人民解放軍サイバー部隊は脅威なのか

　アメリカのセキュリティ企業マンディアント社が、中国の人民解放軍に所属する「６１３９８部隊」が上海のビルを拠点に世界中でサイバー攻撃を続けているというレポートを発表して約１カ月が過ぎた。日本ではもうほとんど報じられていないが、この問題は実はまだくすぶっている。先日はロイター通信が上海交通大学の教授が６１３９８部隊の研究者と共同で論文を執筆していたと報じた。上海交通大学は江沢民・元国家主席の出身校としても知られる理系の名門校だが、１０年にグーグルが被害を受けたサイバー攻撃の発信元だったともされるいわくつきの学校でもある。

　６１３９８部隊の動きで奇妙なのは、本来の任務から考えて存在を秘匿してしかるべき組織なのに、その気配が時に感じられないところだ。さすがにマンディアント報告書が公表され、世界のメディアが一斉に報じた直後は上海の部隊所在地とされるビル近辺で外国人記者が拘束されはした。ただ中国のネットには、今も上海交通大学と部隊の研究者の共同論文の写しや、浙江大学コンピューター科学技術学部が０４年に大学院生向けに出した６１３９８部隊の求人告知が無造作に放置されている。

　中国サイバー部隊の動きが明らかになったのは今回が初めてではない。マンディアントが「ＡＰＴ１」と呼ぶ攻撃者を06年10月に初めて発見・公表したのは、ネットセキュリティ大手のシマンテックだった。シマンテックが「コメントクルー」と呼ぶこのハッカー集団は、実在の人物を装ったメールを送りつけ、添付ファイルを開いた被害者のパソコンに気付かないうちにパソコンを遠隔操作できる「バックドア」プログラムを埋め込む標的型メール攻撃を続けている。

　シマンテックによれば、この攻撃者たちは少なくとも06年以降、のべつまくなしに攻撃メールを送りつけていた。アメリカでは、防衛産業や金融機関、司法機関はもちろんのこと、大学やケーブルテレビ局、製造業、レストランチェーン、中にはヘルスケア関連のサービス会社までが標的になっていた。ウイルスをばらまけばばらまくほど、ターゲットやターゲットが契約するセキュリティ企業に発見されるリスクは当然高くなる。気付かれないうちに相手のパソコンに入り込み、情報を抜き取るのが標的型メール攻撃の狙いだとすれば、その行動は明らかに矛盾している。

「04〜06年は標的型メールがばらまかれ始めた時期で、試行錯誤している部分もあったのかもしれない」と、このハッカーたちの攻撃を分析したシマンテックの林薫・セキュリティレスポンスデベロップメントマネージャーは言う。ただ攻撃者には、もう１つ別の特徴がある。「彼らの使うウイルスはバックドア機能を使う点は共通しているのだが、コーディング（プログラミング言語を使ったソフトウェアの設計図作成）がウイルスごとに異なり、かつその数が大量にある」と、林は言う。プログラマーが使うプログラミング言語は必ずしも同じではない。つまり中国サイバー部隊には、プログラマーが大量に存在している可能性がある。

　まさにサイバー攻撃版「人海戦術」だ。今回マンディアントの報告書がネットセキュリティ業界の注目も集めているのは、通信履歴の追跡によってＡＰＴ１の活動拠点になっている上海の大規模ネットワーク４つを特定し、うち２つが６１３９８部隊の所在地である浦東新区にあることを突き止めた点にある。またマンディアントによれば、遠隔操作されたパソコンの97％が簡体字中国語用に入力設定されたキーボードで操られていた。

　中国外務省の報道官が言うように、マンディアントが根拠としたＡＰＴ１のＩＰアドレスは偽装が可能だ。いずれも状況証拠に過ぎず、決定的証拠は何もないようにも思えるが、挙げられた証拠――安い人件費ゆえの人海戦術ぶりや、中国人特有のある種のいい加減さを含めて――を見れば、やはり限りなくクロに近い。「結論は２つ。６１３９８部隊と同じ任務を課せられた秘密組織が、何年間にもわたって６１３９８部隊の門のすぐ外でサイバー諜報活動を続けていたか――ＡＰＴ１は６１３９８部隊か」というマンディアント報告書の結論が、その自信のほどをのぞかせている。

　では、サイバー攻撃は実際にどれだけ脅威なのか。最も恐ろしいのは、この21世紀の諜報活動がどれだけ脅威なのか、被害者側にはっきり分からないことかもしれない。

　一般にサイバー攻撃では、パソコンのデータを消されたり、コンピューターが動かなくなったり、あるいは銀行口座から勝手に預金を引き出される、といった目に見える被害が発生する。ただ相手にパソコンのデータを読み取られるケースでは、被害者が自分の被害を認識しないことも多い。

　本誌が２０１１年11月23日号「あなたの知らないサイバー戦争」で報じたが、日本の自衛隊も警察も隔離されたネットワークを使っているため、サイバー攻撃を受ける心配はほとんどない。確かに自分に当てはめてみても、ニュースソースなど本当に重要な情報は同僚と共有する取材メモでも匿名にする、といった注意を普段からしている。ただ核心情報こそ入手できなくても、その周辺情報だけで相手が水面下で進めているプロジェクトの概要を把握することもできる。中国軍がサイバー攻撃にのめり込んだのは、あまりに簡単に、そして低コストに先進国の秘密を入手できることに気付いたからだ、という説もある。

　マンディアント報告書によれば、中国サイバー部隊の標的の87％は英語圏に本社機能がある会社や組織だった。では日本に本社があり、日本国内でしかビジネスをせず、日本語のサイトしかない企業は安心なのだろうか。「今は自動翻訳ソフトが発達しているので、日本語が読めないハッカーも日本語のサイトを読んで攻撃をしかけることが可能になっている」と、シマンテックの林は言う。中国サイバー部隊とみられる「コメントクルー」の攻撃と、日本も無関係ではいられない。現にシマンテックによれば、07年に日本のある教育関係機関がコメントクルーによって標的型メール攻撃を受けた。

　元米空軍の中国担当官マーク・ストークスが専務理事を務める「プロジェクト２０４９研究所」は、11年の報告書で中国サイバー部隊の実態について詳細に報告している。サイバー攻撃を統括する人民解放軍総参謀部第三部の下には、上海でアメリカとカナダを受け持つ二局（６１３９８部隊）のほか、青島で日本と韓国を担当する四局（６１４１９部隊）、北京でロシアに関係する活動をしているとみられる五局（６１５６５部隊）、台湾・南アジア担当で武漢に拠点のある六局（６１７２６部隊）から、宇宙衛星の通信情報を傍受する上海の十二局（６１４８６部隊）まで計12の主要部局があり、13万人が働いているという。

「シギント（通信や信号を仲介した諜報活動）」は「ヒューミント（人間を介した諜報活動）」に劣ると、情報の世界では言われる。ただ、先の第二次大戦で日本外務省と日本海軍が暗号をアメリカによって読み解かれ、それに気付かないまま手の内と腹の内をほとんど相手にさらけ出していた、という歴史の教訓もある。しょせん周辺情報しか取れないとあぐらをかいていると、いつの間にか今度も相手にほとんど丸裸にされていた、ということになりかねない。

――編集部・長岡義博（@nagaoka1969）

※Newsweek日本版４月１６日号のカバー特集は『未来の戦争』。多くの日本人が気付かないうちに、世界の戦争は原爆開発以来の転換点を迎えています。無人機とサイバー攻撃によって戦争のルールが変わりつつある現状に政治ジャーナリスト、ウィリアム・ドブソンや本誌・山田敏弘記者らが迫ります。