見えないスパイ：中国のサイバー作戦が暴いたもの

メールを一通開いただけで、あなたの居場所が相手に知られる。そのメールに添付ファイルも不審なリンクもない。ただ、1×1ピクセルの透明な画像が埋め込まれているだけだ。

「Shadow-Earth-053」とは何か

2026年5月1日、サイバーセキュリティ企業 Trend Micro の研究者たちが、これまで記録されていなかった中国系諜報作戦を公表しました。「Shadow-Earth-053」と命名されたこの作戦は、少なくとも2024年12月から活動しており、パキスタン、タイ、マレーシア、インド、ミャンマー、スリランカ、台湾の政府省庁や防衛関連企業に侵入。さらにNATO加盟国であるポーランドの政府・防衛ネットワークにも到達し、ジャーナリストや海外在住の民主化活動家も標的に含まれていました。

この作戦を他の中国系サイバー活動と一線を画するのは、その「二重構造」です。一方では、パッチが当たっていない Microsoft Exchange サーバーや IIS サーバーの脆弱性（「ProxyLogon」など）を悪用して政府・防衛ネットワークに侵入し、カスタム製のバックドアと長期滞在型マルウェアを設置する古典的な諜報活動を展開しました。もう一方では、「Glitter Carp」「Sequin Carp」と呼ばれる二つのフィッシングキャンペーンを通じて、ウイグル人、チベット人、台湾人、香港出身の批判的活動家や調査報道ジャーナリストを監視・沈黙させようとしました。

フィッシング手法は巧妙でした。知人や大手テクノロジー企業からのセキュリティ警告を装ったメールを送り、本文中に1×1ピクセルのトラッキング画像を埋め込む。受信者がメールを開いた瞬間、送信者側には「開封された」という通知と、受信者のデバイス情報および大まかな位置情報が届く仕組みです。その後、偽の認証ページに誘導してログイン情報を盗み取ります。標的の約半数は、関連する別の作戦「Shadow-Earth-054」にも同時に狙われており、複数の情報収集チームが連携していた可能性が示唆されています。

なぜ今、これが重要なのか

この作戦の公表からわずか数日前、オランダの軍事情報機関が衝撃的な評価を発表していました。中国の攻撃的サイバー能力が近年急速に向上した結果、アメリカと同等の水準に達した、というものです。

広告

広告掲載について

[email protected]

広告

これは偶然の一致ではありません。習近平国家主席は2014年以来、「サイバー強国」建設を国家の中核目標に掲げてきました。その実現に向けた制度改革は着実に進んでいます。2015年には人民解放軍（PLA）の大規模改革の一環として「戦略支援部隊」を創設し、サイバー・電子戦・宇宙能力を一元化。2024年にはさらに踏み込んで戦略支援部隊を解体し、独立した「サイバー空間部隊」を新設しました。これにより、ツールとインフラの適応速度が飛躍的に高まり、2025年を通じてモジュール型マルウェアの開発・展開が加速しています。

予算面でも、中国の2026年度国防予算は前年比7%増の約2,750億ドル（約40兆円）に達し、サイバー能力への明示的な資金配分が含まれています。民間の請負業者の関与も見逃せません。民間企業が新ツールをテストし作戦を実行することで、北京は一定の「距離」を保ちながら柔軟性を確保できます。アメリカの情報コミュニティが発表した「2026年年次脅威評価」も、中国が米国政府・民間セクター・重要インフラに対して最も活発かつ持続的なサイバー脅威であり続けていると確認しています。

日本にとっての意味

Shadow-Earth-053 の標的リストに日本は含まれていません。しかし、この作戦が示す「グレーゾーン」戦術は、日本の安全保障環境に直接的な示唆を持ちます。

同盟ネットワークへの影響という観点では、クアッドの中核を担うインドが繰り返し標的にされており、共同海軍演習に関する情報が漏洩するリスクが生じています。日本もクアッドの一員として、インドとの情報共有や共同作戦立案を深化させている最中です。インドの防衛省が侵害されていれば、その影響は日本にも波及しうる。

在日外国人コミュニティの問題も無視できません。日本には約3万人のウイグル系住民や数千人のチベット系住民が暮らしており、今回の作戦が標的にした「海外在住の批判的活動家」のカテゴリーに該当する人々です。日本政府がこうした人々をデジタルな越境弾圧からどう守るか、明確な方針はまだ確立されていません。

企業セキュリティの観点では、ソニー、トヨタ、NTTなどの大手企業がアジア全域に事業拠点を持ち、今回標的となった国々のサプライチェーンと深く結びついています。パッチ未適用の Microsoft Exchange サーバーの悪用という手法は、日本企業にとっても他人事ではありません。実際、日本では中小企業を含む多くの組織でサーバーパッチの適用が遅れがちであることが、長年の課題として指摘されてきました。

視点を変えると、北京の立場からすれば、この作戦はいたって合理的です。軍事的衝突なしに情報を集め、海外の批判的声を封じ、同盟国間に摩擦を生む。「認知領域作戦」という概念を中国軍の戦略文書が明示的に掲げているように、サイバー空間は単なる情報収集の場ではなく、相手が何を考え、何を語るかを形成する場として位置づけられています。

一方、標的となった国々の側では、防衛省や外務省のネットワーク管理者たちが、今ごろ自らのシステムのログを見直しているかもしれません。ポーランドの事例が示すように、欧州のNATO加盟国でさえ、中国のサイバー諜報活動の射程に入っている。日本の防衛省が2022年に中国系ハッカーによる侵害を受けていたことが後に報じられた事実も、記憶に新しいところです。