中国のハッカー集団は今、日本の何を狙っているのか。グループ別の標的・手口・日本固有の脆弱性を最新情報に基づき日本語で初めて体系的に分析した、政策担当者・報道関係者のための実践的レポート。
新幹線も霞が関も狙われている
-中国政府系APTグループの活動分析と日本の重要インフラ脆弱性の検証―
What is China’s hacker network targeting in Japan right now? This is the first systematic analysis in Japanese of each group’s targets, tactics, and Japan-specific vulnerabilities — a practical report for policymakers and journalists, based on the latest intelligence.
Shinkansen and Kasumigaseki Are Both Under Threat
ーAnalysis of Chinese State-Sponsored Hacker Units and an Assessment of Vulnerabilities in Japan’s Critical Infrastructure
2026年4月5日
発行:一般財団法人 日本危機管理研究所
*英訳版は日本語版の後に掲載しています。/ The English translation follows the Japanese text below.
【本稿のねらい】
近年、中国政府と関連するとされる高度持続的脅威(APT: Advanced Persistent Threat)グループによるサイバー攻撃が、日本を含む世界各地で深刻な問題となっている。特に2024年から2025年にかけて、米国の通信大手9社への大規模侵入(Salt Typhoon)や重要インフラへの長期潜伏(Volt Typhoon)、政府機関向けソフトウェアサプライチェーンへの攻撃(Silk Typhoon)が相次いで明らかとなり、国際的な安全保障上の懸念が急速に高まっている。[1,3]
日本においても、警察庁・内閣サイバーセキュリティセンター(NISC)が2025年1月に「MirrorFace(Earth Kasha)」グループに対する共同注意喚起を発出するなど、中国系APTによる脅威は現実かつ喫緊の問題となっている。[1]
本稿は、当財団が既に発表した中国政府系ハッカーに関する先行レポートを基礎としつつ、以下の三点を追加することをねらいとする。第一に、主要APTグループの類型を最新インテリジェンスに基づき再整理すること。第二に、各グループが日本を標的にした場合に脆弱となる具体的なインフラを、米国等との比較を交えてグループ別に検証すること。第三に、各国・地域における具体的な活動事例を網羅的に整理し、読者が自組織のリスク評価に活用できる実践的知見を提供することである。対象読者は、サイバーセキュリティの実務者・政策担当者・研究者とする。
なお、本稿には以下の点で先行研究にはない独自の貢献がある。
第一に、中国政府系APTの脅威を扱った主要な先行研究の大多数は英語で発表されており、日本語で体系的に整理した資料はほとんど存在しない。本稿は、政策担当者・政治家・報道関係者を含む幅広い日本語圏の読者が最新の脅威動向に直接アクセスできる資料を提供する点で、実務的な空白を埋めるものである。
第二に、各APTグループの特性と「日本固有のインフラ構造(鉄道・港湾の高密度集中性、半導体産業の集積等)」とを対応させた脆弱性マッピングは、管見の限り本稿が初めて試みるものである。米国中心の既存分析をそのまま日本に適用することの限界を補い、日本が直面する固有リスクを具体的に示した点に本稿の核心的な新規性がある。
- キーワード
| 日本語 | English |
| 高度持続的脅威 | Advanced Persistent Threat (APT) |
| 中国政府系ハッキンググループ | Chinese State-Sponsored Hacking Groups |
| 重要インフラ攻撃 | Critical Infrastructure Attack |
| サイバースパイ活動 | Cyber Espionage |
| 環境寄生型攻撃 | Living off the Land (LotL) |
| 国家安全部(MSS) | Ministry of State Security (MSS) |
| 人民解放軍サイバー部隊 | PLA Cyberspace Force |
| サプライチェーン攻撃 | Supply Chain Attack |
| パブリック・アトリビューション | Public Attribution |
| 半導体・先端技術の知財窃取 | Intellectual Property Theft in Semiconductors |
| 能動的サイバー防御 | Active Cyber Defense (ACD) |
注:【先行研究のレビュー】【用語集】については巻末に記しています。
目 次
1. 中国サイバー攻撃の組織構造 ー軍・スパイ機関・民間企業が連携して攻撃を担う仕組みとは
【主要グループの類型と特徴】
Volt Typhoon/Salt Typhoon/Silk Typhoon/MirrorFace/APT41
2. グループ別・日本の脆弱インフラ検証 ー電力・鉄道・通信・半導体――日本のどのインフラが狙われやすいか
◆ 日本特有の構造的脆弱性:なぜ鉄道・港湾・半導体が優先標的か
3. 各国・地域における活動事例 ー米国・日本・欧州・アジア各地で実際に起きた攻撃事件の記録
■ 米国 ■ 日本 ■ 欧州・英国 ■ アジア太平洋
4. 最新の攻撃トレンド(2024〜2025年) ー痕跡を残さず長期間潜伏する――検知が難しくなった攻撃手法の最前線
5. 新興脅威・横断的論点 ー通信網への長期潜伏・宇宙インフラ攻撃・再生可能エネルギー機器の盗聴疑惑など新たな脅威
5-1. 通信会社基幹システムへの長期潜伏(BPFdoor)
5-2. 中国の国家計画とハッキング標的の連動
5-3. 衛星・宇宙インフラへの複合攻撃
5-4. 中国製再生可能エネルギー機器の盗聴疑惑
5-5. 米国・国際社会の反撃と制裁
5-6. 第三国を隠れ蓑にする「傭兵ハッカー」
5-7. 日米防衛同盟の機密ネットワーク侵害
5-8. 中国サイバー攻撃の急拡大――2024年の統計
6. 日本への示唆 ー攻撃者を名指しで公表する勇気・守りの発想転換・官民連携・人材育成――日本が取るべき6つの行動
(1)攻撃者の公式名指しによる抑止力強化
(2)通信機器・調達先の脆弱性管理強化
(3)「すでに侵入されている」前提の防衛思考への転換
(4)政府・企業・同盟国の情報共有体制づくり
(5)高度なサイバー専門家の育成
(6)国主導の人材パイプライン構築
- エグゼクティブサマリー
- 本稿は、当財団の先行レポート「中国政府系ハッカーの動向」を発展・補強した続編レポートとして位置付けられる。先行レポートが概括的な脅威動向を示したのに対し、本稿はグループ別の詳細分析・日本特化のインフラ脆弱性検証・各国事例の体系化・先行研究レビューを追加した。
- 2024〜2025年にかけて「Typhoon」ファミリーと呼ばれるグループ群(Volt・Salt・Silk・Flax各Typhoon)が相次いで実被害を引き起こし、米国・欧州・日本を含む同盟国への脅威が顕在化した。
- 攻撃目的は大きく「情報収集(スパイ活動)」「重要インフラへの事前埋め込み(有事対応準備)」「知的財産窃取」の三類型に分類できる。
- 手法面では、正規ツールのみを用いる「環境寄生型(LotL)」技術の採用により、従来型のマルウェア検知を回避する傾向が強まっている。
- Salt Typhoonによる米通信事業者侵害では、少なくとも9社・80か国・200以上の組織が被害を受け、法執行機関の 合法的盗聴インフラ(CALEA)までが侵害される前例のない事態が生じた。[3,4]
- 日本はアジア太平洋地域において台湾・韓国に次ぐ攻撃標的であり、政府機関・防衛産業・研究機関が集中的に狙われている。
- 日本固有のインフラ構造(鉄道・港湾の高密度集中型・半導体産業の集積)は、Volt Typhoon型の長期潜伏・破壊工作に特に脆弱であり、MirrorFaceは防衛・研究機関に、Salt Typhoonは通信キャリアに対して現実的脅威をもたらす(本稿第IV章 補論参照)。
- 「ハッカー請負業者」(i-Soonなど)の存在により、国家機関と民間の境界が曖昧化し、アトリビューション(攻撃帰属)の複雑化が進んでいる。
1. 中国サイバー攻撃の組織構造
軍・スパイ機関・民間企業が連携して攻撃を担う仕組みとは
中国のAPT攻撃は、単一の組織によるものではなく、軍・諜報機関・民間請負業者が有機的に連携する重層的なエコシステムによって支えられている。Recorded Futureによれば、人民解放軍サイバー部隊(PLA Cyberspace Force)と国家安全部(MSS)の2つの主要機関が、約50の攻撃組織と攻撃ツールの共有・流通を通じて協力関係を形成している。[10]
2025年3月、米司法省は中国人12名を起訴し、その中にはMSSおよび公安部(MPS)の関係者に加え、民間サイバーセキュリティ企業「安洵(i-Soon)」の従業員が含まれていた。i-Soonはいわゆる「ハッカー請負業者」として、政府の指示を受けてサイバー攻撃を実行する一方、盗んだ情報を政府機関に売却する双方向のビジネスモデルで運営されていた。この構造により、国家の直接関与の証拠を隠蔽しつつ、攻撃能力を外部化することが可能となっている。[2]
【主要グループの類型と特徴】
■ Volt Typhoon(ボルトタイフーン):重要インフラ破壊工作型
| 別称 | VANGUARD PANDA、BRONZE SILHOUETTE、VOLTZITE |
| 関連機関 | 人民解放軍サイバー部隊(PLA Cyberspace Force) |
| 活動開始 | 2021年中頃以降 |
| 主な標的 | 米国・同盟国の電力・通信・交通・軍事インフラ |
| 主な手口 | 環境寄生型(LotL)攻撃、SOHO機器ボットネット「KV Botnet」 |
Volt Typhoonは、中国とアメリカが将来的に衝突した際に米軍の動員を妨害する目的で、重要インフラに長期潜伏することを戦略的目標としていると米国当局は分析している。特徴的なのは、カスタムマルウェアをほとんど使用せず、PowerShell・WMIC・netshといったWindowsに標準搭載されたツールのみを用いる「環境寄生型」アプローチである。これにより、エンドポイント検知・応答(EDR)製品による検知を巧みに回避する。[7]
グアム島における電力・通信インフラへの侵入が確認されており、同島が米軍のインド太平洋戦略上の重要拠点であることと符合する。2024年1月には米FBIが裁判所の許可を得て「KV Botnet」を解体したが、2025年1月時点で米国内の侵入は100件以上に達していた。[7]
■ Salt Typhoon(ソルトタイフーン):通信傍受・対諜報型
| 別称 | FamousSparrow、GhostEmperor、Earth Estries、UNC2286 |
| 関連機関 | 国家安全部(MSS) |
| 活動開始 | 2019年頃〜(2024年以降に大規模被害が表面化) |
| 主な標的 | 通信事業者・政府高官の通信システム・法執行機関 |
| 主な手口 | エッジデバイスの既知脆弱性悪用、GhostSpider/Masol RATなど |
Salt Typhoonは、2024年後半に米国の通信大手9社(AT&T・Verizon・T-Mobile等)への侵入が判明し、最大の注目を集めた。同グループは、米国の法執行・情報機関が利用するCALEA(通信傍受法)対応システムにまで侵入し、政府高官・政治関係者を含む多数のメタデータを窃取したとされる。[3]
80か国・200以上の組織が被害を受けており(CISA・FBI・NSA共同勧告)、トレンドマイクロは「最もアグレッシブな中国APTの一つ」と位置付けている。2025年1月にはFBIが懸賞金1,000万ドルを設定するなど、米政府は極めて重大な脅威と認識している。日本においても、2026年8月には米NSAが警察庁・内閣サイバー統括室と共同でSalt Typhoonへの注意喚起を発出した(予定)。[3,4]
■ Silk Typhoon(シルクタイフーン)/ APT27:知的財産・政府情報窃取型
| 別称 | APT27、Emissary Panda、Bronze Union、Iron Tiger |
| 関連機関 | 国家安全部(MSS)・公安部(MPS) |
| 活動開始 | 2010年代〜継続 |
| 主な標的 | 防衛・航空宇宙・ハイテク・政府機関・シンクタンク |
| 主な手口 | スピアフィッシング、VPN脆弱性悪用、ShadowPad等の専用マルウェア |
APT27(Silk Typhoon)は2010年代から活動する中国を代表するスパイグループであり、防衛・航空宇宙・政府機関を主な標的として知的財産を継続的に窃取してきた。2024年後半には米財務省のネットワークへの侵入が判明し、2025年3月の米司法省による起訴でも中心的な役割を果たしたことが明らかとなった。民間請負業者i-Soonとも深く連携しており、政府機関と民間企業の中間に位置する「グレーゾーン」で活動する典型例である。[2]
