情シスが知るべき「踏み台サブスク」の脅威 中国企業が運営する20万台規模の攻撃基盤：身近な機器が悪用される代償は

英国家サイバーセキュリティセンターなどは、中国系ハッカー集団が脆弱なIoT機器を大規模に悪用していると警告した。企業が取るべき対策は。

[Bill Goodwin，TechTarget]

　中国系のハッカー集団が、家庭用ルーター、プリンタ、Webカメラなどを隠れみのに、攻撃を拡大している実態が明らかになった。

　侵入先のサーバから直接侵入するのではなく、感染した多数のIoT機器を経由して攻撃するため、発信元の特定やブロックが難しくなっているというのが注目すべき点だ。この動きに対して企業が取るべき対策は。

IoT機器の悪用に講じるべき対策は

併せて読みたいお薦め記事

サイバー攻撃の関連記事

• 3万7000台監視という“絶望”　テネシー大学を救った「MDR」とは
• アサヒグループも襲ったQilinの手口とは　2025年国内被害22件に

　2026年4月23日（英国時間）、英国の国家サイバーセキュリティセンター（NCSC）他9カ国15の政府機関は連名で、中国系のハッカー集団が脆弱（ぜいじゃく）なIoT機器を「大規模に」活用しているとの警告を発出した。ハッカー集団は、パッチ未適用の機器にある脆弱性を突いて、攻撃の足場となるネットワークを構築しているという。

　警告を発出したのは、米国、英国、オーストラリアなどの国々で機密情報を共有する枠組み「Five Eyes」と以下の組織だ。

• オーストラリア信号局（ASD）傘下のオーストラリアサイバーセキュリティセンター（ACSC）
• カナダ通信保安庁（CSE）傘下のカナダサイバーセキュリティセンター（Cyber Centre）
• ドイツ連邦憲法擁護庁（BfV）
• ドイツ連邦情報庁（BND）
• ドイツ連邦情報セキュリティ庁（BSI）
• 日本の国家サイバー統括室（NCO）
• オランダ総合情報保安庁（AIVD）
• オランダ国防情報保安庁（MIVD）
• ニュージーランド国家サイバーセキュリティセンター（NCSC-NZ）
• スペイン国家暗号センター（CCN）
• スウェーデン国家サイバーセキュリティセンター（NCSC-SE）
• 米サイバーセキュリティインフラセキュリティ庁（CISA）
• 米国国防総省サイバー犯罪センター（DC3）
• 米国連邦捜査局（FBI）
• 米国国家安全保障局（NSA）

　NCSCのリチャード・ホーン代表は、グラスゴーで開催された会議「CyberUK」で、「中国の諜報機関や軍事機関のサイバー工作は、驚くほど洗練されている」と述べた。

秘匿ネットワークが「侵害の痕跡」を隠す

　各国の当局は、中国の手法によって、従来の「侵害指標」（IoC）を用いた攻撃の検知や特定が困難になっていると警鐘を鳴らす。

　例えば、中国のハッカー集団が英国内の感染デバイスを足場にすれば、英国内の企業への攻撃は国内通信に見える。つまり、海外のIPアドレスを遮断するだけでは防御できなくなっている。

　当局は、リスクを軽減するために「インテリジェンスに基づいた適応策」の採用を推奨している。これには、インターネット接続機器やVPN、リモートアクセス機器のトラフィック監視による不審な動きの特定が含まれる。

　中国系の集団は、低コストな感染デバイスのネットワークを悪用し、その構成を迅速に変更することで検知を逃れている。従来の静的なIPブロックリストは、もはや通用しない。

　勧告によれば、これらのネットワークは偵察からマルウェアの配信、コマンド＆コントロール（C2）、データの持ち出しまで、攻撃の全段階で利用されている。

大規模ハッキングの背後にある秘匿ネットワーク

　中国の国家支援を受ける集団「Volt Typhoon」は、重要インフラ（CNI）への将来的な攻撃に向けて、侵害したデバイスによるネットワークを利用している。

　同集団は米国の通信、エネルギー、運輸、水道などを標的にし、5年以上にわたり重要システムへのアクセスを維持してきた。この際、メーカーのサポートが終了し、セキュリティパッチが提供されていないCiscoやNetGear製のルーターを悪用していた。

　別の集団「Flax Typhoon」も、ルーターやカメラなど26万台もの侵害デバイスからなるネットワークを利用し、多国籍のスパイ活動を行っている。

サービス化するハッキング

　中国のハッカーは複数のネットワークを選択し、頻繁に変更している。これにより、標的企業が攻撃を遮断するのはさらに難しくなっている。

　中国の情報セキュリティ企業が、ハッカー集団向けに「サービスとしてのネットワーク」を提供している実態も判明した。例えば、中国企業のIntegrity Technology Groupは「Raptor Train」と呼ばれるネットワークを制御し、2024年には世界中で20万台以上のデバイスを感染させていたという報道がある。

企業が取るべき対抗策

　NCSCは企業に、自組織のインターネット接続機器やVPNを把握し、どの通信が正当なものかを判断できるようにすることを勧める。

　従業員がリモート接続で社内ネットワークにアクセスする際は、多要素認証（MFA）を導入すべきだ。大規模な組織であれば、OSやタイムゾーン、システム構成に基づいて接続をプロファイリングし、正当な通信を特定できる。

　また、リスクの高い組織では、中国の高度標的型攻撃（APT）を積極的に追跡することを推奨している。NCSCが提供する脅威レポートを活用し、動的なブロックリストや検知ルールを作成すべきだという。

　NCSCの運用責任者を務めるポール・チチェスター氏は、「近年、中国のサイバー集団は責任追及を逃れるため、こうしたネットワークを使って活動を隠ぺいしている」と述べた。重要資産を守るために、企業は今すぐ行動を起こすべきだ、と付け加えた。