>
Insiktレポート

強制から侵略へ:両岸関係における中国のサイバー活動の理論と実行

投稿: 2022年11月23日
作成者 : Insikt Group®

insikt-group-logo-updated-3-300x48.png

編集者注:これは完全なレポートの抜粋です。 文末脚注付きの分析全体を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。

本報告書は、中国がサイバー威圧とサイバー戦争をどのように概念化し、実行しているかを、台湾に焦点を当てて検証する。 台湾政府や軍、インド太平洋地域で活動する政府や軍隊、そして中国の軍事・サイバー活動に注目する研究者にとって、最も興味深いものとなるでしょう。 レポートの著者であるDevin ThorneとZoe Haverは、寛大なレビューとサポートについてJessica DrunとJoe McReynoldsに感謝しています。 著者に関する情報は、レポートの最後に掲載されています。

Executive Summary

中華人民共和国(PRC)の指導部は、台湾(ROC)は中国のものであると固く信じています。 台湾が中国の一部であったことがないにもかかわらず、中国の共産党国家は長い間台湾との「統一」を求めており、「統一」を「中華民族のすべての息子と娘の共通の願望」、「中国の若返りの実現に不可欠」、「中国共産党の歴史的使命」と表現している。 この目的を支援するために、中国は、威圧的な外交、経済、軍事活動などを通じて、台湾の行動に影響を与えようと一貫して試みてきた。

さらに、中国の共産党国家は、米国による「分離主義勢力」と「外部からの干渉」に反対することを誓い、中国は台湾との平和的な「統一」を目指すが、「外部勢力による干渉や分離主義者による過激な行動に対して、武力またはその他の必要な手段を用いて常に対応する用意がある」と強調している。 中国人民解放軍(PLA)は長い間、台湾への全面的な水陸両用侵攻の準備を優先しており、人民解放軍はそのような侵略を成功させるために必要な能力を積極的に追求している。

本報告書は、台湾のシナリオに焦点を当て、中国人民解放軍と中国の他の関連アクターがサイバー威圧とサイバー戦争をどのように概念化し、実行しているかを評価している。 同報告書は、中国のサイバー威圧に関する理論全般と両岸関係、および中国のサイバー戦争と両岸紛争シナリオにおけるサイバー活動に関する理論を分析している。 次に、中国のネットワーク部隊を調査し、ネットワーク部隊の開発、ネットワーク偵察、ネットワーク攻撃に焦点を当てて、平時および戦時中のサイバー活動に対する中国の取り組みを調査している。

その結果、平時において、中国はネットワークによる強制力を用いて、独立派と見られる活動の停止を強制したり、台湾の独立に向けた動きを抑止したりする可能性が非常に高いことが分かった。 戦時中の台湾に対する共同上陸作戦や封鎖作戦では、中国はほぼ確実に情報支配を掌握するためのネットワーク戦争に従事するだろうが、主要な標的は軍事・民間の情報システムや重要インフラである。 我々は、中国がネットワーク部隊の開発、ネットワーク偵察、ネットワーク攻撃を行う努力は、平時のサイバー威圧と戦時サイバー作戦に等しく関連していると判断する。 中国は、大学、民間企業、ハッキング競技会、サイバーレンジなど、全国的な取り組みを通じて、平時と戦時の両方のネットワーク作戦で使用するための武器と人材を開発している。 また、中国と関係のあるサイバー脅威アクターは、ネットワークスキャン、フィッシング、ドメインスプーフィング、ゼロデイ攻撃などのツールを使用してネットワーク偵察を行う意欲を示しており、これは情報の取得とネットワーク攻撃への備えを目的としていると考えられます。 さらに、中国と関係のあるサイバー脅威アクターは、平時にすでに台湾に対してランサムウェア、分散型サービス拒否(DDoS)、改ざん攻撃を行っており、敵の重要なインフラストラクチャを攻撃することに関心があることを明らかにしています。

主な判断

  • 中国は、サイバー能力の使用を、台湾政府や国民に独立支持活動を止めさせたり、台湾の独立に向けた動きを抑止したりするための選択肢と見なしている可能性が非常に高い。
  • 中国が台湾に対して武力行使を決定した場合、サイバー能力はほぼ確実に、共同上陸作戦や封鎖作戦の一環として情報の支配を求めるために使用されるだろう。
  • 強制や戦争に利用できる中国のネットワーク部隊には、軍隊部隊、民間政府機関の職員、テクノロジー企業の民間人、そしておそらく「趣味人」や愛国的なハッカーも含まれる。
  • 中国はほぼ確実に、軍事および民間の領域で見られるサイバー攻撃および技術ネットワーク調査ツールの全範囲を、強制と戦争に適用できると見なしています。
  • 中国におけるネットワーク兵器と人材開発パイプラインには、軍事兵器の開発と訓練プログラム、民間教育プログラムと採用、サイバーレンジを構築するための国家的な取り組みが含まれます。
  • 中国は、ネットワーク検査やスパイ活動を含むネットワーク偵察を、常に存在する闘争形態と見なしている可能性が非常に高いし、そのような活動を実行するためのかなりの能力を持っている。
  • 観察された事例に基づいて、サイバー対応スパイ活動に対する中国のアプローチは、脅威アクターがより具体的なターゲットに関するデータを収集できる中レベルおよび高レベルの通信インフラストラクチャを優先的に標的にしています。
  • 中国のサイバー戦争と威圧の目的は、ほぼ確実に、軍や民間の情報システムや重要インフラの機能を混乱させ、損害を与え、破壊することや、台湾の意思決定者に衝撃を与え、彼らの闘争意欲を弱めることだ。

ソース

本レポートは、サイバー威圧と戦争に対する中国のアプローチに関する理論的な議論と、中国のサイバー能力の実際の証拠を中心に構成されている。 本報告書の理論的な部分は、軍事科学院(AMS)と国防大学(NDU)が発行した権威ある人民解放軍の教科書を大いに参考にしている。 これらには、NDUの 「Science of Campaigns 」(2006年に出版)、AMSの「 Science of Military Strategy 」(以下、SMS 2013)の2013年版、NDUの「 Science of Military Strategy 」(SMS 2017)の2017年版、およびNDUの「 Science of Military Strategy 」(SMS 2020)の2020年版が含まれます。

AMSとNDUは「中国の二大防衛機関」であり、外国の専門家は、彼らのさまざまな版の 「軍事戦略科学 」を「戦略レベルで戦争をどのように計画し、実施すべきかについての人民解放軍上級将校のための中核的な教科書」と評価している。 2001年版のAMSの「 軍事戦略の科学 」は、「(中央軍事委員会)の人々を含む人民解放軍の上級意思決定者や、中国の将来の戦略立案者になる可能性のある将校を教育する」ために使用されたと考えられている。 「キャンペーンの科学 」は、キャンペーン理論を教えるために使用される重要な教育テキストでもあります。 これらの編集された巻は、中国の軍事ドクトリンの公式な説明ではないが、一般的には、さまざまなドクトリン上の課題に対する人民解放軍の進化する考え方についての洞察を提供すると考えられている。 可能であれば、これらの主要な人民解放軍の書籍の読み物を、中国のサイバー関連の軍事および民間組織の要員が執筆したジャーナル記事の分析で補完します。

