中国によるサイバー攻撃の実態：重要インフラを標的とした作戦手法と影響範囲

最近のサイバー攻撃、他人事じゃないかも…

最近、ニュースでよく見る「サイバー攻撃」って話、正直ちょっと他人事だと思ってない？ 「またどっかの大企業がやられたんだな」くらいで。でもね、最近考えてたんだけど、これ、もしかしたら僕らが思ってるよりずっと根が深くて、静かに進行してるヤバい話なんじゃないかなって。特に中国が絡んでるやつ。

なんかこう、ハッカーが腕試しでやってるとか、金目当てでやってるっていうより…もっと計画的で、長期的な「仕込み」みたいな感じがするんだよね。電力とか、通信とか、交通とか、そういう社会の心臓部みたいなところに、静かーに侵入して、いざという時のために「潜伏」してる。まるで時限爆弾みたいに。

もし「その日」が来たら？架空のシナリオ「グレイ・ストーム作戦」

じゃあ、もし本気で攻撃されたら一体どうなるのか？ちょっと怖いけど、具体的に想像してみよう。アメリカのサイバーセキュリティ機関CISAなんかがやってる机上演習（テーブルトップ・エクササイズ、略してTTX）を参考に、架空のシナリオを組み立ててみた。名前は「グレイ・ストーム作戦」。

まず、ある日の朝、台湾の台北で大規模な停電が発生する。原因を調べると、電力システムの管理ツールが不正に遠隔操作されてた。犯人は「Volt Typhoon」っていう中国系のハッカー集団。こいつらの特徴は、新しいウイルスを使うんじゃなくて、もともとシステムに入ってる正規のツールを悪用すること。だから、見つけるのがめちゃくちゃ難しい。「Living off the Land（環境寄生型）」って呼ばれる手法だね。システムの内部に、まるで元からいた住人かのように潜んでるんだ。

話はそれだけじゃ終わらない。停電の混乱に乗じて、今度はヨーロッパ。オランダのロッテルダム港で、貨物管理システムが大混乱。コンテナ船の情報が書き換えられて、物流がストップする。犯人は「Winnti Group」。こいつらはサプライチェーン攻撃が得意なんだ。

さらにアメリカでは、バイオテクノロジー企業からワクチン開発の重要データが盗まれて、なぜか中国系のニュースサイトでリークされる。「APT41」の仕業だ。同時に、SNSでは「これは当局の陰謀だ！」みたいな偽情報がAIボットによって一気に拡散されて、社会がパニックに陥る。極めつけは、ヨーロッパの銀行の頭取が「当行は破産します」と語るディープフェイク動画が出回って、取り付け騒ぎが起きる…とかね。

これ、全部バラバラに起きてるように見えるけど、実は全部裏で繋がってる。これが、軍事力だけじゃない「ハイブリッド戦争」の一つの形なんだ。物理的にミサイルを撃ち込むんじゃなくて、情報を操作して、社会インフラを麻痺させて、内側から崩壊させていく。マジで怖い話だよ。

じゃあ、どうすりゃいいの？って話

ここまで聞くと絶望的な気分になるけど、もちろん、やられっぱなしじゃない。対策も色々と考えられてる。専門家が言う「DIMEFIL」っていう難しいフレームワークがあるんだけど、まあ、要するに「使えるもんは全部使って総力戦で対抗しようぜ」ってこと。ざっくり言うとこんな感じ。

• 外交（Diplomatic）: 攻撃を受けたら、「これはお前のとこの仕業だろ！」って国際社会にちゃんと名指しで公表する。証拠を突きつけて、制裁もちらつかせる。見て見ぬフリは一番ダメ。
• 情報（Information）: 偽ニュースとかディープフェイクとガチで戦う。AIを使って怪しい情報の拡散を突き止めたり、SNSプラットフォームと協力して、デマが広がる前に叩く。「プレバンキング」って言って、デマが流行る前に「こういうデマが来るかもよ」って先に警告しちゃうのも有効らしい。
• 軍事（Military）: もちろん、守るだけじゃなくて、こっちもやり返す準備はしておく。相手のハッカー集団の能力を削いだり、いざとなったらこっちも攻撃できるぞっていう「サイバー空間での抑止力」を持つ。
• 経済（Economic）: これが結構効く。半導体みたいな超重要な技術とか部品を、相手に渡さないようにする。中国系の企業が、こっちの重要技術を持ってる会社を買収しようとしたら「待った」をかける。経済と安全保障はもう一体なんだよね。
• 金融（Financial）: ハッカー集団を裏で支援してるダミー会社とか組織の金を凍結する。仮想通貨の流れを追跡して、資金源を断つ。兵糧攻めだね。
• 諜報（Intelligence）: これが一番大事かも。国ごと、組織ごとにバラバラに情報を持ってても意味がない。軍、警察、民間のすご腕エンジニア、同盟国の情報を一箇所に集めて、リアルタイムで共有する「フュージョン・センター」みたいなのを作る。
• 法務（Legal）: サイバー犯罪者を国際手配して、きっちり裁判にかける。サイバー空間も無法地帯じゃないってことを、法執行で示すわけだ。