■ MirrorFace(ミラーフェイス)/ Earth Kasha(APT10傘下):対日特化型
| 別称 | Earth Kasha(APT10の傘下グループ) |
| 関連機関 | 国家安全部(MSS)との関連が疑われる |
| 活動開始 | 2019年12月〜 |
| 主な標的 | 日本・台湾の政府機関・防衛産業・研究機関 |
| 主な手口 | LODEINFO・ANELマルウェア、VPN侵入、スピアフィッシング |
MirrorFace(Earth Kasha)は、日本を最重要標的とする数少ないAPTグループの一つである。警察庁とNISCが2025年1月に共同注意喚起を発出し、2019年以降に日本の政府機関・防衛関連企業・シンクタンクに対する組織的な攻撃が継続していることを確認している。手口の変化が顕著で、初期はLODEINFOマルウェアによるスピアフィッシングを多用していたが、その後VPN機器の脆弱性を狙うネットワーク侵入型にシフト。さらに2024年にはAPT10時代に使用されていたANELマルウェアを復活させるなど、攻撃手法を状況に応じて巧みに使い分けている。2025年3月時点でも攻撃キャンペーンが継続中であることが確認されている。[1,4]
■ APT41(Brass Typhoon / Wicked Panda):二重任務型(スパイ+金銭)
APT41は、政府の諜報活動と金銭目的の犯罪活動を同時に実行するという稀有な「二重任務型」グループである。ヘルスケア・ゲーム・テクノロジー企業を標的に、政府の指示によるスパイ活動と並行してランサムウェア展開や不正送金を行う。ソフトウェア開発パイプラインへの侵入によるサプライチェーン攻撃を得意とし、署名済みバイナリを悪用した検知回避技術を多用する。[8]
2. グループ別・日本の脆弱インフラ検証
電力・鉄道・通信・半導体――日本のどのインフラが狙われやすいか
中国政府系APTが日本を標的にした場合、攻撃対象として想定されるインフラは、米国等との構造的差異を踏まえて分析する必要がある。米国では広大な国土・分散型インフラが前提であり、航空ネットワーク・石油パイプライン・軍事基地周辺の通信が主要標的となっている。これに対し、日本は高密度集中型のインフラ構造が特徴であり、攻撃の有効性・影響範囲が異なる。以下はグループ別の脆弱インフラ分析である。
| グループ | 日本で脆弱性が懸念されるインフラ | 米国との比較(主な標的の違い) | 警戒レベル |
| Volt Typhoon | 鉄道制御システム(新幹線・都市鉄道SCADA)、港湾物流(横浜・神戸の自動化設備)、電力グリッド(東京電力管内の変電所制御システム) | 米国:航空管制・石油パイプライン → 日本は鉄道・港湾への依存度が極めて高く、高密度集中型で被害波及が甚大 | ★★★★★ 最重要警戒 |
| Salt Typhoon | NTT・KDDI・SoftBankの基幹通信網、政府専用通信回線(霞が関ネットワーク)、5G基地局制御システム | 米国:CALEA盗聴システムが侵害済み → 日本でも警察・防衛省の通信傍受に相当する機能が狙われる可能性 | ★★★★★ 最重要警戒 |
| MirrorFace(Earth Kasha) | 防衛省・自衛隊関連のネットワーク、防衛産業(三菱重工・川崎重工等)の研究開発系システム、JAXA・理研等の安全保障関連研究機関 | 米国:国防請負業者・シンクタンク → 日本特化グループであり、安保3文書・F-35関連・宇宙・海洋政策情報が主ターゲット | ★★★★★ 最重要警戒 |
| Silk Typhoon(APT27) | 外務省・NISC・内閣官房等の中央官庁システム、在外公館の通信インフラ、日本企業の海外拠点VPN | 米国:財務省・連邦機関 → 日本では外交暗号・海外インテリジェンス網が主な窃取対象 | ★★★★☆ 要警戒 |
| APT40(Gingham Typhoon) | 海洋・造船分野(IHI・三井E&S等)のR&D、海上自衛隊関連の技術情報、太平洋シーレーン管理システム | 米国:海軍・海事技術 → 日本は造船技術・潜水艦関連技術・海峡管制情報が標的になりやすい | ★★★★☆ 要警戒 |
| APT41(Brass Typhoon) | 国内大手製薬・医療機器メーカー(武田・オリンパス等)、半導体・先端材料企業(東京エレクトロン・信越化学等)、ゲーム・エンタメ産業のIPおよび課金システム | 米国:ヘルスケア・テクノロジー → 日本は「Made in China 2025」競合分野(半導体・バイオ)の知財が最優先ターゲット | ★★★☆☆ 中程度警戒 |
| Mustang Panda(Earth Preta) | 外務省・NGO・宗教団体(チベット・ウイグル支援関連)、自衛隊関連の外部委託ネットワーク機器、USB接続機器を介した閉域系システム | 米国:シンクタンク・NGO → 日本は人権・外交政策関連団体のほか、空自・海自の未統合系端末が狙われやすい | ★★★☆☆ 中程度警戒 |
◆ 日本特有の構造的脆弱性:なぜ鉄道・港湾・半導体が優先標的か
日本のインフラが米国と異なる点は「集中性」と「相互依存性」にある。新幹線・都市鉄道網は一点障害が国全体の物流・経済活動に波及する高密度ネットワークであり、SCADAシステムの旧世代機器が混在する環境は、Volt TyphoonのLotL型攻撃に対して特に脆弱である。2025年のNISCサイバーセキュリティ年次報告書では、重要インフラのインシデントのうちサイバー攻撃が占める割合が50.3%に達しており(2024年度)、攻撃面の拡大が顕在化している。[1]
通信分野においては、Salt Typhoonが米国で実証した「エッジデバイス(Cisco/Palo Alto/Fortinet)の既知脆弱性を起点とした侵入→通信事業者のコアネットワークへの横移動」という手口は、日本の通信キャリアにも等しく適用可能である。TeamT5の調査(2024年)では、日本国内でFortigate・Citrix・ArrayVPNの脆弱性を狙った大規模攻撃が既に観測されており、警戒が必要な状況にある。[9]
半導体・先端材料分野では、APT41が中国の「Made in China 2025」計画の競合分野を優先標的としており、東京エレクトロン・信越化学・ソニーセミコンダクタ等の日本企業は、製造装置・素材の知財という観点で国際的にも最高価値の窃取対象である。防衛省のサイバーセキュリティ強化(能動的サイバー防御法、2025年)は一定の改善をもたらすが、中小の防衛サプライヤーや大学研究室への対策が追いついていない点が構造的課題として残る。[8]
3. 各国・地域における活動事例
米国・日本・欧州・アジア各地で実際に起きた攻撃事件の記録
以下では、グループ横断的に、地域ごとの具体的な活動事例を整理する。これらは公開された政府発表・セキュリティベンダーレポートに基づく。
■ 米国:通信・重要インフラへの多層侵攻
| 時期 | グループ | 事案概要 |
| 2021〜2024年 | Volt Typhoon | グアム島の電力・通信・防衛関連ネットワークへ長期潜伏。米国内で100件以上の侵入が確認された。KV Botnetを用いたSOHOルーターへの組織的感染も実施。[7] |
| 2024年3〜12月 | Salt Typhoon | AT&T・Verizon・T-Mobile・Lumen等、通信大手9社に侵入。法執行機関の合法的盗聴インフラ(CALEA)に到達し、政府高官・選挙陣営を含む多数の通話メタデータを窃取した。[3] |
| 2024年後半 | Silk Typhoon(APT27) | 米財務省ネットワークへ侵入し機密情報の窃取を試みた。民間請負業者i-Soonとの連携も判明し、2025年3月の米司法省起訴につながった。[2] |
| 2024年3〜12月 | Salt Typhoon | 米陸軍州兵ネットワークに侵入し、14州のサイバー防衛組織の構成情報・管理者認証情報・ネットワーク図を窃取。将来のサイバー攻撃への足掛かりを確保した。[3] |
■ 日本:対日特化型APTによる継続的諜報活動
| 時期 | グループ | 事案概要 |
| 2022年7月 | MirrorFace(Earth Kasha) | 参議院選挙直前、与党関係者を含む日本の政治団体を標的とした「LiberalFace作戦」を実施。LODEINFOマルウェアを添付したスピアフィッシングにより認証情報・文書・メールを窃取。[1] |
| 2023〜2024年 | MirrorFace(Earth Kasha) | 防衛産業・外交機関・シンクタンク・大学への攻撃を継続。2024年にはAPT10が過去に使用していたANELマルウェアを復活させ、スピアフィッシングの対象を拡大。[1,4] |
| 2024年(報道) | 中国系APT(複数) | 日本の外交機密文書の漏洩が2024年2月に報道された。NISCの内部ネットワークへの侵入も過去に確認されている。[19] |
| 2025年3月 | MirrorFace(Earth Kasha) | 日本・台湾の複数組織を標的とした新キャンペーンを確認。警察庁・NISC合同注意喚起(2025年1月)後も活動を継続していることが判明した。[1] |
■ 欧州・英国:政治・選挙・外交機関を標的
| 時期 | グループ | 事案概要 |
| 2021〜2022年 | APT31 | 英国の対中政策議員連盟(IPAC)へのメール攻撃を実施。英国選挙委員会への侵入にも関与したとして、英国・米国が制裁を発動。[17,18] |
| 2021〜2022年 | Mustang Panda | ウクライナ侵攻に合わせ、EU外交機関・ドイツ大使館関係者を標的にMalicious USBドライブ攻撃を展開。欧州委員会を装ったルアーで感染させるキャンペーンも確認された。[5] |
| 2024〜2025年 | DigitalRecyclers(中国系) | EU加盟国の政府機関を継続的に標的に、KMA VPNを介した匿名通信でRClient・HydroRShellバックドアを展開。ESETの2025年Q1レポートで詳述された。[5] |
| 2024〜2025年 | PerplexedGoblin(中国系) | 中央ヨーロッパの政府機関を対象に、ESETが「NanoSlate」と命名した新型バックドアを用いたスパイ活動を実施。[5] |
■ アジア太平洋:台湾・ASEAN・オーストラリアへの包囲網
| 時期 | グループ | 事案概要 |
| 2024年〜 | Earth Ammit(中国系) | 台湾のドローン産業サプライチェーンを標的に「TIDRONE」キャンペーンを展開。正規ソフトウェアへの悪意あるコード埋め込みと信頼チャネルを経由したビジネスSC攻撃の2手法を組み合わせた。[9] |
| 2024年3月 | Stately Taurus(Mustang Panda) | ASEAN・豪首脳会議(2024年3月)に合わせ、フィリピン・日本・シンガポール等を標的にマルウェアを作成・配布。会議日程に同期した攻撃タイミングが確認された。[6] |
| 2024年6月 | Volt Typhoon | シンガポールの大手通信事業者「Singtel」への侵入が確認された(2024年11月Bloomberg報道)。Singtelはマルウェアを駆除済みと発表した。[7] |
| 2024年(複数) | Mustang Panda | ミャンマー・フィリピン・ベトナム・カンボジア・台湾の政府機関を対象に、スピアフィッシングによる新型マルウェアDOWNBAIT/CBROVERキャンペーンを展開した。[5,6] |
| 2024年7月 | APT40 | オーストラリア・米・英など8か国のサイバー当局が共同勧告を発出。オーストラリア政府・企業ネットワークへの侵入事例が詳述され、新脆弱性を数時間以内に武器化する能力が示された。[3] |
| 2025年11月 | Salt Typhoon / Volt Typhoon | オーストラリア安全情報機構(ASIO)が、中国系ハッカーによる豪州の重要インフラ(通信網含む)への侵入試行を公式に確認。日本・欧州・カナダを含む同盟国へのキャンペーンと共通のTTPが観測された。[3,14] |
4. 最新の攻撃トレンド(2024〜2025年)
痕跡を残さず長期間潜伏する――検知が難しくなった攻撃手法の最前線
環境寄生型(LotL)の標準化:正規のOS・ネットワーク管理ツールのみを使用し、マルウェア検知システムを無効化する手法が中国系APT全般に定着しつつある。[7]
エッジデバイスの優先的標的化:Cisco・Palo Alto Networks・Fortinet等のVPN機器やファイアウォールの既知脆弱性を組織的に悪用する傾向が加速している。[3,9]
長期潜伏戦略の深化:Volt Typhoonが5年以上にわたりインフラに潜伏した事例に代表されるように、「今すぐ使わない」侵入拠点を蓄積する戦略が確認されている。[7]
サプライチェーン攻撃の高度化:Silk Typhoon・Earth Ammitによるドローン産業サプライチェーン侵害のように、直接標的ではなく委託先・部品供給業者経由での侵入が増加している。[2,9]
