台湾、中国からのサイバー圧力が一段と強まる

出典：Shutterstock経由 Andy Liu

中国のサイバー脅威グループは台湾への攻撃を引き続き増大させており、自治を行う同島の重要インフラに対するサイバー活動を強化している。さらに、台湾を標的とした合同軍事演習の大半の期間にわたり、サイバー作戦を実施しているようだ。

その結果、台湾は2025年に1日平均263万件の攻撃を受けた。これは前年に重要インフラを標的としていた1日平均246万件から6%増であると、国家安全局（NSB）は先週公表した報告書で述べた。エネルギーインフラはサイバー攻撃が10倍に増加し、緊急救助および病院システムは54%増となり、2025年における増加幅としてはこの2分野が最大だった。

攻撃の増加は「中国が台湾の重要インフラ（CI）を包括的に侵害し、台湾政府および社会機能を混乱または麻痺させようとする意図的な試み」を示唆しているとNSBは述べた。「中国の動きは、平時・戦時の双方において台湾に対しハイブリッド脅威を用いるという戦略的必要性と一致している。」

この報告書が出たのは、中国と台湾の関係が過去1年で後退したさなかである。中国は、同島――かつて日本の植民地であり、1949年に中国共産党との内戦に敗れた国民党が島へ退いたことで独立した――を自国領土の一部と見なしている。しかし、この島の民主政は、大陸に取り込もうとする政治的な動きに抵抗し続けている。12月には米国が台湾への110億ドルの武器売却を約束し、また日本の新たに選出された首相は、中国が台湾を攻撃すれば日本の存立を脅かし、日本が自衛権を行使できるようになると述べて波紋を呼んだ。

過去1年、サイバー攻撃は、現職総統就任1周年といった政治イベントと一致しただけでなく、人民解放軍が台湾周辺で実施した40回の合同戦備パトロール（JCRP）とも一定程度相関していた。約2ダースのJCRPでは、中国のサイバー工作員が台湾の標的に対する攻撃を増大させたと、NSBは報告書で述べている。

「包囲の予行演習」

1日当たりの攻撃がわずかに増えた程度ではエスカレーションに見えないかもしれないが、エネルギーインフラと緊急サービスがますます標的にされている事実は、中国がより選別的になっていることを意味すると、Black Duckでソリューション管理担当シニアディレクターを務め、中国本土と台湾の双方で豊富な経験を持つCollin Hogue-Spears氏は語る。

「台湾が直面しているのはサイバー・キャンペーンではない。包囲の予行演習だ」と同氏は言い、さらにこう付け加える。「重要なのは、北京がいまや台湾の送電網や病院を、砲兵指揮官が前方観測所を扱うのと同じように扱っていることだ。つまり、紛争の最初の1時間で無力化すべき対象として。」

NSBの統計は、台湾のゲートウェイを通過するネットワークフローで検知された攻撃に基づいているため、どの攻撃が重大で、どれが探り（プローブ）に過ぎないのかを見極めるのは難しいと、台湾拠点のサイバー脅威インテリジェンス企業TeamT5の主任アナリスト、Charles Li氏は述べる。NSBが検知した攻撃の大半は重要インフラ運用者に到達する前に遮断されたが、より高度な攻撃は第一層の防御を回避し得るという。

「我々は、高度な攻撃者が台湾のCI組織の侵害に成功した複数の事例も観測している」とLi氏は言う。「こうした成功した攻撃には、ゼロデイの悪用やサプライチェーン攻撃など、防御が非常に難しい高度な手法が伴うことが多い。」

NSBは攻撃を4つの主要カテゴリに分類した。攻撃の半数超（57%）はハードウェアおよびソフトウェアの脆弱性を標的としており、サプライチェーンを標的としたものは4%にとどまった。残りの攻撃は、サービス妨害攻撃（21%）とソーシャルエンジニアリングの試み（18%）にほぼ均等に分かれた。

5つのサイバー脅威グループ

台湾の国家安全局は、サイバー空間における主要な敵対勢力として中国の5つのグループを特定した。ほぼすべてのグループが政府の行政部門や機関を標的としているが、BlackTechは通信インフラとサイエンスパークにも焦点を当てている。別のグループであるFlax Typhoonは病院を標的とする主要グループとみられ、Mustang PandaとAPT41はエネルギーインフラを標的としている。最後のグループUNC3886もサイエンスパークに注力している。

「中国のサイバー軍は、石油・電力・天然ガス分野を含む台湾の公営および民間のエネルギー企業のネットワーク機器や産業制御システムを集中的に探っている」とNSBは述べた。「さらに、台湾のエネルギー企業がソフトウェアのアップグレードを行う際、中国のハッカーはその機会を利用してシステムにマルウェアを埋め込み、運用メカニズム、資材調達、バックアップシステムの構築に関する台湾エネルギー部門の運用計画を追跡し続ける。」

全体として、中国からの脅威は年々より意図的で、より重大なものになってきた。産業制御システム向けサイバーセキュリティ企業XonaのCEOであるBill Moore氏によれば、中国や他の敵対者は、運用技術（OT）が不可欠である一方で、しばしば十分に保護されていないことを認識しているという。2023年、中国は広範な攻撃や銀行の脆弱性から、インフラを事前に侵害しておくことも含める方向へギアを切り替えたように見え、これは「事前配置（pre-positioning）」としても知られる。

「国家が持続的なアクセスを得たとき、彼らは単に観察しているのではなく、将来の混乱に備えて布石を打っている」と同氏は言う。「その両方を可能にするのは同じギャップだ。ユーザーのエンドポイントが重要システムへ直接つながる、安全でないアクセス経路である。侵害されたノートPCが制御システムに到達できてしまうそのアーキテクチャこそが、侵害を運用上の危機へと変えてしまう。」

台湾の防衛

攻撃の大半は偽情報キャンペーンや、情報を密かに収集することを目的とした諜報活動に相当するものだったが、こうした攻撃は世界全体が懸念すべきだとTeamT5のLi氏は言う。台湾が中国の最大の関心事である一方、他の民主主義国も標的にされているという。

「台湾だけが被害者ではなく、彼ら［中国］は世界中で同様の攻撃を行っている」と同氏は言う。「同じ志向と民主的な制度を持つ国々は連携し、より多くのサイバー脅威インテリジェンスを共有して、巨大な敵に対抗するために共に立ち向かうべきだと、我々は強く信じている。」

NSBのデータ追跡はネットワークの可視性を示している一方で、重要インフラ組織は侵害の痕跡（IOC）といった具体的な指標に注意し、見落としている可能性のある脅威をハンティングする必要があると、Black DuckのHogue-Spears氏は述べる。

「セキュリティ責任者は、遮断した量で成功を測るのをやめ、分野別の侵入の深さで測り始めなければならない」と同氏は言う。「防御率を集計値だけで報告していると、ソフトウェア更新のタイミングで、敵対者がすでにあなたのICS制御システムをマッピングしていることを見逃してしまう。」