サイバー強制

このセクションでは、中国のサイバー威圧の理論と、中国が平時に台湾に対してサイバー威圧を使用する可能性について議論します。これは、中国が台湾の独立に向けた動きに対抗するために使用する可能性が非常に高いです。 強制は、ターゲットの行動を変えるための行動の2つの異なる理論、すなわち抑止力と強制力から成り立っています。 抑止力は、望ましくない行動を防ぐために罰の脅威を使用し、強制力は、望ましい行動(または望ましくない行動の停止)を動機付けるために罰を使用します。 強制には、外交、経済、軍事など、さまざまな形があります。 国家はサイバー手段を通じて強制を行うこともできますが、専門家はその有効性に疑問を呈しています。

中国のネットワーク強制理論

強制の2つの要素、すなわち強制と抑止は、北京語で 「威慑 」という一語で捉えられます。 2001年版の 軍事戦略 科学では、 weishe を「国家または政治集団が武力を誇示したり、武力行使の決意を示したりして、敵に自分の意志に服従させ、敵対的な行動をとったり、エスカレートさせたりすることを控える軍事行動」と定義しています。敵意」。 SMS 2013はそれほど明確ではないが、中国人民解放軍はほぼ確実に 、威社の 理論を、外国のオブザーバーが抑止力だけでなく、強制と呼ぶものを許容していると見なし続けている。 しかし、中国軍の文書や政府が発行した防衛戦略白書の公式英訳は、 weishe を「抑止力」としか翻訳していない。 以下では、わかりやすくするために weishe を使用しています。

Weishe は平時の活動であり、戦時中の活動でもありますが、その基本的な目的が戦争の勃発や脅威のエスカレーションを防ぐことであることを考えると、主に平時の活動です。 外国の人民解放軍専門家が要約しているように、 weishe は「戦闘が始まる前と後の両方で、できれば戦争を避けるためだけでなく、(他の地域や戦略的な方向への)水平的なエスカレーションや(特に核戦争への暴力のスペクトルの増加)を避けるためにも使用されるべきである」と述べている。 SMS 2013は、 weishe の「基本的な目標」は、「相手からの攻撃の可能性を封じ込める」、「地位を維持する」、または「自分自身を危険にさらす活動を阻止する」ことであると主張しています。 重要なのは、「自国を危険にさらす活動」(つまり中国)には、中国の政治的安全保障や発展上の利益に対する脅威など、戦争以外の脅威がほぼ確実に含まれているということだ。

Weishe は、軍事活動と非軍事活動の両方を含む、明らかに政治的な試みでもあります。 SMS 2013は、 weishe が政治的目標の達成を目指し、政治に従属しており、外交、政治、軍事、経済、科学技術、およびその他の手段の使用が必要であることを強調しています。 同様に、SMS 2017は、「平時における戦略的 weishe の主要な役割は、国家の軍事、政治、経済、文化、外交、およびその他の戦略的力を適用して状況に影響を与えることである」と述べています。 つまり、 weishe は政府全体の取り組みであり、軍が取る可能性のあるあらゆる行動と並行して、民間団体が「統合された_全体の_weishe_」(整体威慑)を支援する活動に関与している可能性が非常に高いということです。

中国人民解放軍と中国政府が 対応可能な特定の問題の範囲は、軍事的か非軍事的かを問わず、Recorded Futureがレビューしたどのテキストにも明確に記載されていない。 しかし、国務院新聞弁公室が発行した中国の2019年の白書「新時代の中国の国防」では、国防の目標として以下の点を広く特定しています。 これは、戦争の脅威を含む威圧的な能力を適用できる目標の比較的包括的なリストを表していると私たちは信じています。

  • 「台湾独立」に反対し、封じ込めるために
  • 侵略を抑止し、抵抗するために
  • 国家の政治安全、人民の安全、社会の安定を守るため
  • 「チベット独立」や「東トルキスタン」(つまり、独立した新疆ウイグル自治区)の創設のような分離主義運動の支持者を取り締まるため
  • 国家主権、統一、領土保全、安全を守るため
  • 中国の海洋権益を保護するため
  • 宇宙空間、電磁空間、サイバー空間における中国の安全保障上の利益を守るため
  • 中国の海外権益を守るため
  • 国の持続可能な開発を支援するため

中国が ウェイシェ を多くの脅威に適用可能な戦略的概念と見なしていることはほぼ間違いないが、Recorded Futureがレビューした人民解放軍と民間文書の大部分は、敵からのサイバー攻撃を抑止または対応するという目標に関してのみ、サイバー威圧、またはネットワーク 慑を定義している。 例えば、SMS 2013は、ネットワーク ・ウェイシェ の目標は、特に「敵対者が大規模なネットワーク攻撃を故意に行うのを強制的に防ぐ」ことと、主に「敵対国」や「テロ組織」からの「深刻な妨害行為」であると主張している。 焦点は weishe にあります「現物で...クロスドメインの使用ではなく」 Weishe。 しかし、SMS 2017とSMS 2020は、ネットワーク戦争を政治、外交、経済、その他の領域での闘争と統合して、中国の全体的な戦略的目標に奉仕する必要があることも強調しています。 同様に、2019年に『 China Information Security (中国信息安全)』に掲載された記事(中国の主要な民間情報機関である国家安全部(Ministry of State Security)と提携している)など、権威のない情報源の中には、ネットワーク ・ウェイシェ が「一種のクロスドメイン・ ウェイシェ 戦略」であり、他のドメインでの国家目標の追求と自然に統合されたものであることを明確に認めているものもある。

ネットワーク サイバースペースでの脅威に対抗することに限定されているとしても、脅威を構成する範囲はかなり大きいと思われます。 中国の国防目標には、中国の「...サイバースペース」。 2016年に中国サイバースペース管理局が発表した「中国の国家サイバースペースセキュリティ戦略」は、中国が直面する「深刻な課題」を議論するセクションで、 ネットワークが 対処する可能性のあるオンライン脅威の種類についての洞察を提供しています。 これには、中国の政治システム、経済、文化、社会、国防に対する脅威が含まれます。

両岸関係におけるサイバー強制

中国は、独立支持活動の停止を強制したり、台湾の独立に向けた動きを抑止したりするなど、台湾政府や台湾の政党の行動に影響を与えようとして、台湾に対するサイバー威圧を行うことを決定する可能性がある。 実際、中国はすでに台湾に対してサイバー威圧を行っている可能性が高いが、中国のサイバー活動とされるものが威圧的な動機であると断定することはしばしば困難である。