情報操作との複合化:サイバースパイ活動と情報操作(InfoOp)を組み合わせた複合攻撃が出現しており、単なる技術的問題を超えた戦略的脅威となっている。
5. 新興脅威・横断的論点
通信網への長期潜伏・宇宙インフラ攻撃・再生可能エネルギー機器の盗聴疑惑など新たな脅威
5-1. BPFdoor/Red Menshen:通信バックボーンへの「スリーパーセル」
通信会社の基幹システムに深く潜伏し、気づかれないまま盗聴し続ける新手口
2026年3月、米サイバーセキュリティ企業Rapid7は、中国系脅威グループ「Red Menshen」による世界的な通信事業者侵害キャンペーンを公表した。同グループが使用する「BPFdoor」はLinuxカーネル内部に潜伏するバックドアであり、通常の監視ツール(netstat等)では検知不能で、特定の「マジックパケット」を受信した時のみ起動するという特性を持つ。[11]
重要な点は、Salt Typhoonが通信企業のITレイヤー(メール・ネットワーク機器)を侵害したのに対し、BPFdoorは通信コア(加入者管理・認証・5G制御)のLinux基盤そのものに埋め込まれる点である。Rapid7は「これらは単にネットワークに侵入するのではなく、ネットワークに『居住』するように設計されている」と指摘している。4G・5Gコア機能を制御するKubernetes環境やHPE ProLiantサーバを偽装する最新亜種も確認されており、日本の通信大手が採用する5G基盤にも同等の脅威が存在する。[11]
5-2. 中国の五カ年計画とサイバー標的の連動性
中国の国家計画が優先する産業が、そのままハッキングの標的になっている
オーストラリア戦略政策研究所(ASPI)は2026年4月の論文で、中国の五カ年計画に列挙される優先技術分野と、その後に観測されるAPT攻撃の標的が高い相関を持つことを示した。第13次計画(2016〜2020年)が5G・通信インフラを優先した後、Salt Typhoon等が世界の通信事業者を標的にしたことはその典型例である。現在進行中の第14次計画(2021〜2025年)は半導体・AI・先端製造・量子技術を優先分野としており、これはAPT41(半導体知財窃取)の活動と整合する。次期第15次計画(2026〜2030年)が宇宙・衛星通信を優先するとの分析も存在し、日本のインフラ防衛担当者は、中国の計画文書をAPT標的の先行指標として活用すべきである。[12]
5-3. 宇宙インフラへの複合的攻撃(サイバー×電子戦×物理的手段)
衛星・宇宙通信も攻撃対象に――有事には日本の宇宙インフラも狙われる
米国家情報長官室(ODNI)および戦略国際問題研究所(CSIS)の分析によれば、中国人民解放軍は台湾有事を想定し、衛星通信の無力化を作戦の柱に位置付けている。手段は対衛星ミサイル・電子妨害(ジャミング)・サイバー攻撃・妨害衛星(近傍接近型)の四層から構成される。[13,14]
Volt Typhoonが米軍のグアム基地通信インフラを優先標的とした背景には、衛星通信の地上局・中継点を含む通信網全体の機能停止を有事に可能とするという目的がある。日本においてはJAXAの準天頂衛星(みちびき)システムや自衛隊・民間が共用する軍民両用衛星通信インフラが潜在的な攻撃対象となりうる。2024年には、JAXAへの不正アクセス事案が日本政府により公表されており、具体的なリスクが顕在化している。[13]
5-4. 中国製再エネ機器の「隠し通信機器」問題
太陽光発電設備に仕込まれた謎の通信装置――電力網を遠隔操作できる恐れ
【重要留意事項】 本節は技術的確認が進行中の事案を扱う。独立した第三者検証が完了していない情報を含むため、記述は一次報道の範囲に限定し、確定的な評価を控えている。
2025年5月、ロイター通信は、米国のセキュリティ専門家が中国製太陽光インバーターおよびバッテリーシステムの内部から、製品仕様書に記載されていない通信モジュールを発見したと報じた。これらのデバイスはセルラー無線等を含み、電力会社が設置するファイアウォールを迂回して外部と通信できる可能性があるとされる。[15]
米国エネルギー省は「これらが悪意のあるものかは未確定」として調査を継続している。2024年11月に複数の国でインバーターが中国から遠隔操作で無効化されたとされる事案も報告されているが、[15]
第三者による独立した確認は本稿執筆時点では得られていない。一方、NATO(2025年)はこの問題を公式に認識し加盟国に対し戦略的依存関係の見直しを要求、リトアニア(2024年11月)は100kW超の再エネ設備への中国製機器リモートアクセスを禁止する法律を制定した。日本においても多数のメガソーラー施設が中国製インバーターを導入しており、国会でも複数議員が安全保障上のリスクとして取り上げている。
5-5. FBI・Operation Winter SHIELD と国際制裁
米国・欧州が外交・法的手段で反撃――日本も制裁の枠組み整備が急務
FBIシカゴ支局は2026年3月、「Operation Winter SHIELD」と題したサイバーレジリエンス強化キャンペーンを開始し、重要インフラ事業者に対するセキュリティ基準の引き上げを呼びかけた。[16]
制裁面では、欧州連合(EU)が中国系ハッキンググループへの初の公式制裁を発動し、英国もXinbi市場等との関連で中国系サイバー犯罪者への制裁を実施した。これらは、サイバー防衛が技術的問題を超えた外交・法的手段として機能し始めていることを示す重要な政策的動向である。日本においても能動的サイバー防御法(2025年施行)を活用したアトリビューション公表と制裁の枠組み構築が急務である。[17,18]
5-6. シンガポール拠点・第三国経由ハッキング事案:国家と犯罪の境界線
第三国を隠れ蓑にする「傭兵ハッカー」――国家の関与を見えにくくする構造
2025年11月、シンガポール法廷は、虚偽の就労ビザで入国した中国・河南省出身の3名に対し禁固約28か月の判決を下した。3名は主犯のバヌアツ国籍のXu Liangbiao(逃亡中)が準備した拠点を使用し、ギャンブルサイトへの不正アクセス・2要素認証の迂回などを実行。摘発時には、オーストラリア・アルゼンチン・ベトナム・カザフスタンの政府機関データおよびPlugX等のAPT級マルウェアを保有していたことが判明した。[23]
注意が必要なのは、この事案が中国政府が直接指示したAPT攻撃とは異なる性質を持つ点である。検察側自身が「3名のハッカーは基本的にハッキングができなかった」と述べており、これは国家の高度技術部隊ではなく「サイバー傭兵」エコシステムの一例である。ただし以下の3点は重要な論点となる。
第一に、高コストの維持体制と暗号通貨による報酬が示す組織的な資金力。第二に、APT級ツール(PlugX)を犯罪的利用のために流用するという国家ツールの外部拡散の実態。第三に、「第三国の就労ビザを偽造して拠点化する」という手口が、国家関与の証拠を隠蔽しながら作戦展開できる構造的な利点を持つ点である。米司法省が指摘するi-Soonの構造と同様、本事案もサイバー犯罪と国家スパイ活動の境界が意図的に曖昧化されているエコシステムの一端を示している。
5-7. 日米防衛同盟の機密ネットワーク侵害:同盟の情報共有基盤への脅威
防衛省の最高機密ネットワークに数年間侵入――日米同盟の根幹を揺るがした事件
2023年8月、ワシントン・ポストは複数の現・元米国政府高官の証言として、中国人民解放軍のサイバー部隊が2020年秋以降、日本の防衛省が管理する最高機密レベルのネットワークに継続的に侵入していたことを報じた。NSAがこの侵害を発見し、NSA長官が元国家安全保障担当副補佐官とともに緊急来日し、当時の首相に直接報告する異例の対応が取られた。[19]
この事案が持つ戦略的重要性は二重である。第一に、侵害の対象が防衛省の「作戦能力・計画・弱点評価」といった最高機密情報であった点であり、PLAがこれらを入手していたとすれば日米共同作戦の根幹が危険にさらされていたことになる。第二に、CSIS(2025年6月)が指摘するように、中国系APTは「北京の執務時間帯に合わせて攻撃が増加し、中国の祝日には停止する」というパターンが観測されており、国家主導の組織的活動を強く示唆する。[19,20]
侵害後、日本はネットワーク防御を強化したが、米国側は依然として情報共有上のギャップへの懸念を持続しており、GSOMIAを含む日米インテリジェンス連携の強化が急務とされる。2025年に成立した能動的サイバー防御法は、この課題に対する日本の制度的回答の第一歩と位置付けられるが、完全施行には2027年まで猶予があり、その間の脆弱性が懸念される。[20]
5-8. 中国APT攻撃の急拡大:2024年の統計的証拠
2024年、中国のサイバー攻撃は件数・規模ともに急増――数字が示す脅威の現実
CSISの「Significant Cyber Incidents」データベースおよびODNIの年次脅威評価(2025年)は、中国APTの活動が2024年に質・量ともに急拡大したことを示している。主な統計的事実として、中国APTによるサイバースパイ活動は2024年に全体で150%増加し、特に金融・メディア・製造・産業セクターへの攻撃は最大300%増加したとされる(Recorded Future 2024年レポートによる推計値)。台湾への攻撃は1日当たり240万件(前年比2倍)に達し、政府システムへの成功した攻撃件数は前年比20%増を記録した(台湾国家安全局、2025年1月)。[10,14,21]
(注:上記の定量値は各機関が採用する測定方法・定義が異なるため、直接比較には慎重を要する。各数値の出典は脚注を参照のこと。)
SentinelOneのMatthew Pinesは、Salt Typhoonによる通信事業者侵害を「米国史上最悪の対諜報侵害」と評価し、MSS(中国国家安全部)が米国のスパイ網の全体像を把握できる状態になったと警告している。[3]
6.日本への示唆
攻撃者を名指しで公表する勇気・守りの発想転換・官民連携・人材育成――日本が取るべき6つの行動
(1)パブリック・アトリビューションの積極的活用
攻撃者を国として公式に名指しし、国際社会と連携して抑止力を高める
日本は近年、MirrorFaceに対する注意喚起など「パブリック・アトリビューション(公開帰属)」を始めているが、米英に比べると依然として抑制的である。攻撃者の特定と公開は抑止効果を持つとともに、国際的な連帯形成にも寄与する。五眼(Five Eyes)同盟国との協調を強化しつつ、国内での情報公開基準の整備と発信の積極化が求められる。[1,20]
(2)エッジデバイス・サプライチェーンの脆弱性管理強化
ルーターやVPN機器の穴をふさぎ、取引先経由の侵入も防ぐ
中国系APTはVPN機器・ルーター・ファイアウォール等のエッジデバイスの既知脆弱性を組織的に悪用している。政府機関・重要インフラ事業者においては、パッチ適用の迅速化に加え、ネットワーク構成の可視化と定期的な侵害痕跡(IoC)調査を制度化することが急務である。また、委託先・調達先のサプライチェーンセキュリティ評価の義務化も検討に値する。[3,9]
(3)「平時の潜伏」を前提とした防衛思考への転換
「すでに侵入されている」前提で守る――境界線の外に出た脅威への対応
Volt Typhoonの事例は、「すでに侵入されている可能性を前提とする」ゼロトラスト型の思考へのパラダイムシフトを強く促している。既存の境界型防御に加え、ネットワーク内部での異常行動を検知する振る舞い分析ツールの導入、および有事を想定した「サイバーレジリエンス」計画の整備が不可欠である。[7]
(4)官民・国際連携の制度化
政府・企業・同盟国が情報を共有し、一体となって対抗する体制づくり
中国系APTは政府・民間・軍の三層が有機的に機能するエコシステムを形成している。これに対抗するためには、防衛省・警察庁・NISCに加え、重要インフラ事業者・通信キャリア・セキュリティベンダーが参加する官民統合の脅威情報共有プラットフォームの整備が必要である。また、日米同盟の枠組みを活用した「サイバー防衛協力」の条約上の位置付け明確化も重要な課題である。
(5)人材・技術基盤の整備
高度な攻撃を見抜ける専門家を国として育て、防衛力の底上げを図る
「環境寄生型」攻撃への対処には、標準的なSIEM・EDRでは対応が困難であり、高度なフォレンジック解析・脅威ハンティング能力を持つ人材の育成が急務である。大学・研究機関・民間との連携を通じた体系的な人材育成プログラムの構築と、国際的な視点を持つサイバーインテリジェンス専門家の養成を国家戦略として推進すべきである。[22]
(6)中国のサイバー人材育成構造を直視した人材政策の抜本的転換
年間3万人超を育成する中国に対し、日本も国主導の人材パイプライン構築を
日本が中国のサイバー脅威に追いつけない構造的背景として、人材育成パイプラインの圧倒的な格差がある。Atlantic Councilが2024年10月に公表した報告書「Capture the (red) flag」は、この実態を初めて体系的に分析した。[22]
中国は年間50以上のCTF(Capture the Flag:サイバー攻防模擬競技)を政府主導で運営し、MPS・MSS・PLA・教育省がそれぞれ大学横断型の大会を後援している。最大規模の「網鼎杯(Wangding Cup)」の参加者は年間3.5万人超に達する。准決勝進出者は「国家サイバーセキュリティ人材データベース」に自動登録され、優秀者がMSS・MPS関連企業に送り込まれる採用パイプラインが制度化されている。2018年の政府指令では、参加者が大会中に発見した脆弱性情報の当局への強制報告義務が課されており、民間の「白帽子ハッカー」が発見したゼロデイも国家が系統的に収集している。[22]
