追跡 中国・流出文書 2 ~サイバー攻撃~
ことし2月、中国のサイバーセキュリティー企業の“内部文書”がネット上に流出した。
詳しい実態が分かっていない中国のサイバー空間での「暗躍」を明らかにできるのではないか。
NHKは世界7つの国と地域の専門家と共に文書を徹底分析した。シリーズでお伝えしている「追跡 中国・流出文書」。
今回、着目したのは、文書の中に含まれていた謎のファイルのスクリーンショット。調べてみると、中国から遠く離れたヨーロッパへのサイバー攻撃によって盗まれたと見られるものだった。
(NHKスペシャル取材班/福田陽平・新里昌士・高野浩司・杉田沙智代)
詳しい実態が分かっていない中国のサイバー空間での「暗躍」を明らかにできるのではないか。
NHKは世界7つの国と地域の専門家と共に文書を徹底分析した。シリーズでお伝えしている「追跡 中国・流出文書」。
今回、着目したのは、文書の中に含まれていた謎のファイルのスクリーンショット。調べてみると、中国から遠く離れたヨーロッパへのサイバー攻撃によって盗まれたと見られるものだった。
(NHKスペシャル取材班/福田陽平・新里昌士・高野浩司・杉田沙智代)
【NHKスペシャル】調査報道 新世紀 File6 中国・流出文書を追う
【NHKプラスで配信中】9/29(日) 午後9:49 まで
流出「i-SOON文書」
ことし2月、突如としてネット上に流出した大量の中国語の文書。
中国のサイバーセキュリティー企業「i-SOON」社のものとみられる。
中国のサイバーセキュリティー企業「i-SOON」社のものとみられる。
世界に先駆けてその存在を発見した台湾のセキュリティー会社「TEAM T5」によると、データのファイルは、全577点に及ぶ。
その内容は驚くべきもので、中にはサイバー攻撃に使える技術の情報が数多く含まれていた。
その内容は驚くべきもので、中にはサイバー攻撃に使える技術の情報が数多く含まれていた。
マイクロソフトやグーグルのメールアカウントを侵入し乗っ取ることができるとするツール。そして、パソコンをハッキングできるとするツール。
さらには、スマートフォンを遠隔操作できるとする技術もあった。説明書には、位置情報を取得したり、音声を傍受したりできると書かれていた。
さらに、3年分、1万6000件に及ぶ従業員同士のチャット記録もあり、そこには、軍や公安など、中国当局との関係をうかがわせるやりとりもあった。
TEAM T5 李庭閣さん
「内部の技術や秘密の会話記録といったものまでが流出するという状況は初めてで、少なくともサイバーセキュリティ―分野では世界的なニュースと言えます。中国がネット上の攻撃に非常に野心的であることが明らかになったのです」
「内部の技術や秘密の会話記録といったものまでが流出するという状況は初めてで、少なくともサイバーセキュリティ―分野では世界的なニュースと言えます。中国がネット上の攻撃に非常に野心的であることが明らかになったのです」
中国政府「把握していない」
一方、中国外務省の報道官は、流出直後に、会見でメディアから問われ、次のように答えた。
記者「中国政府は海外でハッキングを行うために請負企業と契約したのか?」
報道官「あなたの指摘は把握していない。中国は法律に従い、あらゆるサイバー攻撃に断固として反対している」
真実はどこにあるのか。
「標的」となった大学は
文書を詳しく見ていくと、サイバー攻撃によって盗み取ったデータとみられるリストがあり、そこには台湾の市民の個人データ、そして台湾全域の道路データなどの記述があった。
台湾は、中国と緊張関係が続いている。
さらに、チャット記録には、具体的なターゲットとして台湾の名門大学、「政治大学」の名前が挙がっていた。
台湾は、中国と緊張関係が続いている。
さらに、チャット記録には、具体的なターゲットとして台湾の名門大学、「政治大学」の名前が挙がっていた。
『台湾の大学の情報に特別なものはないですかね?』
『政治大学はシンクタンクもあり、両岸関係を研究していて、利用価値がある』
『政治大学はシンクタンクもあり、両岸関係を研究していて、利用価値がある』
同じ時期に侵入の試み?
