中国サイバーセキュリティ協会(Cyber Security Association of China:CSAC)は2025年8月1日、米国諜報機関による中国軍事企業への2件の大規模サイバー攻撃を公表した。
第1の攻撃では、2022年7月から2023年7月の12カ月間、米国がMicrosoft Exchangeのゼロデイ脆弱性を悪用して中国の主要軍事企業のメールサーバーを制御し、ドメインコントローラーサーバーを踏み台として社内ネットワーク内の50台以上の重要デバイスを掌握した。
攻撃者はWebSocket通信とSSHトンネルを用いて複数の秘密チャネルを確立し、ドイツ、フィンランド、韓国、シンガポールのIPアドレスから40回以上の攻撃を実行して、上級幹部を含む11人のメールを窃取した。これらのメールには中国軍事製品の設計図面と詳細なシステム情報が含まれていた。
第2の攻撃では、2024年7月から11月の5カ月間、通信・衛星インターネット分野の中国軍産複合企業を標的とし、ルーマニアとオランダのIPアドレスからSQLインジェクション脆弱性を悪用してファイルサーバーにバックドアを設置し、300台以上のデバイスを侵害した。
From: 
China says US spies exploited Microsoft Exchange zero-day to steal military info
【編集部解説】
今回の中国サイバーセキュリティ協会(CSAC)による告発は、日増しに激化するサイバー空間での米中対立の最新章といえます。CSACは中国サイバースペース管理局の影響下にある組織で、その告発には中国政府の公式見解が反映されています。
興味深いのは、このような相互非難が常態化していることです。米国は先月、中国系ハッカーグループがMicrosoft SharePointのゼロデイ脆弱性を悪用したと発表したばかりで、中国の今回の告発はその直後のタイミングで行われています。さらに、2023年には中国のStorm-0558グループによるMicrosoft Exchange攻撃で米国政府高官のメールが侵害されるという事件も発生しており、Microsoft製品を巡るサイバー攻撃の応酬が続いています。
技術的側面の深掘り
攻撃者が使用したとされる手法は高度なものです。WebSocket通信をSSHトンネル内で実行し、複数の秘密チャネルを確立するという手法は、通常のネットワーク監視では検出が困難です。また、SQLインジェクション攻撃によって300台以上のデバイスを制御下に置いたとされる第2の事案では、「軍事ネットワーク」「コアネットワーク」といったキーワード検索により機密データを標的化している点が、高度な知性収集作戦であることを示しています。
影響範囲と長期的視点
この事案が示すのは、現代のサイバー戦争における非対称性です。国家レベルのハッカーグループは、民間企業のインフラを踏み台として利用し、複数国のIPアドレスを経由することで攻撃元の特定を困難にしています。これは従来の物理的な国境概念を無効化する新たな戦争形態といえるでしょう。
2023年のStorm-0558による攻撃に関して米国土安全保障省のサイバー安全レビューボード(CSRB)が公表した報告書は、事後対応だけでなく、攻撃を許したMicrosoft社の「回避可能だったはずの連鎖的なセキュリティ上の失敗」と、その企業文化を厳しく批判しました。広く普及したソフトウェア基盤の脆弱性が、国家の安全保障を揺るがす事態に直結することを示しています。中国のハッカーグループによる脅威は、単発的な攻撃ではなく、長期的な国家戦略の一環であり、その活動は継続的に確認されています。
規制と対策への影響
この問題は単なる政治的駆け引きを超えて、企業のサイバーセキュリティ戦略に直接的な影響を与えます。特に日本企業にとって重要なのは、Microsoft ExchangeやSharePointなどの広く使用されているエンタープライズソフトウェアが標的となっている点です。
今後、企業はゼロデイ脆弱性への対策として、ゼロトラストアーキテクチャの導入や、エンドポイント検出・対応(EDR)システムの強化がより重要になるでしょう。また、国家レベルの攻撃に対しては、従来の境界型セキュリティモデルでは対応が困難であり、内部ネットワークでの異常検知能力の向上が急務となります。
この米中サイバー対立の激化は、グローバル企業にとって技術選択における新たなリスク要因となりつつあります。単なるセキュリティ問題を超えて、デジタル主権という概念が企業戦略に直接影響を与える時代が到来していることを、この事案は明確に示しているのです。
【用語解説】
ゼロデイ脆弱性(Zero-day vulnerability)
ソフトウェアベンダーがまだ発見・認知しておらず、修正パッチが存在しない脆弱性のこと。攻撃者だけが知っている未知の脆弱性であるため、防御が極めて困難である。
WebSocket通信
Webブラウザとサーバー間で双方向のリアルタイム通信を可能にするプロトコル。通常のHTTP通信とは異なり、持続的な接続を維持できるため、データの送受信が高速に行える。
SSHトンネル
暗号化されたSSH接続を利用して、安全でないネットワーク上で他のプロトコルの通信を保護する技術。攻撃者が検知を回避するための隠れた通信経路として悪用される場合がある。
SQLインジェクション
Webアプリケーションのデータベース処理に不正なSQL文を挿入し、データベースを不正操作する攻撃手法。機密データの窃取やシステム制御の乗っ取りが可能になる。
ドメインコントローラー
Windowsネットワークにおいて、ユーザー認証やアクセス権限管理を行う中央サーバー。これを制御されると、組織内の全システムへの管理者権限を奪われる危険性がある。
Storm-0558
Microsoftが命名した中国系国家支援ハッカーグループ。2023年のMicrosoft Exchange Online攻撃で米国政府高官のメールを侵害したことで注目された。
【参考リンク】
中国国家コンピュータネットワーク緊急対応技術チーム(CNCERT/CC)(外部)
中国のサイバーセキュリティ緊急対応の中核を担う非営利技術センター
Microsoft Exchange Online(外部)
マイクロソフトが提供するクラウド型メール・グループウェアサービス
【参考記事】
US intelligence uses Microsoft Exchange zero-day vulnerabilities to attack Chinese military enterprises(外部)
中国サイバーセキュリティ協会による告発を詳細に報じた中国国営メディアの記事
China accuses US of exploiting Microsoft zero-day in cyberattack(外部)
米国の専門メディアによる報道でトランプ大統領発言など米国側視点を分析
China Says US Exploited Old Microsoft Flaw for Cyberattacks(外部)
Bloomberg発の記事でビジネス視点から過去のExchange攻撃事例との関連性を解説
Cyber Safety Review Board Releases Report on Microsoft Online Exchange Incident(外部)
Storm-0558による2023年のExchange攻撃に関する米国政府の公式調査報告
【編集部後記】
皆さんの組織では、Microsoft ExchangeやSharePointをお使いでしょうか?今回の事案を見ていると、私たちが日常的に使っているツールが実は国家レベルのサイバー戦争の最前線にあることがよくわかります。
ゼロデイ脆弱性への対策について、皆さんの会社ではどのような備えをされていますか?また、この米中サイバー対立の激化が、皆さんのビジネスや技術選択にどんな影響を与えると思われますか?
私たちinnovaTopia編集部も、この複雑化するサイバーセキュリティの世界を理解しようと日々勉強中です。ぜひ皆さんの現場での経験や疑問も、SNSで共有していただけると嬉しいです。一緒にこの技術の未来について、学び考えていきましょう。
コメントを残す