| 比較軸 | 中国 | 日本(現状と課題) |
| 大会規模・数 | 年間50以上(政府主導)。Wangding Cup参加者3.5万人超 | 民間・大学主催中心。政府主導の統一的体系なし。規模・数ともに大幅劣後 |
| カリキュラム連携 | CTF参加が大学成績評価・単位認定と連動 | 競技とカリキュラムの連動が弱く、実践スキル評価体系が未整備 |
| 採用パイプライン | 国家人材DBに競技成績で自動登録→政府・軍・情報機関へ優秀者を迅速供給 | 政府・防衛省への制度化された人材供給経路なし。セキュリティクリアランス制度(2024年)は緒に就いたばかり |
| ゼロデイ収集 | 2018年指令:発見脆弱性の当局への強制報告義務。ゼロデイを国家備蓄として体系化 | 法的強制力のある脆弱性報告制度なし |
| 国際競争力 | DEF CON CTFで毎年トップ12常連。Pwn2Ownでは賞金の最大79%を中国チームが獲得(2019年まで) | 組織的なトップ国際大会への参加・チーム育成体制が不十分 |
日本が取るべき具体的措置として次の3点を提言する。第一に、経産省・総務省・防衛省・文科省が共同で「政府認定CTF大会」制度を創設し、大学の情報工学・セキュリティ系学科の単位認定と連動させること。第二に、防衛省・警察庁・NISCが共同で大会上位者の「人材ファストトラック」制度を整備し、セキュリティクリアランス取得支援と組み合わせて官民間の人材流動を促進すること。第三に、攻撃的なサイバー演習(レッドチーム)を自衛隊・重要インフラ事業者合同で定期化し「防御側が攻撃の思考を理解する」実践的訓練を制度化すること。
- 補論 先行研究レビュー
【本セクションの位置付け】 本稿は政策・実務向けレポートであるが、精度向上のため、本稿が依拠する主要先行研究の位置付けを整理する。
1. 国家機関・政府発表
警察庁・NISCによる「MirrorFace(Earth Kasha)」共同注意喚起(2025年1月)[1]は、日本政府が公式にAPT帰属を発表した最も包括的な公開文書であり、本稿における対日攻撃の事実認定の基礎としている。米国司法省による中国人12名の起訴状(2025年3月)[2]は、i-SoonおよびMSS関係者の連携構造を一次資料として示している。CISA・FBI・NSAによるSalt Typhoon共同勧告(2025年)[3]は通信事業者被害の技術的詳細を公式に確認している。
2. 民間インテリジェンス企業・セキュリティベンダー
Recorded Future(2024年)[10]はPLAとMSSの協力構造を体系的に分析した最も包括的な民間レポートの一つである。Trend Micro(2025年)[4]は国内標的型攻撃の技術的詳細を提供し、ESET(2025年Q1レポート)[5]は欧州における中国系APTの最新活動を記録している。Microsoft Threat Intelligence(2023〜2024年)[7]によるVolt Typhoon分析は、LotL技術の詳細を技術コミュニティに初めて広く示した報告として位置付けられる。TeamT5(2024年)[9]はアジア太平洋地域の脅威情報において独自の現地調査を行っており、本稿の日本・台湾関連記述に援用している。
3. シンクタンク・学術研究
CSIS「Significant Cyber Incidents」データベース(継続更新)[21]は、本稿が活動事例を整理する際の主要な横断的参照源である。Atlantic Council(Dakota Cary・Eugenio Benincasa, 2024年10月)[22]による中国CTFエコシステム分析は、人材育成パイプラインに関する最初の体系的な英語圏研究であり、本稿第V章(6)の主要根拠としている。ASPI(2026年4月)[12]による五カ年計画とAPT標的の相関分析は、本稿5-2節の根幹を成す。
4. 先行研究の限界と本稿の位置付け
上記先行研究は大多数が英語で発表されており、日本語圏の政策・実務コミュニティへのアクセシビリティに課題がある。また、グループ横断的に「日本特有のインフラ構造」との脆弱性マッピングを行った先行研究は管見の限り存在しない。本稿は一次調査(独自インタビュー・ログ分析)を含まない文献統合型レポートであるが、日本語での体系的整理という点に独自の貢献がある。なお、本稿で使用する「重大インシデント」「被害組織数」等の定量的主張は、各注で明示する一次資料の報告値に基づくものであり、独自の計測値ではない。
- 参考資料・脚注
【凡例】 本稿の文中脚注〔注N〕は以下の番号に対応する。各引用は発行機関の原典情報を示す。
[1] 警察庁・内閣サイバーセキュリティセンター(NISC)「MirrorFace(Earth Kasha)に対する注意喚起」2025年1月。本稿の対日攻撃記述の主要一次資料。
[2] 米国司法省(DOJ)「中国人ハッカー12名起訴に関するプレスリリース」2025年3月5日。i-SoonおよびMSS・MPS関与の一次資料。
[3] 米国サイバーセキュリティ・インフラセキュリティ庁(CISA)・FBI・NSA「Salt Typhoon共同勧告」2025年。被害9社・80か国・200組織超の数値の一次出典。
[4] Trend Micro「国内標的型攻撃分析レポート2025年版」トレンドマイクロ株式会社。
[5] ESET「APT活動レポート 2024年第4四半期〜2025年第1四半期」ESET Research。DigitalRecyclers・PerplexedGoblin等の欧州事案の主要出典。
[6] Palo Alto Networks Unit42「ASEAN諸国:中国APTグループによる標的化」2024年。
[7] Microsoft「Volt Typhoon による米国の重要インフラへの攻撃」Microsoft Threat Intelligence, 2023-2024。LotL技術・KV Botnet・グアム事案の主要出典。
[8] Mandiant / Google Cloud「APTグループと脅威アクター」Google Cloud Security。APT41の二重任務型活動の主要出典。
[9] TeamT5「アジア太平洋地域のAPT脅威レポート2023」2024年。日本国内エッジデバイス脆弱性悪用の主要出典。
[10] Recorded Future「中国のAPT攻撃の先鋭化と攻撃を支える国家支援体制の実像」2024年。PLA・MSS協力構造・約50攻撃組織の数値出典。
[11] Rapid7 Labs「BPFdoor in Telecom Networks: Sleeper Cells in the backbone」2026年3月。BPFdoor・Red Menshen分析の主要出典。
[12] ASPI(オーストラリア戦略政策研究所)「Wondering where China’s cyber effort will go next? Just read the five-year plan」The Strategist, 2026年4月。五カ年計画とAPT標的相関の主要出典。
[13] CSIS(戦略国際問題研究所)「Securing Cyber and Space: How the United States Can Disrupt China’s Blockade Plans」2025年12月。宇宙・衛星通信攻撃分析の主要出典。
[14] ODNI(米国家情報長官室)「Annual Threat Assessment 2025」米国上院情報委員会向け証言、2025年。中国APT活動統計の出典の一つ。
[15] Reuters「Ghost machine: Rogue communication devices found in Chinese inverters」2025年5月14日。本稿5-4節の主要出典。なお、本事案は技術的検証が進行中であり、独立した第三者確認が得られていない点に注意。
[16] FBI Chicago Field Office「Operation Winter SHIELD Awareness Campaign」2026年3月(FBI公式発表)。
[17] Reuters「EU sanctions Chinese and Iranian companies for cyberattacks」2024〜2025年。EU制裁の出典。
[18] UK Government「UK sanctions Xinbi marketplace linked to Asian scam centers」2024〜2025年。英国制裁の出典。
[19] Washington Post「China hacked Japan’s classified defense cyber networks」2023年8月7日。日本防衛省機密ネットワーク侵害の調査報道。複数の現・元米政府高官の証言に基づく。
[20] CSIS「Norms in New Technological Domains: What’s Next for Japan and the United States in Cyberspace」2025年6月。
[21] CSIS「Significant Cyber Incidents」データベース(継続更新)。本稿の活動事例整理の横断的参照源。
[22] Atlantic Council「Capture the (red) flag: An inside look into China’s hacking contest ecosystem」Dakota Cary・Eugenio Benincasa, 2024年10月18日。中国CTFエコシステム・人材育成パイプラインの主要出典。
[23] CNA(Channel NewsAsia)「Chinese hackers who entered Singapore on fraudulent work permits were found with data of foreign governments」2025年11月。シンガポール拠点ハッキング事案の一次出典。
■用語集
| 用語 | 説明 |
| APT(Advanced Persistent Threat) | 高度持続的脅威。国家支援を背景に、特定の標的に対して長期間・高度な技術で攻撃を継続するグループまたはキャンペーンを指す。 |
| Living off the Land(LotL) | 「環境寄生型」攻撃。標的システムに標準搭載されたOS・管理ツール(PowerShell、WMI等)のみを用いてマルウェアの導入なしに攻撃を遂行する手法。検知が極めて困難。 |
| CALEA(Communications Assistance for Law Enforcement Act) | 米国通信傍受法。法執行機関が合法的に通信を傍受するための仕組み。Salt Typhoonはこのシステム自体に侵入し、逆用した。 |
| パブリック・アトリビューション | サイバー攻撃の帰属(犯人特定)を公式に発表・非難する外交・安全保障上の手段。抑止効果と国際連帯形成を目的とする。 |
| サプライチェーン攻撃 | 最終標的への直接侵入ではなく、信頼されたソフトウェア・ベンダー・部品供給業者を経由して標的に侵入する間接攻撃手法。 |
| SOHOルーター(Small Office/Home Office) | 中小規模オフィスや家庭向けの小型ルーター。セキュリティ管理が手薄になりやすく、中国系APTがボットネット構築に悪用するケースが多い。 |
| MSS(Ministry of State Security) | 中国国家安全部。中国の対外情報・スパイ活動を担う諜報機関。Salt Typhoon・APT27・APT31等の活動を支援していると分析されている。 |
| PLA Cyberspace Force | 人民解放軍サイバー部隊。2015年の軍改革で設立された戦略支援部を前身とし、Volt Typhoon等を運営していると米国当局は判断している。 |
| IoC(Indicators of Compromise) | 侵害痕跡。マルウェアのハッシュ値、悪意あるIPアドレス・ドメイン、不審なレジストリ変更等、攻撃を受けた証拠となるデジタル指標。 |
| ゼロトラスト(Zero Trust) | 「信頼するな、常に確認せよ」を原則とするセキュリティモデル。境界型防御の限界を克服し、内部ネットワーク上での横移動を制限する設計思想。 |
| スリーパーセル | 敵対勢力があらかじめ標的のシステム内部に潜入・潜伏させておく工作員や仕掛けのこと。平時は活動せず、有事や指令を受けたときに初めて動き出す。サイバー分野では、通信網や重要インフラに密かに埋め込まれたバックドア(裏口)プログラムがこれにあたる。 |
| Made in China 2025(中国製造2025) | 中国政府が2015年に発表した産業高度化戦略。半導体・AI・航空宇宙・バイオ・ロボットなど10分野で2025年までに世界トップレベルの製造大国となることを目標とする。本稿では、この計画が優先する分野の技術・知財が中国系ハッカーの窃取対象と高い相関を持つことを示している。 |