サイバー威圧の事例は、2022年8月にナンシー・ペロシ米下院議長が台湾を訪問した際に、中国から発信されたとされる大規模なサイバー攻撃が台湾を襲ったことを受けて発生したと考えられる。 サイバーセキュリティアナリストは、攻撃者は中国の中核的なネットワーク部隊ではなくハクティビストである可能性が高いと考えていますが(詳細は以下の 「中国のネットワーク部隊 」のセクションで説明します)、DDoS攻撃やその他のサイバー攻撃で、政府のWebサイト、公益事業や交通機関のWebサイト、鉄道駅のスクリーンなどのインフラストラクチャ、7-Elevenコンビニエンスストアのスクリーンを標的にしたと報告されています。 台湾を標的としたサイバー脅威活動は、ペロシ氏の訪問の可能性が公に報じられてから10日後の7月29日、そしてペロシ氏が実際に他の議員をそのような訪問に招待したという米国議会議員の最初の「オンレコ」確認から2日後には、早くも増加し始めたと報じられています。 台湾のデジタル担当大臣であるオードリー・タン氏の言葉を引用して、報道機関は「ペロシ氏の到着前と到着中の[8月2日]に台湾政府部門がサイバー攻撃した件数は15,000ギガビットを超え、これまでの1日の記録の23倍だった」と報じています。 台湾当局は、攻撃が直接的に中国政府によるものだとはしていませんが、政府のウェブサイトへの攻撃は中国とロシアのIPアドレスから発信されていることを示しました。 伝えられるところによると、この攻撃は台湾のサイバーセキュリティ緩和策の結果、ほとんど被害を出さなかったという。 このサイバー活動は、軍事演習やミサイル実験など、より容易に原因となる非サイバー形態の強制と一致していました。

サイバー戦争

このセクションでは、中国のサイバー戦争理論と、中国が紛争シナリオで台湾に対してサイバー戦争を使用する可能性を分析します。 中国の軍事戦略家は攻撃的なサイバー行動を非常に優先しており、中国人民解放軍はほぼ確実に「コンピューターウイルス」や「ハッカー」などの攻撃的なサイバー手段を使用して、台湾に対する共同上陸または封鎖キャンペーン中に情報の支配を追求することがわかった。

中国のネットワーク戦争理論

2017年版と2020年版の 「軍事戦略の科学 」は、ネットワークが多次元の戦場の中心となり、ネットワーク空間での作戦が例外なく戦争に勝つためのバックボーンであると主張しています。 ネットワーク戦争(网络战)とネットワーク作戦(网络作战)の目標は、敵の情報環境を劣化させ、ネットワーク偵察(网络侦查)を通じてそれを準備し、自分の情報環境を守ることです。 ネットワーク領域には、コンピュータとインターネットの両方に基づく軍事作戦と電磁戦作戦が含まれるが、本稿では前者に焦点を当てている。 中国人民解放軍の著作は、陸、海、空、宇宙などの他のドメインと並んでネットワークドメインを概念化することがあります。他の例では、彼らはそれをより広範な情報ドメインの構成要素として提示します。

SMSのさまざまな版は、ネットワーク戦争の特徴について一貫した説明を主に示しています。 これらには、広い範囲、隠された品質、破壊的な可能性という側面に重点を置くことが含まれます。 Recorded Futureがレビューした他のテキストや、中国のアナリストによる研究の広範な調査では、これらの見解は多様な情報源で一貫していることが多いことが示されている。

  • ワイドスコープ: 情報ネットワークが現代生活のいたるところにあり、軍と民間のネットワークが相互接続されているため、戦場の範囲は膨大です。
  • 隠された品質: 攻撃者の帰属や攻撃の発生源を特定することは、ネットワーク攻撃が時間、場所、またはIDに制限されないため、非常に困難です。
  • 破壊的な可能性: ネットワーク攻撃の影響は、ネットワーク空間の範囲が非常に広いため、軍事システムや民間システム全体で壊滅的なものになる可能性があります。

SMS 2017とSMS 2020は、平和と戦争の境界線が曖昧になっていることを特に強調し、すべての国のネットワークが平時に浸透していることを指摘しています。 彼らはさらに、湾岸戦争後と2003年のイラク戦争直前のアメリカのイラクに対する扱いを利用し、それが大規模な情報収集と心理作戦を必要としたと主張し、イランの核計画を標的としたスタックスネット・マルウェアの使用も利用して、サイバー戦争が活動の開始と停止ではなく、被害のレベルと範囲のエスカレーションとデエスカレーションによってどのように定義されるかを強調している。 これらの例は、平時のサイバー作戦が戦争の前触れとしてどのように機能するかを強調するためにも使用されます。 言い換えれば、サイバー戦争は現代の政治工作の不変の要素である。 AMSの信息化作战研究室(Informatized Warfare Research Office)の初代所長であるYe Zheng(叶征)氏は、中国のネットワーク戦部隊は常にネットワーク戦作戦を行う準備をし、「恒久的な動員状態」にあるべきだと主張している。

中国の軍事戦略家やアナリストは、ネットワーク戦争の攻撃的側面と防御的側面の両方について議論しているが、攻撃能力と「先制攻撃」が大いに優先されるが、SMS 2013では防衛を第一に考慮すべきとしている。 ネットワーク作戦は、より強力で技術的に進んだ敵(つまり米国)に効果的に対抗するための、より弱い国家(中国が一部の領域にいると認識している)にとっての非対称兵器と見なされています。 先制攻撃の目標は、情報の支配を掌握し、それによって紛争の「主導権」を捉えることである。 つまり、中国は先制攻撃を使用して、敵の情報システムが効果的に機能する能力を妨害することにより、敵に対して、そしておそらく全体的な競争で優位に立つことができます。 一部の中国人研究者は、この「攻勢のイデオロギー」は2008年まで戦略家の間で比較的主流だったが、その後、防衛の優先順位付けによってより緩和されたと主張している。 しかし、SMS 2017は、情報の支配を掌握するためには、防衛でさえ「積極的に開始された攻撃作戦に依存している」ことを引き続き強調している。

両岸紛争シナリオにおけるサイバー活動

もし中国が台湾との「統一」を追求するために軍事力の行使を選択した場合、人民解放軍は共同で上陸作戦や封鎖作戦を行う可能性が非常に高い。 中国人民解放軍のキャンペーンの著作によると、共同上陸作戦はほぼ確実に、台湾海峡での制海権と制海権、および情報領域での支配を推進することが含まれる。 この作戦では、早期警戒探知システム、滑走路や格納庫、指揮・通信システム、ミサイル陣地、港湾など、台湾の防衛を混乱させるためにキーポイント攻撃もほぼ確実に行われるだろう。 その他の要素には、台湾の沿岸防衛を突破するための迅速、継続的、集中的な攻撃や、台湾への上陸に成功した水陸両用部隊を支援するための兵站作戦が含まれることはほぼ間違いない。 共同封鎖作戦は、敵の港や航路を封鎖し、海上での監視、スポット検査、拿捕、攻撃を行い、空中監視、追放、傍受、攻撃を実施することで、台湾の「海空通信路」を断つことを目的としていることはほぼ間違いない。