…と、まあ、理想はこんな感じ。全部を連携させるのが、めちゃくちゃ難しいんだけどね。

誰が何をする？軍隊と民間の役割分担

この手の防衛って、「国がやってくれるんでしょ？」って思いがちだけど、そうじゃない。特に電力とか通信みたいな重要インフラは、民間企業が運営してることがほとんど。だから、軍や政府と民間企業がガッチリ連携しないと話にならないんだ。役割分担は、だいたいこんなイメージ。

アメリカと日本の違い：CISAとNISC

こういう動きって、アメリカだとCISA（サイバーセキュリティ・社会基盤安全保障庁）がすごく積極的に主導してる。今回参考にした机上演習のシナリオなんかも、CISAのプレイブックが元になってる。彼らは「とにかく実践的な演習を繰り返して、筋肉記憶をつけろ！」っていうスタンスが強い感じ。

一方で、日本だと内閣サイバーセキュリティセンター（NISC）が中心的な役割を担ってる。NISCの公開してる資料とかを見ると、もちろん演習も重要視してるけど、それ以上に「情報共有の枠組みをどう作るか」とか「各省庁や重要インフラ事業者との連携体制の構築」みたいな、組織論的な説明がすごく丁寧な印象がある。あ、ちなみにNISCは、アニメ映画の『サマーウォーズ』にも出てきた組織のモデルになったって言われてるよね。余談だけど。

どっちが良い悪いじゃなくて、このアプローチの違いは面白いなと思う。アメリカはトップダウンで「やるぞ！」って感じだけど、日本はボトムアップで関係各所の合意形成をじっくりやる、みたいな。まあ、国民性の違いなのかもしれない。

でも、この「総力戦」って言うほど簡単じゃない

正直、ここまで話した「全部やろうぜ！」って作戦、言うほど簡単じゃないんだ。理想論だって言われれば、まあ、そうかもしれない。いくつかのデカい壁がある。

• 経済的なしがらみ: 「中国に強く出よう！」って言っても、多くの国が中国とズブズブの経済関係にある。下手に制裁なんかしたら、自分の国が経済的に大ダメージを受けちゃう。だから、分かってても強く言えない国が出てきて、足並みが揃わない。
• 自由のジレンマ: 僕らの社会って「言論の自由」が大事にされてるじゃない？ でも、その自由なプラットフォームを逆手に取られて、偽情報が一気に広まっちゃう。かといって、政府が情報を検閲し始めたら、それはそれで別の独裁国家みたいになっちゃうし…。このバランス、めちゃくちゃ難しい。
• エスカレーションのリスク: 「やられたらやり返す」で、こっちからサイバー攻撃を仕掛けたとしよう。でも、それがきっかけで本格的な戦争にエスカレートしちゃったらどうするの？っていう恐怖が常にある。どこまでやって、どこで止めるのか。その線引きは誰も正解を知らない。
• 責任のなすりつけ合い: 攻撃元を100%特定するのって、実はすごく難しい。巧妙に偽装されてると、「本当に中国政府がやったのか？ それとも単なる愉快犯か？」って断定できないことがある。確証がないのに制裁したら、ただの言いがかりになっちゃうからね。

こういう問題を考えると、一枚岩で対抗するっていうのが、いかに大変かが分かるよね。だからこそ、机上演習で何度もシミュレーションして、いざという時の判断ミスを少しでも減らそうとしてるわけだ。

じゃあ、僕らにできることは？

結局、これって国とか軍隊とか大企業だけの話で終わらせちゃいけないんだと思う。もちろん、僕ら個人がハッカー集団と戦えるわけじゃない。でも、例えばSNSで流れてきた衝撃的なニュースを、脊髄反射でシェアする前に「ん、これ本当かな？」って一瞬立ち止まって、発信元を確かめてみるとか。

あるいは、仕事で使ってるPCのパスワードを、ちょっと複雑なものに変えてみるとか。そういう小さなことの積み重ねが、社会全体のセキュリティレベルを少しずつ上げていくんだと思う。ハイブリッド戦争っていうのは、社会全体を標的にしてるんだから、守る側も社会全体で意識を持つしかない。

壮大な話になっちゃったけど、案外、始まりはそういう地味な一歩なのかもしれない。あなたなら、この記事を読んで、まず何から始めますか？ よかったら、あなたの考えを聞かせてほしいな。