| マジックパケット | あらかじめ決められた特定の「合言葉」にあたる信号データのこと。BPFdoorのような潜伏型バックドアは、このマジックパケットを受信したときだけ起動し、それ以外は完全に沈黙しているため、通常の監視ツールでは存在すら検知できない。 |
| BPFdoor | 中国系ハッキンググループ「Red Menshen」が使用する高度な潜伏型バックドア(裏口)プログラム。通信会社のサーバーのOS深部に埋め込まれ、マジックパケットを受信したときだけ密かに起動する。通常の監視ツールでは検知がほぼ不可能で、「ネットワークに居住する」と表現されるほど長期間発覚しない点が最大の脅威。 |
| ESET | スロバキア発祥の大手サイバーセキュリティ企業。ウイルス対策ソフトの開発で知られるほか、国家支援型ハッキンググループの調査・分析レポートを定期的に発表しており、欧州における中国系APT活動の主要な情報源の一つ。 |
| スピアフィッシング | 特定の個人や組織を狙い撃ちにした標的型の詐欺メール攻撃。無差別に送られる一般的なフィッシングと異なり、受信者の氏名・役職・業務内容などを事前に調べた上で、実在する取引先や上司を装った巧妙なメールを送りつけ、マルウェアを仕込んだ添付ファイルを開かせたり、偽サイトに誘導したりする。 |
| i-Soon(安洵) | 中国の民間サイバーセキュリティ企業でありながら、中国政府機関(国家安全部・公安部)の指示を受けてサイバー攻撃を実行する「ハッカー請負業者」。盗んだ情報を政府に売却するビジネスモデルで運営しており、国家の直接関与の証拠を隠しながら攻撃能力を外部化する役割を担う。2025年3月、米司法省に起訴された。 |
| エッジデバイス | 企業や組織のネットワークの境界部分(エッジ)に設置される通信機器の総称。VPN装置・ファイアウォール・ルーターなどが該当する。インターネットと内部ネットワークの接続点に位置するため、ここに脆弱性があると攻撃者が内部に侵入する足がかりとなる。中国系APTはこれらの既知の脆弱性を組織的に悪用している。 |
| TeamT5 | 台湾を拠点とするサイバーセキュリティ調査会社。アジア太平洋地域における国家支援型サイバー攻撃の追跡・分析を専門とし、日本・台湾を標的とした中国系APTの活動に関する独自の現地調査で知られる。本稿でも日本国内のエッジデバイス脆弱性悪用に関する情報源として引用している。 |
| SCADAシステム | 発電所・鉄道・水道・工場などの重要インフラを遠隔監視・制御するためのコンピューターシステム。「Supervisory Control and Data Acquisition(監視制御とデータ収集)」の略。古い機器が現役で使われていることが多く、サイバー攻撃に対して脆弱な場合がある。攻撃されると電力供給停止や交通障害など社会的に深刻な被害が生じる。 |
| 環境寄生型攻撃(Living off the Land/LotL) | 標的のコンピューターにもともと備わっているOS標準ツール(Windowsの管理機能など)だけを使って攻撃を行う手法。外部からウイルス(マルウェア)を持ち込まないため、セキュリティソフトによる検知が極めて困難。Volt Typhoonをはじめとする中国系APTが広く採用しており、「正規のツールしか使っていない」ことが発覚を遅らせる最大の特徴。 |
舩山 美保 一般財団法人 日本危機管理研究所 理事/主任研究員
上智大学卒業(国際政治学)、青山学院大学大学院修了(国際政治経済学・哲学・心理学)。
キヤノン株式会社にて国際標準・新技術の特許調査・分析業務を担当。ISO/IEC JTC1 SC28(オフィス機器)副国際幹事として、国際規格の策定プロセスを主導した実務経験を持つ。標準化交渉の場における多国間調整および技術文書の戦略的分析に従事。中東アジア情報戦略研究所 研究員
研究領域:
言語・行動パターンの体系的分析手法を応用した意思決定構造・行動構造の解析を専門とする。とりわけPSYOP(心理作戦)および情報戦の分析、ならびに危機管理政策の視点からセキュリティインテリジェンスの研究・分析を行っている。国際政治学・心理学・哲学にまたがる学際的バックグラウンドを基盤に、国家・非国家アクターによる認知領域への介入メカニズムの解明に取り組む。
Shinkansen and Kasumigaseki Are Both Under Threat
Analysis of Chinese State-Sponsored Hacker Units and an Assessment of Vulnerabilities in Japan’s Critical Infrastructure
What is China’s Hacker Network Targeting in Japan Right Now? — A Practical Report for Policymakers and Journalists
Published: April 5, 2026
Publisher: Japan Institute of Crisis Management (一般財団法人 日本危機管理研究所)
Author: Miho Funayama
Purpose of This Report
In recent years, cyberattacks by Advanced Persistent Threat (APT) groups associated with the Chinese government have become a serious problem worldwide, including in Japan. Particularly between 2024 and 2025, the large-scale infiltration of nine major U.S. telecommunications companies (Salt Typhoon), long-term dormancy within critical infrastructure (Volt Typhoon), and attacks on government software supply chains (Silk Typhoon) have been successively revealed, rapidly heightening international security concerns. [1,3]
In Japan as well, the National Police Agency and the Cabinet Cybersecurity Center (NISC) jointly issued a warning against the “MirrorFace (Earth Kasha)” group in January 2025, making the threat from Chinese-affiliated APTs a real and urgent problem. [1]
Building on prior reports published by this institute on Chinese state-sponsored hackers, this report aims to add three elements. First, to re-organize the typology of major APT groups based on the latest intelligence. Second, to examine group-by-group the specific infrastructure in Japan that would be vulnerable if each group targeted Japan, incorporating comparisons with the United States and other nations. Third, to comprehensively organize specific activity cases by country and region, providing practical knowledge that readers can use for risk assessment within their own organizations. The intended audience consists of cybersecurity practitioners, policymakers, and researchers.
This report makes original contributions not found in prior research in the following two respects.
First, the vast majority of major prior studies on Chinese state-sponsored APT threats have been published in English, and almost no systematically organized Japanese-language materials exist. This report fills a practical gap by providing Japanese-language readers — including policymakers, politicians, and journalists — with direct access to the latest threat trends.
Second, to the best of the author’s knowledge, this report is the first to attempt a vulnerability mapping that cross-references the characteristics of each APT group with “Japan’s unique infrastructure structure (high-density concentration of railways and ports, semiconductor industry clusters, etc.).” The core novelty of this report lies in supplementing the limitations of applying existing U.S.-centric analyses directly to Japan, and in specifically demonstrating the unique risks Japan faces.
Keywords
| Japanese | English |
|---|---|
| 高度持続的脅威 | Advanced Persistent Threat (APT) |
| 中国政府系ハッキンググループ | Chinese State-Sponsored Hacking Groups |
| 重要インフラ攻撃 | Critical Infrastructure Attack |
| サイバースパイ活動 | Cyber Espionage |
| 環境寄生型攻撃 | Living off the Land (LotL) |
| 国家安全部(MSS) | Ministry of State Security (MSS) |
| 人民解放軍サイバー部隊 | PLA Cyberspace Force |
| サプライチェーン攻撃 | Supply Chain Attack |
| パブリック・アトリビューション | Public Attribution |
| 半導体・先端技術の知財窃取 | Intellectual Property Theft in Semiconductors |
| 能動的サイバー防御 | Active Cyber Defense (ACD) |
Note: [Prior Research Review] and [Glossary] are provided at the end of this report.
Table of Contents
1. Organizational Structure of China’s Cyberattacks — How the Military, Intelligence Agencies, and Private Companies Collaborate to Execute Attacks
[Typology and Characteristics of Major Groups] Volt Typhoon / Salt Typhoon / Silk Typhoon / MirrorFace / APT41
2. Group-by-Group Assessment of Japan’s Vulnerable Infrastructure — Power, Railways, Telecommunications, Semiconductors: Which of Japan’s Infrastructure Is Most at Risk?