中国が台湾に対して実施する共同上陸作戦や封鎖作戦は、ほぼ確実に情報領域での作戦の一部としてサイバー活動を伴うことになる。 「キャンペーンの科学」では 、キャンペーン情報戦は、キャンペーン作戦全体に最初から最後まで浸透し、敵の情報検出ソース、情報チャネル、情報処理および意思決定システムを標的にしていると説明しています。 教科書は、キャンペーン情報戦は情報攻撃と情報防御の両方を含み、前者にはネットワーク攻撃、電磁気攻撃、心理攻撃、および物理的破壊が含まれることを強調しています。 ネットワーク攻撃(主にコンピューターウイルスやハッカー経由)は、敵のコンピューターやコマンドアンドコントロールシステムを含むコンピューターネットワークシステムを標的とする侵略的で破壊的な活動であると述べています。

共同上陸作戦や封鎖作戦では、中国人民解放軍はほぼ確実に作戦の初期段階で情報の支配を求めるだろうが、 これは「キャンペーン科学」が 空と海の支配を掌握するための必須条件として位置づけている。 共同上陸作戦における情報の支配には、他の要素の中でも特に、敵の「情報システムの情報処理および意思決定センター」、「情報検出源および情報チャネル」、「ナビゲーションおよび測位システム」、「通信システム」、「早期警戒探知システム」、「ミサイル迎撃システム」を劣化させるためのネットワーク攻撃やその他のツールの使用を含む情報抑制を実施する必要がある。 共同封鎖作戦における情報支配には、情報偵察の実施が必要であり、これには「コンピュータネットワークへの侵入」、「敵の情報セキュリティコードの解読」、「情報の盗み」、「コンピュータウイルスによる侵入の実施」、「敵のネットワーク運用プロセスの破壊」、「敵の指揮系統と情報システムの麻痺」を目的としたネットワークベースの情報攻撃が含まれる。

準備と実行

このセクションでは、理論と実行の間のギャップを埋めることを目指し、中国のネットワーク部隊の範囲を調査し、中国がネットワーク部隊の開発、ネットワーク偵察、ネットワーク攻撃の3つの主要なタイプのサイバー活動を概念化し、実装する方法を調査します。 中国人民解放軍の著作は、これら3つの活動カテゴリーが平時のサイバー強制と戦時サイバー作戦の両方に関連していることを強く示している。 SMS 2020およびSMS 2017は、他の領域における軍事的闘争とは異なり、ネットワーク領域闘争は戦時に限定されず、平時の政治、経済、軍事、文化、科学技術の闘争中にも見られると主張している。 この点について、彼らは平和と戦争の融合を呼びかけており、 これには、威社の実施、敵の威嚇、戦争の抑制、戦争の準備が含まれる。 この証拠と中国の行動に観察されたパターンに基づくと、このセクションで説明する内容は、戦争前および戦争中に台湾を標的にする可能性のある中国のサイバー活動にほぼ確実に適用できます。

中国のネットワーク勢力

中国のネットワーク部隊には、軍、政府、非政府組織が含まれ、これらの組み合わせが台湾をめぐる紛争に参加する可能性が非常に高い。 SMS 2013 では、ネットワーク運用のための 3 種類の部隊が特定されています。

第一は、戦略支援部隊(SSF)のネットワークシステム部(战略支援部队网络系统部)や人民解放軍の他の部分のような特別に訓練された軍事部隊である専門ネットワーク戦部隊である。 ネットワーク民兵は、中国の軍隊内でサイバー能力も提供している。

2つ目は、MSSや公安省(MPS)など、軍がネットワーク作戦を実施するために承認できる「地域の強み」である認定部隊です。

第三に、民間部隊は、「ネットワーク攻撃と防衛を自発的に実施」したり、ネットワーク作戦に動員されたりすることができる非政府組織である。 SMS 2017およびSMS 2020は、ネットワーク電磁力には、民間企業の人員や「専門的な技術スキルを持つ一部の愛好家」さえも含めることができると規定しています。 2015年、AMSの戦闘理論・規制研究部(作战理论和条令研究部)に所属する研究者は、この部隊の配置を「小さな核心、大きな周辺」(Small Core, Big Periphery)と表現し、中国の軍事力を補完するために、ネットワーク民兵、ネットワーク警察、愛国的なハッカー、および営利企業の技術者を募集した。

特に、このセクションで名前を挙げたエンティティは、MSSが行うサイバー対応のスパイ活動や、ハクティビストと思われる人物が行うサイバー強制など、中国から発せられる平時のサイバー活動の実例に見られるものと同じである(下の図1を参照)。

from_coercion_to_invasion_the_theory_and_execution_of_china_cyber_activity_figure_1.png

図1:2017年の中国・韓国THAAD紛争中に、自称愛国的なハッキンググループであるパンダ情報局が行った改ざん攻撃(出典:Boan News;パンダ情報局)

ネットワーク・フォース・デベロップメント

中国の軍隊や情報部隊が台湾に対して、あるいは台湾紛争に備えて行う可能性のある大規模なサイバー行動は、有能な部隊と効果的なサイバー兵器の利用可能性を前提としている。 台湾を標的とした新たに発見されたサイバー侵入には多くの注意が払われていますが、中国のサイバー能力、兵力の強さとアイデンティティ、および人材と兵器開発パイプラインを調査することで学ぶべき教訓があります。 このセクションでは、中国のネットワーク部隊とツールの準備について、権威ある情報源と実際の例を通じて簡単に概説します。

『軍事戦略科学』のさまざまな版では、技術研究と人材育成の両方の観点からネットワーク戦能力の開発について論じているが、後者についてはより詳細に説明されている。ネットワーク戦兵器に関して、これらのテキストは、読者(おそらく人民解放軍の将校やその他の関連する意思決定者)に「事前に計画」し、技術の「フロンティアトレンド」を研究して準備するよう促しています。 開発する能力の具体的な種類については、「『切り札』」という呼びかけ以外には触れられていないが、以下の 「ネットワーク偵察 」の項に挙げられている能力や、中国のネットワーク攻撃目標を促進する可能性のある能力( 「ネットワーク攻撃 」の項で説明)が候補になる可能性が非常に高い。

これらの教科書、特にSMS 2017とSMS 2020は、人材育成というより高いレベルの関心事により多くの時間を費やしています。 彼らは、テクノロジーと戦術を深く理解した「質の高いネットワーク対決の才能」を訓練することを求めています。 彼らはさらに、4種類のネットワーク戦争の才能を特定しています:1)戦争計画を準備するための「高度なネットワークコマンドの才能」。2)ネットワーク対立タスクを実行するための「スタッフオフィサータレント」。3)特別なスキルとネットワーク兵器を開発する能力を備えた「高度な専門的才能」。4)運用保守とセキュリティのための「ネットワークサポートタレント」。 これらの教科書によれば、中国のネットワーク戦力は戦略に重点を置き、その積極性、柔軟性、創造性を強化すべきである。

