中国のサイバー戦争戦略とAPTの進化

日本の重要インフラを脅かす中国系APT

中国のサイバー戦争戦略とAPTの進化

サイバー戦争は急速に進化しており、高度持続的脅威（APT）による攻撃はより巧妙かつ高ステルスで、破壊的なものになっています。特に近年注目すべきは、中国系APT グループ「Salt Typhoon」、「Volt Typhoon」、「Silk Typhoon」の存在です。それぞれ異なる戦術と目的を持って活動しているものの、全体的としての活動傾向を見ると、国家支援型APTによるサイバー戦略が大きく変化していることを示しています。

本記事では、各APTの特徴から分析した中国の長期的なサイバー戦略と、サイバー戦争の新たな波に対しどのような防御策を講じるべきか、詳しく解説します。

APTグループの特徴を読み解く：Salt Typhoon・Volt Typhoon・Silk Typhoon

Salt Typhoon：サイバースパイ専門部隊

技術、防衛、電気通信といった分野の欧米企業を標的に、サイバースパイ活動を行っているAPTです。企業向けソフトウェアの脆弱性を悪用し、機密性の高い知的財産や企業秘密へ長期的にアクセスすることを得意としています。

Volt Typhoon：ステルス型インフラ破壊工作員

重要インフラへ秘密裏に侵入し、将来的な破壊的または攪乱的攻撃に備える活動を行っています。従来のAPTのようにマルウェアに依存するのではなく、「Living-off-the-land（環境寄生型）」と呼ばれる手法を用いるため、検知が非常に困難である点が特徴です。

Silk Typhoon： APTとサイバー犯罪の融合

国家支援型のサイバースパイ活動と金銭目的のサイバー犯罪を組み合わせた、独自のハイブリッド型APTです。従来型の国家主導による情報収集に加え、金銭的利益を狙った攻撃も行っています。世界各国のITサプライチェーンに属する企業や関連組織を標的としています。

日本の国家防衛戦略への影響

サイバー脅威の実務担当者にとって、これらAPTの活動は、従来の諜報活動から、サイバー犯罪と情報収集、作戦妨害が一体化した新たな攻撃モデルに進化していることを意味します。Silk Typhoonはデータ窃取と金銭目的の攻撃を使い分けながら活動しており、新たなハイブリッド型APTの代表例と言えます。今日の攻撃が情報収集を目的としていたとしても、明日には金銭的脅迫や市場操作といった全く異なる目的で攻撃を仕掛けてくる可能性があります。サイバー脅威は、経済、企業活動、そして国家安全保障の角分野にまたがって密接に関連しており、防衛担当者には、従来の縦割り的な思考から脱却した包括的な視点が求められます。

「ステルス技術の使用は、今や高度な脅威アクターにとって常識となっています。彼らは『LOL（環境寄生型）』の技術を駆使し、従来の検知手法を巧みに回避しているのです。」

Volt Typhoonの活動は、サイバー戦争が非常に活発であることを強く示しています。攻撃者は、重要インフラに長期間にわたって潜伏し、将来的な破壊工作に備えて態勢を整えています。電力網、物流、通信といった基幹システムは、攻撃が表面化するはるか以前から侵害されている可能性があり、その影響は極めて深刻です。脅威インテリジェンスチームには、受け身の防御姿勢から脱却し、高度なステルス性を持つ持続的な侵入を早期に検知するための、より積極的な防御姿勢への転換が強く求められています。

「『安全な境界が存在する』という考え方は、もはや時代遅れです。真の脅威はすでに内部に潜んでいて、我々がそれに気づいていないだけかもしれないのです。」

サプライチェーンを標的にした攻撃手法も、深刻な課題として顕著化しています。Silk Typhoonは、第三者ベンダーを狙うことで、本来の標的への侵入を図る間接的な攻撃を行っています。たとえ内部セキュリティが強固であっても、改ざんされたソフトウェア・アップデートや、信頼を置いている外部ベンダーを経由して侵入されるリスクは避けられません。そのため、社内ネットワークだけでなく、サプライチェーンを悪用した脅威にも対応可能な、包括的かつ強固なサイバー防御策を構築する必要があります。セキュリティ担当部門には、ベンダー評価の厳格化やサプライチェーンの防御強化、ソフトウェアにおける依存関係の可視化と管理などが求められています。

従来のコンプライアンス重視型の対策から、より実効的な防御力への転換については、「能動的サイバー防御への備え」をご参照ください。

中国系APTの検知と防衛策

前述の中国系APTグループの活動は、単独の攻撃ではなく、諜報活動・インフラへの潜伏・サイバー犯罪といった要素が組み合わさった複合的なものであり、中国が国際的な優位性を確保するための長期的かつ戦略的な取り組みです。もはやサイバー攻撃は一過性のものではなく、国家主導による影響力工作として、計画的かつ持続的に実行されていると認識すべきです。

能動的防御：インテリジェンスを行動に変える

脅威アナリストは、受け身の防御姿勢からの脱却が求められています。もはや境界防御に頼るだけでは十分ではなく、すでに侵入されているということを前提に行動する姿勢が必要です。

脅威インテリジェンスの活用：APTグループから得られたIOC（侵害の兆候）やTTP（戦術・技術・手順）等の脅威インテリジェンスを、自社環境に照らして適用し、潜在的な侵害の有無やリスクの有効性を検証します。
継続的な監視の実施：長期間にわたり潜伏する侵入手法や、正規のシステムツールを悪用するLOLBin（Living-off-the-Land Binaries）攻撃、さらにネットワーク内で権限を乗っ取りながら広がっていく横移動（ラテラルムーブメント）に重点を置いて監視します。
IR（インシデント対応）プレイブックのテスト：レッドチーム（攻撃側）とブルーチーム（防御側）で、実際のサイバー攻撃を想定したシナリオをもとに対抗演習を行います。攻撃者がネットワーク内に長期間潜伏するケースや、C2（コマンド＆コントロール）と呼ばれる遠隔操作による指令・通信の手法を再現しながら、防御体制の実効性や対応手順を検証します。
可視性の確保：エンドポイントやネットワークに加え、サプライチェーン全体の可視化を推進します。可視化されていない領域は防御対象として認識できないため、守るためには、見える化することが不可欠です。

脅威はすでに内部に潜んでいるという前提に立ち、攻撃者が活動を開始する前に、その存在を早期に検知し、封じ込め、先手を打つ体制を構築することが求められます。

AIがもたらす戦略的影響については、「AI主導の戦争の台頭：新たな脅威から国家と重要インフラを守る」をご参照ください。

サイバー脅威に耐えうるレジリエンスを備えていますか？

NCD は、政府機関や重要インフラ企業に対して、サイバー脅威への備え、検知、対応に関する支援を、独自のサービスを通じて提供しています。

組織のサイバーレジリエンスを一緒に見直しませんか？まずはお気軽にご連絡ください。

Edit Template

サイバー成熟度評価

日本サイバーディフェンス株式会社（NCD）では、組織のサイバーセキュリティ能力を包括的に診断する「サイバー成熟度評価サービス」を提供しています。このサービスは、現状の課題や強みを明確化し、組織が直面するリスクに対して最適な対策を講じるための土台を築くものです。さらに、全体的なセキュリティ態勢を強化するための戦略的なロードマップをご提案し、実効性のある改善計画をサポートします。