◆ Japan’s Structurally Unique Vulnerabilities: Why Railways, Ports, and Semiconductors Are Priority Targets
3. Activity Cases by Country and Region — A Record of Attacks That Have Actually Occurred in the U.S., Japan, Europe, and Asia
■ United States ■ Japan ■ Europe/UK ■ Asia-Pacific
4. Latest Attack Trends (2024–2025) — Lurking Long-Term Without Leaving Traces: The Cutting Edge of Increasingly Difficult-to-Detect Attack Methods
5. Emerging Threats and Cross-Cutting Issues — New Threats Including Long-Term Dormancy in Telecommunications Networks, Space Infrastructure Attacks, and Suspected Surveillance via Renewable Energy Equipment
5-1. Long-Term Dormancy in Telecommunications Core Systems (BPFdoor) 5-2. Correlation Between China’s National Plans and Hacking Targets 5-3. Compound Attacks on Satellite and Space Infrastructure 5-4. Suspected Hidden Communication Devices in Chinese-Made Renewable Energy Equipment 5-5. U.S. and International Counterattacks and Sanctions 5-6. “Mercenary Hackers” Using Third Countries as Cover 5-7. Breach of Japan-U.S. Defense Alliance Classified Networks 5-8. The Rapid Expansion of Chinese Cyberattacks: 2024 Statistics
6. Implications for Japan — Six Actions Japan Should Take: The Courage to Name Attackers Publicly, Rethinking Defense, Public-Private Cooperation, and Talent Development
(1) Strengthening Deterrence Through Active Public Attribution (2) Strengthening Vulnerability Management for Edge Devices and Supply Chains (3) Shifting to a Defense Mindset That Assumes “Already Infiltrated” (4) Building Government-Industry-International Cooperation Frameworks (5) Developing Advanced Cyber Talent (6) A Fundamental Shift in Talent Policy Informed by China’s Cyber Talent Development Structure
Executive Summary
- This report is positioned as a sequel report that develops and reinforces the institute’s prior report “Trends in Chinese State-Sponsored Hackers.” While the prior report presented an overview of threat trends, this report adds group-by-group detailed analysis, Japan-specific infrastructure vulnerability assessment, systematization of international cases, and a prior research review.
- Between 2024 and 2025, the group family known as “Typhoon” (Volt, Salt, Silk, and Flax Typhoon) successively caused real-world damage, and threats to allied nations including the U.S., Europe, and Japan have materialized.
- Attack objectives can be broadly classified into three categories: “intelligence collection (espionage),” “pre-positioning within critical infrastructure (contingency preparation),” and “intellectual property theft.”
- In terms of methodology, the adoption of “Living off the Land (LotL)” techniques — which use only legitimate tools — is increasingly prevalent, enabling evasion of conventional malware detection.
- Salt Typhoon’s breach of U.S. telecommunications companies affected at least 9 companies, 80 countries, and more than 200 organizations, reaching even law enforcement agencies’ lawful interception infrastructure (CALEA) — an unprecedented situation. [3,4]
- Japan is the third most attacked target in the Asia-Pacific region after Taiwan and South Korea, with government agencies, defense industries, and research institutions being concentrated targets.
- Japan’s unique infrastructure structure (high-density concentration of railways and ports, semiconductor industry clusters) is particularly vulnerable to Volt Typhoon-type long-term dormancy and sabotage, while MirrorFace poses a real threat to defense and research institutions, and Salt Typhoon to telecommunications carriers (see Supplementary Chapter IV of this report).
- The existence of “hacker contractors” (such as i-Soon) has blurred the boundary between state agencies and the private sector, increasingly complicating attribution.
1. Organizational Structure of China’s Cyberattacks
How the Military, Intelligence Agencies, and Private Companies Collaborate to Execute Attacks
China’s APT attacks are not carried out by a single organization, but are supported by a multi-layered ecosystem in which the military, intelligence agencies, and private contractors organically collaborate. According to Recorded Future, the two primary institutions — the PLA Cyberspace Force and the Ministry of State Security (MSS) — maintain cooperative relationships with approximately 50 attack organizations through the sharing and distribution of attack tools. [10]
In March 2025, the U.S. Department of Justice indicted 12 Chinese nationals, including MSS and Ministry of Public Security (MPS) affiliates as well as employees of private cybersecurity company “i-Soon (Anxun).” i-Soon operated as a so-called “hacker contractor,” executing cyberattacks on government instructions while simultaneously selling stolen information to government agencies — a bidirectional business model. This structure enables the externalization of attack capabilities while concealing evidence of direct state involvement. [2]
Typology and Characteristics of Major Groups
■ Volt Typhoon: Critical Infrastructure Sabotage Type
| Aliases | VANGUARD PANDA, BRONZE SILHOUETTE, VOLTZITE |
| Affiliated Institution | PLA Cyberspace Force |
| Active Since | Mid-2021 onward |
| Primary Targets | U.S. and allied nations’ power, telecommunications, transportation, and military infrastructure |
| Primary Methods | Living off the Land (LotL) attacks, SOHO device botnet “KV Botnet” |
U.S. authorities assess that Volt Typhoon’s strategic objective is long-term dormancy within critical infrastructure, with the purpose of disrupting U.S. military mobilization in the event of a future confrontation between China and the United States. What is distinctive is the “Living off the Land” approach — using almost no custom malware, but only tools natively included in Windows such as PowerShell, WMIC, and netsh. This skillfully evades detection by endpoint detection and response (EDR) products. [7]
Infiltration of power and telecommunications infrastructure on Guam has been confirmed, consistent with the island’s importance as a critical hub for U.S. Indo-Pacific military strategy. In January 2024, the FBI obtained court authorization to dismantle the “KV Botnet,” but as of January 2025, confirmed intrusions within the United States had reached more than 100. [7]
■ Salt Typhoon: Telecommunications Interception and Counter-Intelligence Type
| Aliases | FamousSparrow, GhostEmperor, Earth Estries, UNC2286 |
| Affiliated Institution | Ministry of State Security (MSS) |
| Active Since | Around 2019 onward (large-scale damage surfaced from 2024) |
| Primary Targets | Telecommunications companies, communications systems of senior government officials, law enforcement agencies |
| Primary Methods | Exploitation of known vulnerabilities in edge devices, GhostSpider/Masol RAT, etc. |
Salt Typhoon attracted the greatest attention in late 2024 when infiltration of nine major U.S. telecommunications companies (AT&T, Verizon, T-Mobile, etc.) was discovered. The group is said to have penetrated even the CALEA (Communications Assistance for Law Enforcement Act) systems used by U.S. law enforcement and intelligence agencies, stealing vast quantities of metadata including that of senior government officials and political figures. [3]
More than 200 organizations across 80 countries were affected (CISA/FBI/NSA joint advisory), and Trend Micro characterizes it as “one of the most aggressive Chinese APTs.” In January 2025, the FBI set a $10 million bounty, reflecting the U.S. government’s recognition of it as an extremely serious threat. In Japan, the U.S. NSA is scheduled to issue a joint warning with the National Police Agency and the Cabinet Cybersecurity Coordination Office regarding Salt Typhoon in August 2026. [3,4]
■ Silk Typhoon (APT27): Intellectual Property and Government Intelligence Theft Type
| Aliases | APT27, Emissary Panda, Bronze Union, Iron Tiger |
| Affiliated Institution | Ministry of State Security (MSS) / Ministry of Public Security (MPS) |
| Active Since | 2010s — ongoing |
| Primary Targets | Defense, aerospace, high-tech, government agencies, think tanks |
| Primary Methods | Spear phishing, VPN vulnerability exploitation, dedicated malware such as ShadowPad |
APT27 (Silk Typhoon) is one of China’s representative espionage groups, active since the 2010s, and has continuously stolen intellectual property with defense, aerospace, and government agencies as primary targets. In late 2024, infiltration of the U.S. Treasury Department’s network was discovered, and the March 2025 DOJ indictment revealed that it played a central role. Deeply linked to private contractor i-Soon, it is a typical example of an actor operating in the “gray zone” between government agencies and private companies. [2]
■ MirrorFace (Earth Kasha / under APT10): Japan-Specialized Type
| Aliases | Earth Kasha (subgroup under APT10) |
| Affiliated Institution | Suspected association with the Ministry of State Security (MSS) |
| Active Since | December 2019 onward |
| Primary Targets | Japanese and Taiwanese government agencies, defense industries, research institutions |
| Primary Methods | LODEINFO and ANEL malware, VPN infiltration, spear phishing |
MirrorFace (Earth Kasha) is one of the few APT groups that treats Japan as its most important target. The National Police Agency and NISC jointly issued a warning in January 2025, confirming that systematic attacks against Japanese government agencies, defense-related companies, and think tanks have continued since 2019. The evolution of attack methods is notable — initially relying heavily on spear phishing with LODEINFO malware, it subsequently shifted to network infiltration targeting VPN device vulnerabilities. Furthermore, in 2024 it revived the ANEL malware that had been used during the APT10 era, skillfully adapting attack methods to circumstances. As of March 2025, attack campaigns have been confirmed to be ongoing. [1,4]
■ APT41 (Brass Typhoon / Wicked Panda): Dual-Mission Type (Espionage + Financial)
APT41 is a rare “dual-mission” group that simultaneously executes government espionage and financially motivated criminal activities. Targeting healthcare, gaming, and technology companies, it deploys ransomware and conducts unauthorized transfers in parallel with government-directed espionage. It specializes in supply chain attacks through infiltration of software development pipelines, and extensively uses techniques to evade detection by exploiting signed binaries. [8]
2. Group-by-Group Assessment of Japan’s Vulnerable Infrastructure
Power, Railways, Telecommunications, Semiconductors — Which of Japan’s Infrastructure Is Most at Risk?
When analyzing the infrastructure expected to be targeted if Chinese state-sponsored APTs target Japan, it is necessary to account for structural differences from the United States and other nations. In the United States, the premise is a vast territory and distributed infrastructure, with aviation networks, oil pipelines, and communications around military bases as primary targets. Japan, by contrast, is characterized by a high-density concentrated infrastructure structure, meaning the effectiveness and scope of attacks differ. The following is a group-by-group analysis of vulnerable infrastructure.