中国によるメディア工作の実態を研究している政治大学の黄兆年副教授を訪ねると、チャット記録で政治大学が名指しされた時期と同じころから、大学のサーバーへの執拗な攻撃が始まったと明かした。
政治大学 黄兆年副教授
「これは私のメールボックスのログイン履歴です。2022年から24年までの間、ログイン失敗の記録が大量に残されています」
「これは私のメールボックスのログイン履歴です。2022年から24年までの間、ログイン失敗の記録が大量に残されています」
パソコンの記録をみると、何者かが、何度も侵入を試みた痕跡が確認できた。多くの教授が、同様の攻撃を受けていたという。
政治大学 黄兆年副教授
「教授の多くは台湾当局とともに仕事をしています。そのうちのひとりはメールボックスに侵入され、中身をコピーされたりダウンロードされた形跡が見つかりました。このような行為は許されません」
「教授の多くは台湾当局とともに仕事をしています。そのうちのひとりはメールボックスに侵入され、中身をコピーされたりダウンロードされた形跡が見つかりました。このような行為は許されません」
大学への侵入狙いはその先?
台湾の大学などに対するサイバー攻撃を一元的に監視・防衛する当局機関「台湾ハイスピードネットワークセンター」。
この日、政治大学を狙ったサイバー攻撃などについて、台湾の議会・立法院の議員も交えて、協議が行われていた。
分析では、政治大学への攻撃を足がかりに、より重要な情報へのアクセスを試みようとしていたという見立てが示された。
分析では、政治大学への攻撃を足がかりに、より重要な情報へのアクセスを試みようとしていたという見立てが示された。
王定宇 立法委員
「(i-SOON社が狙ったとされる)政治大学は台北の核心部分にあり、軍事関連の機関にも侵入可能です。半導体を製造する、こちら(新竹地域)には研究センターもあります。学術部門は軍事や政府のネットワークとは強度が異なり、侵入が比較的簡単です。侵入に成功すれば、彼らができることは多岐にわたってしまうのです」
「(i-SOON社が狙ったとされる)政治大学は台北の核心部分にあり、軍事関連の機関にも侵入可能です。半導体を製造する、こちら(新竹地域)には研究センターもあります。学術部門は軍事や政府のネットワークとは強度が異なり、侵入が比較的簡単です。侵入に成功すれば、彼らができることは多岐にわたってしまうのです」
しかし、i-SOON社による攻撃だとの特定には至っていない。
台湾ハイスピードネットワークセンター 張朝亮 主任
「必ずしも中国が直接攻撃するとは限りません。他国を迂回して攻撃することがあります。そうすることで追跡されにくくなり、発信元の特定も困難になります」
「必ずしも中国が直接攻撃するとは限りません。他国を迂回して攻撃することがあります。そうすることで追跡されにくくなり、発信元の特定も困難になります」
被害は世界各国か?
i-SOON文書には、サイバー攻撃の対象にしていたと見られる「一覧表」があった。
台湾以外にも、アジアや欧米、それにアフリカといった20を超える国や地域が名を連ねていた。「ターゲット」の欄に列挙されていたのは、政府機関や通信会社などの組織名。盗み取ったとみられる情報として、通話記録なども書かれていた。
さらに、文書の中には、盗まれたとみられるファイルのスクリーンショットも見つかった。
台湾以外にも、アジアや欧米、それにアフリカといった20を超える国や地域が名を連ねていた。「ターゲット」の欄に列挙されていたのは、政府機関や通信会社などの組織名。盗み取ったとみられる情報として、通話記録なども書かれていた。
さらに、文書の中には、盗まれたとみられるファイルのスクリーンショットも見つかった。
そこに書かれていた「CZ」の文字。東ヨーロッパのチェコの国名コードだった。
このデータは本物なのか?私たちは、チェコの首都、プラハに向かった。
このデータは本物なのか?私たちは、チェコの首都、プラハに向かった。
文書の真偽は チェコに聞く
i-SOON文書を調査しているチェコの国会議員、パベル・フィシェルさん。外交や安全保障などの委員長を務めている。
「CZ」と書かれたスクリーンショットを見せると…。
「CZ」と書かれたスクリーンショットを見せると…。
チェコ国会議員 パベル・フィシェルさん
「これはEU理事会の準備書面です。たとえばOne Pagerという用語ですが、これは日常的にEUの業務に携わる人々の用語です。非公式ではありますが、本物であると確認しました」
「これはEU理事会の準備書面です。たとえばOne Pagerという用語ですが、これは日常的にEUの業務に携わる人々の用語です。非公式ではありますが、本物であると確認しました」
画像は、チェコ政府が2年前に作成したEUの内部文書のリストの一部だと明かした。
i-SOON文書にあった内容を事実だと認めたのだ。
i-SOON文書にあった内容を事実だと認めたのだ。
チェコ国会議員 パベル・フィシェルさん
「ロシアの侵攻やエネルギー危機などに対してEUがどのような反応を示すかを理解するために、外部からの侵入者が興味を持ちそうな準備書面だと思います」
「ロシアの侵攻やエネルギー危機などに対してEUがどのような反応を示すかを理解するために、外部からの侵入者が興味を持ちそうな準備書面だと思います」
背景にウクライナ侵攻か?