全国的なソリューション
この研究のためにレビューされた 「軍事戦略の科学 」のすべての版は、ネットワーク領域での闘争に備え、実行する上での軍民連携の重要性を強調しています。 SMS 2017とSMS 2020は、ネットワーク戦争に関連する人材の育成と研究の実施において、政府部門、企業、社会の「専門技術人材」を活用することを強調しています。

実際には、SSFの人材開発パイプラインは、軍事技術大学や研究機関に大きく依存しており、民間大学からの採用も人材獲得の重要な手段となっています。 ネットワーク兵器の開発は、中国人民解放軍と軍事教育機関によって民間大学や情報技術企業に委託されているが、「SSFの情報戦プログラムの大規模な規模は、社内でしか適切に維持できない、より管理され、正規化された労働力を必要としている」。

MSSは、外部の請負業者に比較的大きく依存しているように見えますが、社内にも重要な能力があります。 例えば、海南大学の情報セキュリティ学部の教授は、海南省国家安全部の情報部員と協力して、APT40の契約ハッカーを募集し、管理していたとされています。 この教授は、少なくとも1つのテクノロジーフロント企業の設立を支援し、海南大学の学生の間で実際のアプリケーションを使ったパスワードクラッキングコンテストを組織し、給与や福利厚生などの管理問題について採用されたハッカーの連絡先だったと伝えられています。

中国のネットワーク能力と軍事・諜報目的での人材育成を支援するための軍民間およびより広範な政府と社会の協調を検討すると、数多くの実例が明らかになる。 学界、ビジネス、軍、政府間の調整を示すこれらの選択を以下に説明します。 これらすべてのセクターのアクターは、上記のSMS 2013に見られる中国のネットワーク部隊の概念に基づいて、台湾の戦時シナリオで役割を果たす可能性があります。

学界では、上海交通大学(Shanghai Jiao Tong University)の教育省工学ネットワーク情報セキュリティ管理・サービス研究センター(网络信息安全管理监控与服务教育部工程研究中心)が構築したトレーニングプラットフォームを通じて、上海市政府と防衛企業の10万人の幹部が「秘密窃盗と反秘密窃盗」のスキルを学んでいる。 これとは別に、四川省綿陽市にある西南科技大学校园网络应急响应小组)は、実際には、戦場のローカルエリアネットワークの構築、敵のシステムサービスと許可の偵察、および情報傍受を含む他の民兵部隊の訓練を組織するネットワーク民兵です。

企業間では、テクノロジー企業が主催した2018年天府杯ハッキングコンペティションにより、2018年11月から2019年1月(Appleが修正を発表)の間に、中国の諜報機関がウイグル民族コミュニティのメンバーをスパイすることを可能にしたiPhoneの「一連のエクスプロイト」が発見されました。 奇虎360テクノロジー株式会社 (奇虎360科技有限公司)は、軍民融合プログラムに深く関与し、天府杯のスポンサーの1つであり、北京を拠点とするネットワークセキュリティ民兵を少なくとも1つ抱えており、その一部は、攻撃的および防御的なネットワーク運用の形態を研究する(そしておそらく必要に応じて実行する)責任を負っています。

中国人民解放軍と政府の取り組みとして、中国人民解放軍の61419部隊は、2019年にMcAfee Total ProtectionやBitDefender Total Securityなどの英語のウイルス対策ソフトウェアの複数のバージョンの購入を求めました。 MSSと提携しているChina National Vulnerability Database of Information Security(CNNVD;中国信息安全漏洞库)も、中国と関係のあるAPTグループによって悪用された脅威の高い脆弱性の公開を遅らせた可能性があります。 これに関連して、各国の規制は、企業やその他の団体に、発見された脆弱性を2日以内に政府に報告することを義務付けることで、日和見的なサイバースパイ活動を促進する可能性があります。 中国を拠点とする脅威アクターによるゼロデイ脆弱性の使用は、これらの規制が制定されて以来、増加していると報告されています。

トレーニングインフラストラクチャ:サイバーレンジ
ネットワーク兵器とネットワーク戦争の才能を開発する具体的な手段は、権威ある情報源で議論されているネットワーク(サイバー)範囲(网络靶场)の使用です。 これらは、サイバー能力のトレーニングとテストのための仮想環境です。 ネットワーク範囲の構築は中国政府の重点分野であり、国防動員リソースと見なされています。 SMS 2017 と SMS 2020 によると、防御的な使用に加えて、攻撃指向の使用は、新しいネットワーク戦争兵器と方法の調査、戦術の研究、ネットワーク対決演習の実施です。 特に、「ターゲットスカウティング、情報窃取、ネットワーク侵入、情報窃盗、情報・サービス破壊などの攻撃手法」のシミュレーションや、各種攻撃の「攻撃効果」の評価を支援することができます。

2022年7月に中国人民解放軍組織(新疆军区)が行った入札は、サイバーレンジが敵の通信を妨害し、さまざまなオペレーティングシステムを感染させ、場合によっては重要インフラを攻撃するためのネットワーク攻撃および防御スキルを開発するためにどのように使用されているかを明確に示しています。 入札は、チームベースの戦闘訓練を支援するための「ネットワーク攻撃および防御範囲」(网络攻防靶场)のためのものでした。 その要件として述べられたのは、外国の軍用超短波およびマイクロ波通信機器の通信システム、信号パターン、および妨害防止方法をシミュレートする能力でした。 サイバーレンジには、4G携帯電話の通話とテキストのリアルタイムの正確な傍受、トロイの木馬の埋め込み、トラフィックハイジャック、改ざん、脆弱性分析などの機能をサポートする「移動通信ネットワーク偵察埋め込みソフトウェア」(移动通信网侦察植入软件)も含まれるはずでした。 この範囲は、オペレーティングシステム、データベース、セキュリティ機器を含む約200の仮想ターゲットをさらにサポートします。脆弱性の悪用、クロスサイトスクリプティング、特権昇格など、約100の一般的な攻撃ベクトル。概念実証(PoC)ベースの自動攻撃(基于Poc的自动攻击);民間航空、電気通信、輸送における標準的な企業構造などのシミュレートされたシナリオ。

ネットワーク偵察

ネットワークの浸透が平時の環境の決定的な特徴であるという評価と、前述の葉正の絶え間ない準備と動員の呼びかけに沿って、軍事 戦略の科学 の最新版は、サイバースペースを介した情報収集が平和な時代の対立の「最も顕著な形態」であると主張しています。 台湾のシナリオに先立って、共同上陸作戦、共同封鎖、またはその両方であるかどうかにかかわらず、中国はほぼ確実に台湾の政府、軍隊、その他の標的から最新の情報を収集しようとするだろう。 実際、中国がさまざまな目的で台湾のネットワークに浸透しているのは、ほぼ一定している可能性が高い。 2003年には、台湾政府の指導者たちは、中国のハッカーが23種類のトロイの木馬を使用して10のテクノロジー企業に侵入し、そこからさらに50の企業と30の政府機関に感染したと報告しました。