| Group | Infrastructure of Concern in Japan | Comparison with U.S. (Key Differences in Primary Targets) | Alert Level |
|---|---|---|---|
| Volt Typhoon | Railway control systems (Shinkansen/urban railway SCADA), port logistics (automated equipment at Yokohama/Kobe), power grid (substation control systems in TEPCO service area) | U.S.: Air traffic control, oil pipelines → Japan’s dependence on railways and ports is extremely high, and the high-density concentrated structure means damage cascades severely | ★★★★★ Highest Alert |
| Salt Typhoon | NTT, KDDI, SoftBank core telecommunications networks, government-dedicated communications lines (Kasumigaseki network), 5G base station control systems | U.S.: CALEA interception systems already breached → In Japan, functions equivalent to police/Ministry of Defense communications interception may be targeted | ★★★★★ Highest Alert |
| MirrorFace (Earth Kasha) | Ministry of Defense/Self-Defense Forces-related networks, defense industry (Mitsubishi Heavy Industries, Kawasaki Heavy Industries, etc.) R&D systems, security-related research institutions such as JAXA and RIKEN | U.S.: Defense contractors, think tanks → Japan-specialized group; Three Security Documents, F-35-related, space, and maritime policy information are primary targets | ★★★★★ Highest Alert |
| Silk Typhoon (APT27) | Central government ministry systems including Ministry of Foreign Affairs, NISC, and Cabinet Secretariat, overseas mission communications infrastructure, Japanese companies’ overseas VPN | U.S.: Treasury, federal agencies → In Japan, diplomatic codes and overseas intelligence networks are primary theft targets | ★★★★☆ High Alert |
| APT40 (Gingham Typhoon) | Maritime/shipbuilding sector (IHI, Mitsui E&S, etc.) R&D, JMSDF-related technical information, Pacific sea lane management systems | U.S.: Navy, maritime technology → Japan’s shipbuilding technology, submarine-related technology, and strait control information are likely targets | ★★★★☆ High Alert |
| APT41 (Brass Typhoon) | Major domestic pharmaceutical and medical device manufacturers (Takeda, Olympus, etc.), semiconductor and advanced materials companies (Tokyo Electron, Shin-Etsu Chemical, etc.), game/entertainment industry IP and payment systems | U.S.: Healthcare, technology → In Japan, IP in “Made in China 2025” competing sectors (semiconductors, biotech) is the highest-priority theft target | ★★★☆☆ Moderate Alert |
| Mustang Panda (Earth Preta) | Ministry of Foreign Affairs, NGOs, religious organizations (Tibet/Uyghur-related), SDF-related outsourced network devices, air-gapped systems via USB-connected devices | U.S.: Think tanks, NGOs → In Japan, human rights and foreign policy organizations as well as unintegrated terminals of the JASDF and JMSDF are likely targets | ★★★☆☆ Moderate Alert |
◆ Japan’s Structurally Unique Vulnerabilities: Why Railways, Ports, and Semiconductors Are Priority Targets
The difference between Japan’s infrastructure and the United States’ lies in “concentration” and “mutual interdependence.” The Shinkansen and urban railway network is a high-density network where a single-point failure cascades throughout the entire nation’s logistics and economic activity, and an environment where legacy SCADA systems coexist is particularly vulnerable to Volt Typhoon’s LotL attacks. According to NISC’s Cybersecurity Annual Report 2025, cyberattacks accounted for 50.3% of critical infrastructure incidents (FY2024), demonstrating the expanding attack surface. [1]
In the telecommunications sector, the method that Salt Typhoon demonstrated in the United States — “infiltration starting from known vulnerabilities in edge devices (Cisco/Palo Alto/Fortinet) → lateral movement to telecommunications companies’ core networks” — is equally applicable to Japanese telecommunications carriers. TeamT5’s research (2024) has already observed large-scale attacks targeting Fortigate, Citrix, and ArrayVPN vulnerabilities within Japan, requiring vigilance. [9]
In the semiconductor and advanced materials sector, APT41 prioritizes competing sectors of China’s “Made in China 2025” plan as primary targets, making Japanese companies such as Tokyo Electron, Shin-Etsu Chemical, and Sony Semiconductor among the highest-value theft targets globally from the perspective of manufacturing equipment and materials IP. The Ministry of Defense’s cybersecurity reinforcement (Active Cyber Defense Act, 2025) brings certain improvements, but the structural challenge remains that measures have not kept pace with small and medium-sized defense suppliers and university research laboratories. [8]
3. Activity Cases by Country and Region
A Record of Attacks That Have Actually Occurred in the U.S., Japan, Europe, and Asia
The following organizes specific activity cases by region, across groups. These are based on publicly available government announcements and security vendor reports.
■ United States: Multi-Layered Penetration of Telecommunications and Critical Infrastructure
| Period | Group | Summary |
|---|---|---|
| 2021–2024 | Volt Typhoon | Long-term dormancy within power, telecommunications, and defense-related networks on Guam. More than 100 infiltrations confirmed within the United States. Systematic infection of SOHO routers using KV Botnet also conducted. [7] |
| Mar–Dec 2024 | Salt Typhoon | Infiltrated nine major telecommunications companies including AT&T, Verizon, T-Mobile, and Lumen. Reached law enforcement’s lawful interception infrastructure (CALEA), stealing vast quantities of call metadata including that of senior government officials and election campaign staff. [3] |
| Late 2024 | Silk Typhoon (APT27) | Infiltrated U.S. Treasury Department networks and attempted to steal classified information. Links with private contractor i-Soon also revealed, leading to the March 2025 DOJ indictment. [2] |
| Mar–Dec 2024 | Salt Typhoon | Infiltrated U.S. Army National Guard networks, stealing organizational information, administrator credentials, and network diagrams of cyber defense organizations in 14 states — securing a foothold for future cyberattacks. [3] |
■ Japan: Continuous Espionage by Japan-Specialized APTs
| Period | Group | Summary |
|---|---|---|
| Jul 2022 | MirrorFace (Earth Kasha) | Immediately before the House of Councillors election, executed “Operation LiberalFace” targeting Japanese political organizations including ruling party affiliates. Stole credentials, documents, and emails via spear phishing with LODEINFO malware attachments. [1] |
| 2023–2024 | MirrorFace (Earth Kasha) | Continued attacks on defense industries, diplomatic agencies, think tanks, and universities. In 2024, revived the ANEL malware previously used by APT10, expanding spear phishing targets. [1,4] |
| 2024 (reported) | Chinese-affiliated APTs (multiple) | Leakage of Japanese diplomatic classified documents reported in February 2024. Past infiltration of NISC’s internal networks also confirmed. [19] |
| Mar 2025 | MirrorFace (Earth Kasha) | New campaign targeting multiple organizations in Japan and Taiwan confirmed. Activity found to be continuing even after the NPA/NISC joint advisory (January 2025). [1] |
■ Europe/UK: Targeting Political, Electoral, and Diplomatic Institutions
| Period | Group | Summary |
|---|---|---|
| 2021–2022 | APT31 | Email attacks on the UK’s Inter-Parliamentary Alliance on China (IPAC). Also implicated in infiltration of the UK Electoral Commission, leading to sanctions by the UK and U.S. [17,18] |
| 2021–2022 | Mustang Panda | Timed to Russia’s invasion of Ukraine, deployed malicious USB drive attacks targeting EU diplomatic agency and German embassy personnel. Campaigns infecting through lures disguised as the European Commission also confirmed. [5] |
| 2024–2025 | DigitalRecyclers (Chinese-affiliated) | Continuously targeted EU member state government agencies, deploying RClient and HydroRShell backdoors via anonymous KMA VPN communications. Detailed in ESET’s 2025 Q1 report. [5] |
| 2024–2025 | PerplexedGoblin (Chinese-affiliated) | Conducted espionage against Central European government agencies using a new backdoor named “NanoSlate” by ESET. [5] |
■ Asia-Pacific: Encirclement of Taiwan, ASEAN, and Australia
| Period | Group | Summary |
|---|---|---|
| 2024 onward | Earth Ammit (Chinese-affiliated) | Deployed “TIDRONE” campaign targeting Taiwan’s drone industry supply chain, combining two methods: embedding malicious code in legitimate software, and business supply chain attacks via trusted channels. [9] |
| Mar 2024 | Stately Taurus (Mustang Panda) | Timed to the ASEAN-Australia Summit (March 2024), created and distributed malware targeting the Philippines, Japan, Singapore, and others. Attack timing synchronized with the conference schedule was confirmed. [6] |
| Jun 2024 | Volt Typhoon | Infiltration of Singapore’s major telecommunications company “Singtel” confirmed (Bloomberg report, November 2024). Singtel announced that the malware had been removed. [7] |
| 2024 (multiple) | Mustang Panda | Deployed new DOWNBAIT/CBROVER malware campaigns via spear phishing against government agencies in Myanmar, the Philippines, Vietnam, Cambodia, and Taiwan. [5,6] |
| Jul 2024 | APT40 | Cyber authorities from eight countries including Australia, the U.S., and UK jointly issued an advisory. Cases of infiltration into Australian government and corporate networks were detailed, demonstrating the capability to weaponize new vulnerabilities within hours. [3] |
| Nov 2025 | Salt Typhoon / Volt Typhoon | The Australian Security Intelligence Organisation (ASIO) officially confirmed infiltration attempts on Australian critical infrastructure (including telecommunications networks) by Chinese-affiliated hackers. Common TTPs with campaigns targeting allied nations including Japan, Europe, and Canada were observed. [3,14] |
4. Latest Attack Trends (2024–2025)
Lurking Long-Term Without Leaving Traces — The Cutting Edge of Increasingly Difficult-to-Detect Attack Methods
Standardization of Living off the Land (LotL): The method of using only legitimate OS and network management tools while neutralizing malware detection systems is becoming established across Chinese-affiliated APTs generally. [7]
Prioritized Targeting of Edge Devices: The tendency to systematically exploit known vulnerabilities in VPN devices and firewalls from Cisco, Palo Alto Networks, Fortinet, and others is accelerating. [3,9]
Deepening of Long-Term Dormancy Strategy: As exemplified by cases in which Volt Typhoon lay dormant in infrastructure for more than five years, a strategy of accumulating infiltration footholds that are “not used immediately” has been confirmed. [7]
Sophistication of Supply Chain Attacks: As with supply chain infiltrations of the drone industry by Silk Typhoon and Earth Ammit, infiltration via contractors and component suppliers — rather than direct targets — is increasing. [2,9]
Integration with Information Operations: Compound attacks combining cyber espionage with information operations (InfoOp) have emerged, becoming a strategic threat that transcends mere technical problems.
5. Emerging Threats and Cross-Cutting Issues
New Threats Including Long-Term Dormancy in Telecommunications Networks, Space Infrastructure Attacks, and Suspected Surveillance via Renewable Energy Equipment
5-1. BPFdoor / Red Menshen: “Sleeper Cells” in the Telecommunications Backbone
A New Method of Deep Dormancy in Core Telecommunications Systems — Continuously Intercepting Without Being Noticed
In March 2026, U.S. cybersecurity company Rapid7 published a global telecommunications company infiltration campaign by Chinese-affiliated threat group “Red Menshen.” The “BPFdoor” used by this group is a backdoor lurking inside the Linux kernel — undetectable by normal monitoring tools (such as netstat), and with the characteristic of activating only upon receiving a specific “magic packet.” [11]
The critical point is that while Salt Typhoon compromised the IT layer of telecommunications companies (email, network devices), BPFdoor is embedded in the Linux foundation of the telecommunications core itself (subscriber management, authentication, 5G control). Rapid7 notes that “these are designed not merely to intrude into networks, but to ‘reside’ in them.” The latest variants disguising themselves as Kubernetes environments controlling 4G/5G core functions and HPE ProLiant servers have also been confirmed, meaning equivalent threats exist in the 5G infrastructure adopted by Japan’s major telecommunications companies. [11]
5-2. Correlation Between China’s Five-Year Plans and Cyberattack Targets
The Industries Prioritized by China’s National Plans Become the Direct Targets of Hacking
In an April 2026 paper, the Australian Strategic Policy Institute (ASPI) demonstrated a high correlation between the priority technology sectors listed in China’s Five-Year Plans and the APT attack targets subsequently observed. The fact that after the 13th Plan (2016–2020) prioritized 5G and communications infrastructure, Salt Typhoon and others targeted telecommunications companies worldwide is a prime example. The current 14th Plan (2021–2025) prioritizes semiconductors, AI, advanced manufacturing, and quantum technology — consistent with APT41’s activities (semiconductor IP theft). Analysis also exists suggesting that the next 15th Plan (2026–2030) will prioritize space and satellite communications, and Japan’s infrastructure defense officials should use Chinese planning documents as leading indicators of APT targets. [12]
5-3. Compound Attacks on Space Infrastructure (Cyber × Electronic Warfare × Physical Means)
Satellites and Space Communications Now in the Crosshairs — Japan’s Space Infrastructure Also at Risk in Contingencies
According to analysis by the Office of the Director of National Intelligence (ODNI) and the Center for Strategic and International Studies (CSIS), the People’s Liberation Army, anticipating a Taiwan contingency, has positioned the neutralization of satellite communications as a pillar of operations. The means consist of four layers: anti-satellite missiles, electronic interference (jamming), cyberattacks, and interference satellites (proximity approach type). [13,14]
Behind Volt Typhoon’s prioritization of communications infrastructure at the U.S. military’s Guam base is the objective of enabling total functional shutdown of the entire communications network — including ground stations and relay points for satellite communications — in a contingency. In Japan, JAXA’s Quasi-Zenith Satellite System (QZSS / “Michibiki”) and dual-use satellite communications infrastructure shared by the SDF and the private sector are potential attack targets. In 2024, the Japanese government publicly disclosed an unauthorized access incident at JAXA, bringing concrete risks to the surface. [13]
5-4. Suspected Hidden Communication Devices in Chinese-Made Renewable Energy Equipment
Mysterious Communication Devices Built into Solar Power Equipment — Risk of Remote Control of Power Grids
[Important Note] This section addresses a case in which technical verification is ongoing. As it contains information for which independent third-party verification has not been completed, descriptions are limited to the scope of primary reporting and definitive assessments are withheld.
