中国によるAPT攻撃の先鋭化と攻撃を支える国家支援体制の実像

　「中国のAPT（Advanced Persistent Threat）攻撃が、2010年代中頃から政府や軍事、重要インフラなどをターゲットに先鋭化している。その背景には、同時期に米中間で結ばれたサイバー協定による商業分野のサイバー攻撃の禁止と、人民解放軍（PLA）の再構築で新たにATP攻撃の一翼を担うことになった新組織である戦略支援部の存在がある」−−。世界中の脅威情報を収集・分析している米Recorded Future日本法人のシニア・プリセールスエンジニアの松田 知行 氏は、こう指摘する。

　「中国では人民解放軍戦略支援部と国家安全部（MMA）の2つの組織が、国家が支援する約50の攻撃組織と連携し、攻撃ツールの流通などで協力しながら、活発なAPT攻撃をサポートしている」（Recorded Future）ともいう。

米中のサイバー協定以後、戦略的・政治的な目標に攻撃をシフト

　2024年1月31日、米国下院議会中国共産党特別委員会の公聴会では、中国の文民・軍事指導部が米国内の重要なインフラ（CNI：キャリアネットワークインフラ）を標的にしていることが報告された。サイバー部隊による石油・ガス・鉄道・エネルギーシステムなどへの長期的な攻撃を画策しているとする。日本でも中国のAPT攻撃により外交機密文書の漏洩があったことが2024年2月5日に報道された。

　ここ数年、ウクライナ侵攻や、インドと中国の緊張の高まりなどに呼応してAPT攻撃が利用されているように、地政学的なイベントに呼応したサイバー攻撃が増加している。2010年代後半から見られる中国のサイバー攻撃の特徴としてRecorded Futureは、（1）戦略的な標的設定、（2）紛争の事前布陣、（3）地政学的な背景の3つを挙げ、次のように説明する。

　「中国がアジア太平洋地域、特に台湾と南シナ海地域で影響力を主張し目標を追求し続けるなか、この地域で活動する官民事業体は、中国による従来のスパイ活動に加え、破壊的なサイバー攻撃と情報操作にも晒され続ける可能性が高い」

　中国のTTP（戦術・技術・手順）における戦術は「“Low & Slow”にシフトしている」とRecorded Futureは分析している。オバマ大統領と習近平主席によるサイバー協定と、人民解放軍戦略部隊の再編成を経た2010年代後半からだ。「サイバー協定が商業分野への攻撃を不可としたことから、戦略的・政治的な目標に攻撃がシフト。同時期にPLAが再構築され、新組織の戦略支援部がAPT攻撃の一翼を担うことになった」（同）という（図1）。

図1：中国のTTP（戦術・技術・手順）は“Low＆ Slow”にシフトしている