文書の一部には、2022年5月の日付が記されていた。
それは、ロシアによるウクライナ侵攻のおよそ2か月後。当時、EU各国はロシアからのエネルギー供給を停止するかを議論していた。
チェコはこの年の7月から議長国を務めることになっていて、すでに議論に深く関与する立場にあった。
当時チェコ政府でサイバーセキュリティーの担当官のひとりだったミハル・シムさん。
それは、ロシアによるウクライナ侵攻のおよそ2か月後。当時、EU各国はロシアからのエネルギー供給を停止するかを議論していた。
チェコはこの年の7月から議長国を務めることになっていて、すでに議論に深く関与する立場にあった。
当時チェコ政府でサイバーセキュリティーの担当官のひとりだったミハル・シムさん。
チェコ国家サイバー情報セキュリティー庁 元職員 ミハル・シムさん
「ファイルにあるTTEは、EU理事会のエネルギー・交通理事会のひとつです。2022年2月の侵攻の直後、ロシアからのエネルギー供給にどう対処するかについて多くの議論が交わされた場のひとつでもあります」
「ファイルにあるTTEは、EU理事会のエネルギー・交通理事会のひとつです。2022年2月の侵攻の直後、ロシアからのエネルギー供給にどう対処するかについて多くの議論が交わされた場のひとつでもあります」
文書に書かれていた5月2日には、実際にEUでエネルギー供給を各国が議論する緊急の会議が行われていた。
シムさんは、i-SOON社がEUのエネルギー政策の情報に価値があると考え、文書をひそかに盗み取ったものと分析している。
シムさんは、i-SOON社がEUのエネルギー政策の情報に価値があると考え、文書をひそかに盗み取ったものと分析している。
チェコ国家サイバー情報セキュリティー庁 元職員 ミハル・シムさん
「加盟国のひとつに入り込むだけで、EU全体の非公開の場で、何が起きているのかを正確に把握することができるのです。間違いなく高い価値になります」
「加盟国のひとつに入り込むだけで、EU全体の非公開の場で、何が起きているのかを正確に把握することができるのです。間違いなく高い価値になります」
さらに、シムさんは、スクリーンショットに「Kali」という文字が映り込んでいることを指摘した。
システムのぜい弱性を調べるためのソフトウエアの一種だが、ハッカーが情報を盗むために悪用されることもあるという。
システムのぜい弱性を調べるためのソフトウエアの一種だが、ハッカーが情報を盗むために悪用されることもあるという。
チェコ国家サイバー情報セキュリティー庁 元職員 ミハル・シムさん
「ハッカーがよく利用するシステムの一つで、画像はハッキングされた後に撮影されたものと見るべきでしょう。これはただの一部であり、実際に盗み取られたものはもっと多いのではないかと考えます」
「ハッカーがよく利用するシステムの一つで、画像はハッキングされた後に撮影されたものと見るべきでしょう。これはただの一部であり、実際に盗み取られたものはもっと多いのではないかと考えます」
外交関係も背景か?