SMS 2013 では、サイバー対応情報収集 (ネットワーク偵察) を、将来のネットワーク攻撃および防衛作戦を準備する目的で、非破壊的なネットワーク悪用を使用して個人情報を取得することと定義しています。 ネットワーク偵察には、ネットワーク侵入(「ネットワーク秘密窃盗」[网络窃密]と呼ばれる)と、スパイ、サードパーティの販売者、およびその他の手段の助けを借りて物理的な情報記憶デバイスを取得する(「メディア秘密窃密」と呼ばれる)敵のC4ISRK、電磁気、および兵器制御システムを偵察することが含まれます。 SMS 2017 と SMS 2020 は、敵のネットワーク システム (構造と構成を含む [配置])、情報能力、重要なノード、脆弱性、戦略計画、部隊、方法、および潜在的な行動方針に関する情報の必要性を明記し、取得の対象となるインテリジェンスに関する追加の洞察を提供します。 したがって、ネットワーク偵察には、敵のシステムの技術的調査とスパイ活動の両方が含まれ、それ自体がネットワーク攻撃のより広範な目的でもあります。 このセクションでは、技術偵察とスパイ活動の両方について説明します。

偵察のツール
SMS 2013は、彼らの目標は異なるが、ネットワーク攻撃と防御の方法は技術レベルでのネットワーク偵察の方法と同じであることを強調しています。 この教科書で認められている特定のネットワーク偵察戦術には、パスワードのクラッキング、情報の傍受、およびスパイウェアを使用してローカルに保存された情報を取得する方法が含まれます。 SMS 2017とSMS 2020はより曖昧で、ネットワーク偵察は「ウイルス、トロイの木馬、ハッカーソフトウェア」を使用して実行されると主張しています。

AMS Warfare Research Institute(中国人民解放军军事科学院战争研究院)と中国人民解放軍Unit 31003(联合参谋部ネットワーク電子局)に所属する著者による2020年の論文では、20以上の「一般的なネットワーク攻撃方法」が特定されています。 この論文は防衛志向であるが、敵対者ネットワークの技術的特徴を調査するためのこれらの選択肢について、中国の主要な軍事機関内での認識を反映している可能性が高い。 AMSに関連する他の著者は、スニファーや脆弱性スキャナーなど、同じツールの一部をネットワーク偵察用に開発することを明示的に提唱しています。 2020年の論文に記載されている方法は次のとおりです。

  • ネットワークスニファー(嗅探器)、全文およびアカウントパスワードを含む
  • ネットワークスキャナー(网络扫描)、ロケーション、脆弱性、サービスを含む
  • Finger および LDAP サービスを含む Information service exploitation (信息服务利用)
  • Social engineering (社会工程)
  • さまざまな方法によるネットワーク傍受(网络拦截)
  • IPおよびDNSの欺瞞、ARP攻撃、電子メールフィッシングなどのネットワークフィッシング(网络欺骗)

理論を超えて見ると、このようなツールは、現実の世界で中国に関連する脅威アクターグループによって使用されています。 米国司法省(DoJ)が発表した2020年の起訴状では、複数のサイバーアクター(APT41に関与した者のうち2人を含む)が、AcunetixやSQLMapなどの市販のネットワーク脆弱性スキャンツールを使用したとされています。 起訴状は、APT41とMSSを緩やかに結びつけています。 TA413とTAG-22(Earth Lusca)も同様に、オープンソースツールのFScanを使用しています。 APT41に関連する攻撃者は、既製のオプションを使用するだけでなく、クエリ可能なソーシャルメディアリポジトリであるSonarXや、携帯電話のテキストメッセージを傍受して分析するMESSAGETAPなど、カスタムソフトウェアやマルウェアを使用してターゲットを理解します。

中国の戦略的利益とネットワークスキャンとの関連性を明らかにするために、2018年、Recorded Futureは、アラスカ政府の中国への代表団の直後に行われたバルクポートスキャン作戦の一環として、アラスカの企業や機関と100万件以上の接続を行う清華大学のIPアドレスを発見しました。 代表団の目標は、潜在的なアラスカ-中国ガスパイプラインを交渉することであり、スキャンされたターゲットには、アラスカ天然資源省、アラスカ州政府、およびさまざまなアラスカの通信会社が含まれていました。 台湾では、2020年に法務省捜査局サイバーセキュリティ調査室(Taiwan Law 务部调查局网络安全调查办公室)の劉家宗(Liu Chia-zung)副所長が、中国の「遍在する侵入」の取り組みについて警告を発した。 彼は、2018年以降、「少なくとも10の政府機関と約6,000人の職員の電子メールアカウント」が「重要な政府文書とデータ」を取得する目的で標的にされていたと主張した。

上記のリストにある他の戦術も、野生で観察されています。 例えば、2020年の米国大統領選挙では、MSSとリンクするRedBravo(APT31/Zirconium)が「(ジョー・バイデン氏とドナルド・トランプ氏の)選挙スタッフの個人メールを標的にし、クレデンシャルフィッシングメールやトラッキングリンクを含むメールを標的にした」と発表しました。 TA423(APT40)は、「Australian Morning News」のジャーナリストを装い、「Sick Leave」や「Request Cooperation」などの電子メールの件名を使用するソーシャルエンジニアリングの手法を使用していることが確認されています。 より広義には、過去3年間で、RedAlphaは「国際人権連盟(FIDH)、アムネスティ・インターナショナル、メルカトル中国研究所(MERICS)、ラジオ・フリー・アジア(RFA)、台湾のアメリカン・インスティテュート(AIT)」など、何百ものなりすまし組織を登録し、武器化してきた」。 この活動は、台湾や他の場所の情報源への初期アクセスを確立することを目指している可能性が非常に高いです。

諜報活動のモード
中国のサイバースパイ活動の顕著な傾向は、技術的な偵察もサポートすることができますが、脅威アクターがより具体的なターゲットにピボットできる中レベルおよび上位レベルの通信インフラストラクチャの悪用です。 例えば、APT41のMESSAGETAPは、ネットワーク事業者のSMSC(Short Message Service Center)サーバにインストールされていました。 同様に、中国を拠点とする脅威アクターは、世界中のマネージドサービスプロバイダー(MSP)、クラウドコンピューティングインフラストラクチャ、および仮想プライベートネットワーク(VPN)プロバイダーを標的にしています。 米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(US Cybersecurity & Infrastructure Security Agency)の2022年6月の勧告によると、中国の国家支援型脅威アクターは、SOHOルーターやネットワーク接続ストレージ(NAS)デバイスなどのネットワークデバイスも標的にし、攻撃を他のエンティティに向けるための中間点として標的にしています。 このサプライチェーン指向のサイバー対応スパイ活動の非電気通信類似物は、クライアントのデータの取得が意図された目的である法律事務所を中国が標的にすることです。

