜査関係者は、「事件に関係する男女3人がいずれも来日し聴取がかなったのは、幸運だった」と振り返る。
諜報を義務化
中国では2017年(平成29年)、あらゆる組織や個人に政府の諜報活動への協力を義務付ける「国家情報法」が施行された。
標的国で永住権を持っていたり、著名企業に勤務するなどしている同胞を利用するのは、施行以前からの中国の常套(じょうとう)手段だが、日中関係者は、「法律によって同調圧力がさらに強まった。成果の度合いによって、中国国内での待遇など、その後の人生にも影響があるとみられ、逃げられない」と指摘する。
捜査関係者によると、これまでに、攻撃を受けた約200の組織から、機密性の高い情報が大量に流出するなどした形跡は確認されていない。マルウエアの送りこみに成功したのは、いち社員らの個別パソコンの範囲にとどまり、組織の管理用サーバーなど情報の中枢レベルにはセキュリティーが作動して届かなかったとみられる。
サイバー攻撃をめぐっては、脆弱性の修正プログラムが公開された後も、利用者側が未認知であったり、危険性を軽視するなどして長期間、更新されないケースも散見されるという。
情報セキュリティー会社「トレンドマイクロ」(東京)の岡本勝之氏は、「敵が標的とする組織に所属していなくても、その組織と取引関係にある場合は、踏み台として狙われる可能性もある」と指摘。「職種や職位に関わらず、誰もが狙われる可能性があることを官民ともに認識し、危機意識をより高めていく必要がある」としている。