チェコがターゲットとなった背景には、外交関係があったと指摘する専門家もいる。
シンクタンク「欧州安全保障政策価値センター」のヤクブ・イアンダさん。チェコ政府にサイバーセキュリティー政策に関する提言などを行ってきた。
シンクタンク「欧州安全保障政策価値センター」のヤクブ・イアンダさん。チェコ政府にサイバーセキュリティー政策に関する提言などを行ってきた。
イアンダさんは、チェコは台湾と深い友好関係にあるため、チェコの機密情報は、中国にとって、重要な意味を持つと話した。
欧州安全保障政策価値センター ヤクブ・イアンダさん
「実際、チェコがどのくらい台湾に友好的なのか。そして、それ(チェコと台湾の関係)を中国が妨害することができるのか。あるいは、中国が支持を得るために、圧力をかけられるのか、理解しようとしていたのかもしれない」
「実際、チェコがどのくらい台湾に友好的なのか。そして、それ(チェコと台湾の関係)を中国が妨害することができるのか。あるいは、中国が支持を得るために、圧力をかけられるのか、理解しようとしていたのかもしれない」
いまや安全保障の脅威
チェコ政府のサイバーセキュリティー部門のトップにも取材を申し込み、スクリーンショットを直接見せて確認してもらおうとしたが、個別の事例についてのコメントは拒否された。
ただ、i-SOON社の活動が、一民間企業でありながら安全保障上の脅威になっているとした上で、ターゲットのひとつにチェコが含まれていることを認めた。
ただ、i-SOON社の活動が、一民間企業でありながら安全保障上の脅威になっているとした上で、ターゲットのひとつにチェコが含まれていることを認めた。
国家サイバー情報セキュリティー庁 ルカーシュ・キントル長官
「i-Soon社が世界20か国以上の組織のネットワークに侵入しており、チェコ共和国もそのうちのひとつであったことは十二分に明らかです。そして、i-Soon社の活動は複数の中国国家支援グループと重なっており、同社が複数の異なる組織と協力していた可能性が実際にあります。私たちが今最も恐れているのは、中国からの脅威です」
「i-Soon社が世界20か国以上の組織のネットワークに侵入しており、チェコ共和国もそのうちのひとつであったことは十二分に明らかです。そして、i-Soon社の活動は複数の中国国家支援グループと重なっており、同社が複数の異なる組織と協力していた可能性が実際にあります。私たちが今最も恐れているのは、中国からの脅威です」
過去の事件との一致
i-SOON文書の調査を続けてきた台湾企業TEAM T5から、新たな情報が届いた。
文書の中から、彼らが使用したとされるIPアドレスがみつかったという。
インターネット上の住所を示すIPアドレス。解析すると、過去のサイバー攻撃に使われたものと一致し、いずれも、各国の専門機関が中国当局の関与を指摘したケースだった。
文書の中から、彼らが使用したとされるIPアドレスがみつかったという。
インターネット上の住所を示すIPアドレス。解析すると、過去のサイバー攻撃に使われたものと一致し、いずれも、各国の専門機関が中国当局の関与を指摘したケースだった。
TEAM T5 張哲誠さん
「i-SOON文書のドメイン(インターネット上の住所)は、以前、チベットを攻撃した中国ハッカーの中継地点にも登場します」
「i-SOON文書のドメイン(インターネット上の住所)は、以前、チベットを攻撃した中国ハッカーの中継地点にも登場します」
また、文書に載っていた別のIPアドレスを調べたところ、過去にアメリカを主に攻撃している中国のハッカー組織に属するものだとわかったという。
そして、アメリカのFBIが訴追したハッカーとのつながりも浮上した。
そして、アメリカのFBIが訴追したハッカーとのつながりも浮上した。
TEAM T5 張哲誠さん
「アメリカのFBIは中国政府系ハッカーが“TreadStone”という悪意あるプログラムで関連機関を攻撃したと書かれています。文書からもi-SOON社がこの技術を提供したと考えられます」
「アメリカのFBIは中国政府系ハッカーが“TreadStone”という悪意あるプログラムで関連機関を攻撃したと書かれています。文書からもi-SOON社がこの技術を提供したと考えられます」
「違法ではない?」
文書への分析で、さまざまなサイバー攻撃に関与していた可能性が高まった中国のセキュリティー企業、i-SOON社。
背後には、安全保障上、有利な状況を作り出したい中国当局の姿が見え隠れする。
i-SOON社のような会社に対して、国際社会は対策を講じられないのか。
背後には、安全保障上、有利な状況を作り出したい中国当局の姿が見え隠れする。
i-SOON社のような会社に対して、国際社会は対策を講じられないのか。
国際弁護士 リース・ヴィフールさん
「国際法は、国家間のスパイ活動を正面から扱っておらず、違法であるとは明示されていません」
「国際法は、国家間のスパイ活動を正面から扱っておらず、違法であるとは明示されていません」
過去に、NATOの「サイバー防衛協力センター」で、サイバー攻撃の国際法上の問題を研究してきたリース・ヴィフール弁護士。
ヴィフール弁護士によると、そもそも国家が行う情報を盗み取るためのサイバー攻撃を「スパイ活動」としてとらえると、重要インフラを標的としない限り、原則、国際法上、違法にはならないという。
なぜなら「中国だけでなく、あらゆる国家が互いにスパイ活動を行ってきた」からだ。
それでは、国家ではなく、i-SOONのような民間企業が行った場合は違法なのか?
ヴィフール弁護士によると、そもそも国家が行う情報を盗み取るためのサイバー攻撃を「スパイ活動」としてとらえると、重要インフラを標的としない限り、原則、国際法上、違法にはならないという。
なぜなら「中国だけでなく、あらゆる国家が互いにスパイ活動を行ってきた」からだ。
それでは、国家ではなく、i-SOONのような民間企業が行った場合は違法なのか?