上記の傾向の極端な例は、MSSと他の中国に関連するグループによる少なくとも30,000の組織の侵害であり、Microsoft Exchangeのゼロデイの組み合わせを悪用しています。 2021年2月下旬から、Microsoftの顧客のメールサーバーにアクセスするために、1日あたり数千件の攻撃が開始されました。 当初は1つの脅威活動グループ(HAFNIUM)によるものとされていましたが、パッチが公開される前に、APT27、Calypso、Websiic、Tick Groupなど、中国を拠点とする複数の既知および未知のグループも脆弱性に対処していました。 Tick Groupは、暫定的に人民解放軍第61419部隊と提携していると特定されている。 中国人民解放軍とも提携していると報じられているTonto Teamは、パッチの発行後に脆弱性チェーンの悪用を開始しました。 Microsoft Exchangeの侵入は、中国の偵察活動における別の傾向を浮き彫りにしています。これは、2018年の天府杯の後にも見られるように、組織が修正を発行する前に、公開された脆弱性の悪用を急ぐことです。 中国人民解放軍やMSSに関連するグループを含む複数のグループによるMicrosoft Exchangeの脆弱性の急速な悪用も、中国のセキュリティ装置内に「デジタルクォーターマスター」エコシステムが存在し、共有能力を配布しているという理論にさらなる信憑性を与えています。

ネットワーク攻撃

中国が台湾の戦時シナリオでサイバー能力を適用することを決定した場合、上記の戦力増強、兵器開発、および進行中のネットワーク偵察活動は、ほぼ確実に台湾の政府、軍、民間の重要な標的に対する破壊的なサイバー作戦で最高潮に達するだろう。 このセクションでは、権威ある中国の情報源がネットワーク攻撃をどのように概念化し、ターゲットの選択を理解するかを探り、中国のネットワーク部隊がどこを攻撃するかについての教訓を探ります。

攻撃目標
情報を抽出すること( 「ネットワーク偵察 」のセクションで説明)に加えて、 Science of Military Strategy のさまざまな版では、ネットワーク攻撃の主な目的を敵の情報システムを損なうことと説明しています。 前述の 「Science of Campaigns」の詳細と非常によく似た言葉で、ネットワーク攻撃を情報攻撃の一種として特定し、SMS 2013は、サボタージュを通じてシステム機能を劣化させることが目標であると主張しています。 SMS 2017とSMS 2020も同様に、敵の指揮統制、通信、および兵器装備のコンピューターシステムのためのネットワークを破壊し、麻痺させることを提唱している。 2015年に 『China Information Security 』に掲載された記事では、攻撃には「サービスの減少」、「アプリケーションの損傷」、「システムの麻痺」の3つのレベルがあり、深刻度が増していると論じられています。

ネットワーク攻撃は、特に紛争の開始時に、台湾のシナリオで中国が情報の支配を追求するのをほぼ確実に支援し、戦場を正確に評価し、脅威に対してリソースを効果的に動員する島の能力を麻痺させることを目標としています。 実際、2001年版の 『軍事戦略科学 』は、「ネットワーク電磁攻撃が、ネットワーク攻撃やその他の手段を通じて敵の情報の流れを混乱させることで、敵の通常戦能力を無力化する」という「電子真珠湾」シナリオを理論化している。 前述の葉正はさらに、「戦争の初期段階」にネットワーク兵器と通常兵器を統合して「敵の通信チェーンのリンク」を攻撃することを主張している。

戦術レベルでは、SMS 2013 では、ワーム、トロイの木馬、ロジック爆弾の使用、敵の情報リソースとネットワークへの過剰な負荷または変更、および敵のネットワークへの誤った情報の送信について説明しています。 後者の点については、 Science of Campaigns は、指揮統制命令の変更、測位およびナビゲーションシステムの「逸脱」、および兵器システムを直接標的にすることについて議論しています。 SMS 2017 と SMS 2020 では、ネットワーク攻撃の「主な形」を、ウイルスを使用して敵のシステムを麻痺させ、データを盗み、敵の情報資料を改ざんし、ネットワークを混乱させ、偽のインテリジェンスを埋め込むことと特定しています。 これらの最新の教科書では、「チップ兵器」(芯片武器)も言及されていますが、その意味は明確ではありません。 AMS Warfare Research InstituteやPLA Unit 31003に所属する著者による前述の防衛志向の論文のような他の情報源は、悪意のある手順やスクリプト(ShellCodeなど)、認証攻撃、防衛システムにおける防衛システムの脆弱性(ファイアウォールやUTMサービスなど)、ソフトウェア、プロトコル、運用など、より具体的な攻撃方法と類型を認めています。 プロトコルフラッディング、DDoS、およびDNS DDoS。

情報システムの劣化や破壊に焦点が当てられていますが、さまざまな情報源が知覚を操作するサイバー能力の役割についても議論しており、サイバー作戦と情報戦の心理的および認知的側面との関係を強調しています。 例えば、 Science of Campaigns は、「特殊技術戦争」を「敵のラジオ局やテレビ局に製造された放送や画像」を挿入する行動を含むとしている。 2016年、AMSに所属する著者も同様に、ネットワーク ・ウェイシェ の例としては、敵の通信ネットワークに侵入する行動、市民へのテキストメッセージによるプロパガンダの配布、ゴールデンタイムのテレビによるプロパガンダの放送などがあると主張した。 SMS 2017とSMS 2020は、2003年のイラク戦争の前に、何千人ものイラク軍と政府関係者が米軍から降伏を求める電子メールをどのように受け取ったかの例も提起しています。 サイバー作戦と心理的影響との関連性は、ターゲット選択の議論でさらに強調されています。

攻撃対象
SMS 2017とSMS 2020によると、ネットワーク電磁戦は「主に相手側の心理、認知領域、意思決定システム」、および重要で政治的に機密性の高い情報インフラストラクチャを標的としています。 その目的は、敵の指導者の決定と行動に変化を引き起こし、それによって紛争の「全体的な状況」を変えることです。 これらの教科書が挙げる具体的なターゲットには、地上、空中、宇宙ベースの「インフラストラクチャネットワーク機器」のほか、敵の軍隊、機器システム、動員対応メカニズム、および全体的な支援システムが含まれます。 言及された他の標的には、「戦略警報システム」と「軍事情報システム」が含まれる。

焦点は敵の軍事目標だけにとどまらず、民間の重要インフラにも及んでいます。 SMS 2017とSMS 2020は、ネットワーク戦争の「主要な標的」には、国家の意思決定者だけでなく、「エネルギー、輸送、その他の国家情報インフラの情報システム」も含まれると主張している。 これをサイバー作戦への意図的なアプローチとして必ずしも提唱するのではなく、SMS 2017とSMS 2020は、ネットワーク攻撃が経済に損害を与えたり、経済の崩壊を引き起こしたり、政治的、経済的、社会的混乱を引き起こしたり、「(敵の)戦争への意志を揺るがす」可能性があるとさらに観察しています。