ポイントとなるのは、その企業がどれほど当局とどんな関係にあるかどうか、だ。
密接な関係と認められれば、仮に民間企業によるスパイ活動であっても、実質、国家が行ったものと考えることができるという。
ヴィフール弁護士は、文書の分析で、i-SOON社と中国当局は「密接な関係」にあるとした。
密接な関係と認められれば、仮に民間企業によるスパイ活動であっても、実質、国家が行ったものと考えることができるという。
ヴィフール弁護士は、文書の分析で、i-SOON社と中国当局は「密接な関係」にあるとした。
国際弁護士 リース・ヴィフールさん
「今回の文書から、i-SOON社と当局が密接な関係にあったことを学びました。非常に密接な関係が存在していたのです。国際法の観点からみても、i-SOONによって実行された作戦は、中国に帰属することに疑問の余地はなく、中国自体がこの作戦を実行したと言えるのです」
「今回の文書から、i-SOON社と当局が密接な関係にあったことを学びました。非常に密接な関係が存在していたのです。国際法の観点からみても、i-SOONによって実行された作戦は、中国に帰属することに疑問の余地はなく、中国自体がこの作戦を実行したと言えるのです」
ヴィフール弁護士によれば、i-SOON社の「スパイ活動」は重要インフラを破壊するような攻撃を除いて、国際法上、違法とするのは困難だという認識を示した。
では、国際法ではなく、それぞれの国家の国内法で取り締まれないのか?
国によって、情報を盗むためのサイバー攻撃を違法としているところは多い。そのため、その国の法律によって訴追することも可能ではあるが、実際に、身柄を拘束するには、攻撃者のいる国による引き渡しが必要になり、取締りは現実的には難しい。
では、国際法ではなく、それぞれの国家の国内法で取り締まれないのか?
国によって、情報を盗むためのサイバー攻撃を違法としているところは多い。そのため、その国の法律によって訴追することも可能ではあるが、実際に、身柄を拘束するには、攻撃者のいる国による引き渡しが必要になり、取締りは現実的には難しい。
国際弁護士 リース・ヴィフールさん
「さまざまなサイバー技術の登場で状況は大きく変わりました。伝統的に国際法は、スパイ活動に沈黙してきましたが、いま、国家がほかの国家に対して行うサイバースパイ活動の少なくとも一部を制限するように議論が求められています」
「さまざまなサイバー技術の登場で状況は大きく変わりました。伝統的に国際法は、スパイ活動に沈黙してきましたが、いま、国家がほかの国家に対して行うサイバースパイ活動の少なくとも一部を制限するように議論が求められています」
「特効薬はない」
サイバー攻撃を防ぐには、自分たちの防御を固めるしかないのか。
タリン工科大学 レイン・オッティス教授
「サイバーセキュリティーに特効薬はありません。きのうよりよくしようと努力はできますが、完璧はないのです」
「サイバーセキュリティーに特効薬はありません。きのうよりよくしようと努力はできますが、完璧はないのです」
NATOのサイバー防衛協力センターの元研究者で、エストニアのタリン工科大学で教べんをとるレイン・オッティス教授は、私たちの問いに諭すように答えた。
タリン工科大学 レイン・オッティス教授
「いま、改めて求められるのは、それぞれの国家や組織が、サイバーセキュリティーに対する意識を高めるための教育を続けトレーニングなどを地道に続けていくことです。教育システム全体が少しずつ、継続的にセキュリティー意識の向上の取り組みを行う必要があります。それはあなたの体と同じこと。より健康な生活をするために、食事に気をつけ、運動をする。そのことに終わりはないのです」
「いま、改めて求められるのは、それぞれの国家や組織が、サイバーセキュリティーに対する意識を高めるための教育を続けトレーニングなどを地道に続けていくことです。教育システム全体が少しずつ、継続的にセキュリティー意識の向上の取り組みを行う必要があります。それはあなたの体と同じこと。より健康な生活をするために、食事に気をつけ、運動をする。そのことに終わりはないのです」
NHKでは、今回の流出文書についてより詳しい内容を番組で放送しています。
NHKスペシャル「調査報道・新世紀 File6 中国・流出文書を追う」
▼9月22日(日)夜9時~NHK総合
▼9月26日(木)午前0:35~NHK総合(再放送)
NHKスペシャル「調査報道・新世紀 File6 中国・流出文書を追う」
▼9月22日(日)夜9時~NHK総合
▼9月26日(木)午前0:35~NHK総合(再放送)