他の情報源は、ある形態の重要インフラを対象とする提案でより明確です。 前述の2016年のAMS所属の著者による論文では、ネットワーク の一形態として「重要な敵都市で短期間の大規模停電」を引き起こすことを示唆しています。 さらに、中国政府機関や国有企業の調達活動や、中国人民解放軍などのアナリストによる調査は、2015年にロシアがウクライナの電力網に対するサイバー攻撃とその後の攻撃に対して、少なくとも防御的な関心を持っていることを示している。 中国のサイバーレンジの一部は、防衛請負業者や人民解放軍の学術機関とリンクしており、産業用制御システムもシミュレートしています。

もし中国のネットワーク部隊が、上記の情報源が説明しているように、台湾の戦時中の状況でその能力を成功裏に適用できたとすれば、台湾の通信は劣化し、輸送とエネルギーネットワーク(電力網を含む)は中断され、政府と軍の通信ネットワークは著しく損なわれるか、誤った情報で操作され、市民と兵士は紛争に関する士気をくじくプロパガンダにさらされる可能性が非常に高い。

攻撃のインシデント
現実の偵察やスパイ活動の事例と比較すると、中国の破壊的なサイバー能力の具体的な例は少ない。 これは、中国が必要な能力を欠いているという証拠ではなく、この記事を書いている時点で、当局が能力を使用しないことを選択した証拠である。 とはいえ、中国のネットワーク部隊は、敵の重要なインフラを何度も標的にしてきたことは事実です。 台湾での事件を含む、いくつかのそのような事件の概要を以下に示します。

  • 2020年半ばに中国とインドの間で発生した国境での小競り合いの際、RedEchoは、インドの電力網の主要な要素であるインド内の少なくとも4つの地域負荷配送センターと2つの州配送センターを標的にしました。 また、高圧送電変電所や石炭火力発電所も対象としました。 この活動は、この重要なインフラストラクチャに対する将来の潜在的な攻撃をサポートするため、または中国の能力を示すための事前配置の一形態であった可能性があります。
  • 台湾の国営エネルギー企業であるCPC Corporationは、前述の2020年の米国司法省によるAPT41の起訴状で名前が挙げられた人物による2020年半ばのランサムウェア攻撃の標的となりました。これは、MSSとの緩やかなつながりを示唆しています。 この攻撃は、2020年の台湾総統選挙で蔡英文総統が勝利したことを受けてのものだった。 ランサムウェア攻撃は通常、金銭的な動機によるものですが、支払いの要求はなく、攻撃が破壊的な意図を持っていたという証拠がいくつかあります。 この攻撃により、会社のファイルが暗号化および削除され、その結果、CPC燃料ポンプでの顧客の支払いオプションが損なわれました。 ロシアやイランと関係があると思われるサイバー脅威アクターも、ランサムウェアを装った破壊的なマルウェアを使用したと報告されています。
  • 2011年後半から2012年後半にかけて、中国と関係のあるさまざまな脅威アクターとAPT1(旧参謀本部第3部の人民解放軍部隊61398と報じられている)は、米国の天然ガスパイプライン事業者13社に侵入し、パイプライン管理システムに関連する情報を盗むことに成功しました。これは、「パイプラインを物理的に損傷したり、パイプラインの運用を妨害したりする」能力の開発を支援するためと思われます。

政治的および地政学的な懸念事項をめぐる中国と台湾および韓国との対立は、中国を拠点とする脅威アクターによるサイバー攻撃の同様のパターンによって特徴づけられており、外国政府や非政府組織の機能を損ない、低下させています。 台湾に関しては、2022年8月のナンシー・ペロシ氏の訪問に対する中国の対応に伴って、上述したように、政府や公共の場に対するDDoS攻撃や改ざん攻撃が相次ぎました。 これは、2017年に韓国が米国から終末高高度防衛(THAAD)バッテリーを受け入れることを決定した後の出来事と非常によく似ています。 韓国外務省は、この決定の前後の期間にDDoS攻撃やその他のサイバー攻撃やハッキングの試みが急増しました。 THAAD展開のための土地供給に合意した企業、ロッテグループ、およびその関連会社に属するウェブサイトも、DDoS攻撃と改ざん攻撃の被害に遭った。 当時、ウォール・ストリート・ジャーナルの記事は、FireEyeの防諜分析ディレクターのインタビューを掲載し、トント・チーム(中国人民解放軍と報じられている)、APT10(MSSと関連していると報じられている)、そして愛国的なハッカーが「韓国政府(および)軍、防衛企業、そして大手コングロマリット(ほぼ間違いなくロッテ・グループ)に対するさまざまな攻撃」の背後にいると主張した。 台湾に対する攻撃は、愛国的なハッカーの仕業である可能性が高いと評価されている。

他にも、南シナ海における中国のフィリピンやベトナムとの海事・領土紛争にも、愛国的なハクティビズムの可能性が見られる。

from_coercion_to_invasion_the_theory_and_execution_of_china_cyber_activity_figure_2a.png from_coercion_to_invasion_the_theory_and_execution_of_china_cyber_activity_figure_2b.png

図2:2022年8月にナンシー・ペロシ氏が台湾を訪問したことを受けて、公共テレビ画面上で行われた改ざん攻撃。 上:台湾鉄路管理局の駅の画面は、訪問を中国の主権に対する「深刻な挑戦」と宣言し、ペロシ氏を歓迎する人々は「人々によって判断される」と警告しています。 下:7-Elevenの画面には「戦争屋ペロシは台湾から出て行け」と書かれている(出典:台湾ニュース)

今後の展望

台湾、米国、その他の関連国のサイバーセキュリティ組織や軍事計画立案者は、中国のネットワーク偵察に対する防御を強化し、平時と戦時の両方で攻撃に備えることをお勧めします。 台湾を標的とした平時の中国のサイバー脅威活動には、台湾の独立に向けた動きを防ぐことを目的とした強制的な取り組みが含まれる可能性が非常に高いです。戦時中の中国のサイバー脅威活動には、台湾に対する広範な共同上陸作戦や封鎖作戦の一環として、情報の支配権を奪取することを目的としたサイバー戦争の取り組みが含まれることはほぼ間違いない。 ネットワーク偵察に関しては、サイバーセキュリティと軍事計画立案者は、ネットワークスキャン、フィッシング、ドメインスプーフィング、ゼロデイ、およびその他のツールを使用する中国のネットワーク偵察作戦に備え、情報を収集し、将来のネットワーク攻撃に備える必要があります。 ネットワーク攻撃に関して、計画立案者は、軍事および民間の情報システム、および重要なインフラストラクチャの機能を混乱、損傷、または破壊することを目的とした脅威に備える必要があります。 サイバーセキュリティと軍事計画立案者は、準備の一環として、ネットワーク部隊と兵器を開発するための中国全土の取り組みを監視する必要があります。これらの取り組みは、中国のネットワーク偵察と攻撃の特性と有効性に影響を与えるためです。

関連