In May 2025, Reuters reported that U.S. security experts had discovered communication modules not documented in product specifications inside Chinese-made solar inverters and battery systems. These devices include cellular radios and are said to potentially be capable of communicating externally while bypassing firewalls installed by power companies. [15]
The U.S. Department of Energy is continuing its investigation, stating “it remains undetermined whether these are malicious.” Incidents have also been reported in which inverters in multiple countries were allegedly disabled by remote control from China in November 2024, [15] but independent third-party confirmation was not available at the time of writing. Meanwhile, NATO (2025) officially recognized this problem and requested member states to review strategic dependencies; Lithuania (November 2024) enacted legislation prohibiting remote access to Chinese equipment in renewable energy facilities exceeding 100kW. In Japan as well, numerous large-scale solar facilities have adopted Chinese-made inverters, and multiple Diet members have raised this as a national security risk.
5-5. FBI Operation Winter SHIELD and International Sanctions
The U.S. and Europe Fighting Back with Diplomatic and Legal Measures — Japan Must Urgently Build a Sanctions Framework
The FBI’s Chicago Field Office launched “Operation Winter SHIELD” in March 2026 — a cyber resilience enhancement campaign calling for raised security standards for critical infrastructure operators. [16]
On the sanctions front, the European Union has imposed its first official sanctions on Chinese-affiliated hacking groups, and the UK has also imposed sanctions on Chinese-affiliated cybercriminals in connection with the Xinbi marketplace and others. These represent an important policy trend demonstrating that cyber defense has begun to function as a diplomatic and legal tool that transcends technical problems. In Japan as well, building a framework for attribution publication and sanctions utilizing the Active Cyber Defense Act (2025 enactment) is urgently needed. [17,18]
5-6. Singapore-Based, Third-Country Routing Hacking Cases: The Blurred Line Between State and Crime
“Mercenary Hackers” Using Third Countries as Cover — A Structure That Makes State Involvement Difficult to See
In November 2025, a Singapore court sentenced three Chinese nationals from Henan Province who had entered on fraudulent work visas to approximately 28 months in prison. The three used a base prepared by the mastermind, Vanuatu national Xu Liangbiao (at large), to conduct unauthorized access to gambling sites and bypass two-factor authentication. At the time of arrest, it was found that they possessed data from government agencies of Australia, Argentina, Vietnam, and Kazakhstan, as well as APT-grade malware such as PlugX. [23]
It is important to note that this incident differs in nature from a direct APT attack instructed by the Chinese government. The prosecution itself stated that “the three hackers were basically unable to hack,” indicating this is an example of the “cyber mercenary” ecosystem rather than a state’s advanced technical unit. However, the following three points are important:
First, the organized financial capacity indicated by the high-cost maintenance structure and cryptocurrency-based remuneration. Second, the reality of external diffusion of state tools — APT-grade tools (PlugX) being diverted for criminal use. Third, the method of “fabricating work visas in third countries to establish bases” carries the structural advantage of enabling operational deployment while concealing evidence of state involvement — structurally identical to the i-Soon structure identified by the U.S. DOJ. This case also reveals one aspect of an ecosystem in which the boundary between cybercrime and state espionage is intentionally blurred.
5-7. Breach of Japan-U.S. Defense Alliance Classified Networks: Threat to the Foundation of Alliance Intelligence Sharing
Years of Infiltration into the Ministry of Defense’s Most Classified Networks — An Incident That Shook the Very Foundation of the Japan-U.S. Alliance
In August 2023, the Washington Post reported — based on testimony from multiple current and former U.S. government officials — that PLA cyber units had been continuously infiltrating networks at Japan’s Ministry of Defense’s highest classification level since the fall of 2020. The NSA discovered this breach, and NSA Director and a former Deputy National Security Advisor made an emergency visit to Japan and directly reported to the then-Prime Minister — an extraordinary response. [19]
The strategic significance of this incident is twofold. First, the breach targeted the most classified information of the Ministry of Defense — “operational capabilities, plans, and vulnerability assessments” — meaning that if the PLA had obtained this information, the very foundation of Japan-U.S. joint operations would have been endangered. Second, as CSIS (June 2025) points out, a pattern has been observed in which Chinese-affiliated APTs “increase attacks during Beijing working hours and pause on Chinese public holidays” — strongly suggesting state-directed organizational activity. [19,20]
After the breach, Japan strengthened network defenses, but the U.S. side continues to harbor concerns about information-sharing gaps, and strengthening Japan-U.S. intelligence cooperation including GSOMIA is considered urgent. The Active Cyber Defense Act enacted in 2025 is positioned as Japan’s first institutional response to this challenge, but there is a grace period until full implementation in 2027, and the vulnerability during that interval is a concern. [20]
5-8. The Rapid Expansion of Chinese APT Attacks: Statistical Evidence from 2024
In 2024, China’s Cyberattacks Surged in Both Number and Scale — The Reality of Threats That the Numbers Reveal
The CSIS “Significant Cyber Incidents” database and ODNI’s Annual Threat Assessment (2025) indicate that Chinese APT activity expanded rapidly in quality and quantity in 2024. Key statistical facts: Chinese APT cyber espionage overall increased 150% in 2024, with attacks on financial, media, manufacturing, and industrial sectors increasing by up to 300% (estimated values from Recorded Future 2024 report). Attacks on Taiwan reached 2.4 million per day (double the previous year), and the number of successful attacks on government systems increased 20% year-on-year (Taiwan National Security Bureau, January 2025). [10,14,21]
(Note: The quantitative values above require caution in direct comparison, as different institutions employ different measurement methods and definitions. See footnotes for the source of each figure.)
SentinelOne’s Matthew Pines characterized Salt Typhoon’s breach of telecommunications companies as “the worst counter-intelligence breach in U.S. history,” warning that the MSS had reached a state where it could grasp the full picture of the U.S. spy network. [3]
6. Implications for Japan
Six Actions Japan Should Take: The Courage to Name Attackers Publicly, Rethinking Defense, Public-Private Cooperation, and Talent Development
(1) Active Use of Public Attribution
Officially Name Attackers as a Nation and Strengthen Deterrence Through International Cooperation
Japan has recently begun “public attribution” — such as issuing warnings against MirrorFace — but remains more restrained than the U.S. and UK. Identifying and publicly naming attackers both has a deterrent effect and contributes to building international solidarity. While strengthening coordination with Five Eyes allied nations, developing domestic information disclosure standards and becoming more proactive in public communication is required. [1,20]
(2) Strengthening Vulnerability Management for Edge Devices and Supply Chains
Closing the Holes in Routers and VPN Devices, and Preventing Intrusion via Business Partners
Chinese-affiliated APTs systematically exploit known vulnerabilities in edge devices such as VPN devices, routers, and firewalls. For government agencies and critical infrastructure operators, in addition to accelerating patch application, institutionalizing network configuration visibility and regular Indicators of Compromise (IoC) investigation is urgent. Mandatory supply chain security assessment of contractors and procurement partners is also worth considering. [3,9]
(3) Shifting to a Defense Mindset That Assumes “Already Infiltrated”
Defending on the Premise of “Already Infiltrated” — Responding to Threats That Have Moved Outside the Perimeter
The Volt Typhoon case strongly urges a paradigm shift toward zero-trust thinking that “presupposes the possibility of already being infiltrated.” In addition to existing perimeter defenses, introducing behavioral analysis tools that detect anomalous behavior inside networks, and developing “cyber resilience” plans premised on contingencies, are indispensable. [7]
(4) Institutionalizing Government-Industry-International Cooperation
Building a Framework for Government, Industry, and Allied Nations to Share Intelligence and Counter Threats Together
Chinese-affiliated APTs form an ecosystem in which government, private sector, and military function organically across three layers. To counter this, a public-private integrated threat intelligence sharing platform is needed — one that includes the Ministry of Defense, National Police Agency, and NISC together with critical infrastructure operators, telecommunications carriers, and security vendors. Clarifying the treaty-based positioning of “cyber defense cooperation” within the Japan-U.S. alliance framework is also an important challenge.
(5) Developing Talent and Technical Foundations
Developing Specialists Who Can Detect Sophisticated Attacks at the National Level, and Raising the Overall Level of Defense
Responding to “Living off the Land” attacks is difficult with standard SIEM and EDR, making urgent the development of personnel with advanced forensic analysis and threat hunting capabilities. A systematic talent development program through collaboration with universities, research institutions, and the private sector, along with the development of cyber intelligence specialists with an international perspective, should be promoted as a national strategy. [22]
(6) A Fundamental Shift in Talent Policy Informed by China’s Cyber Talent Development Structure
Against China’s Annual Training of More than 30,000, Japan Must Also Build a State-Led Talent Pipeline
A structural background to Japan’s inability to keep pace with China’s cyber threat is the overwhelming gap in talent development pipelines. An Atlantic Council report published in October 2024, “Capture the (red) flag,” was the first to systematically analyze this reality. [22]
China operates more than 50 CTF (Capture the Flag — simulated cyber competition) events annually under government leadership, with the MPS, MSS, PLA, and Ministry of Education each sponsoring cross-university competitions. The largest — the “Wangding Cup” — has more than 35,000 participants annually. Semi-finalists are automatically registered in the “National Cybersecurity Talent Database,” and a recruitment pipeline institutionalizing the funneling of high-performers into MSS and MPS-affiliated companies has been established. Under a 2018 government directive, participants are required to mandatorily report vulnerabilities discovered during competitions to authorities, and zero-days discovered by private “white hat hackers” are also systematically collected by the state. [22]
| Comparison Axis | China | Japan (Current Status and Challenges) |
|---|---|---|
| Scale and number of competitions | More than 50 annually (government-led). Wangding Cup: 35,000+ participants | Primarily privately and university organized. No unified government-led system. Significantly inferior in both scale and numbers |
| Curriculum integration | CTF participation linked to university GPA evaluation and credit recognition | Weak linkage between competitions and curriculum; practical skills evaluation system undeveloped |
| Recruitment pipeline | Automatic state talent DB registration based on competition performance → rapid supply of high-performers to government/military/intelligence agencies | No institutionalized talent supply route to government/Ministry of Defense. Security Clearance system (2024) only in its early stages |
| Zero-day collection | 2018 directive: mandatory reporting obligation of discovered vulnerabilities to authorities. Zero-days systematically stockpiled as national reserves | No legally binding vulnerability reporting system |
| International competitiveness | Perennial DEF CON CTF top 12. Chinese teams won up to 79% of Pwn2Own prize money (through 2019) | Insufficient organizational participation in top international competitions and team development framework |
Three specific measures are recommended for Japan. First, METI, MIC, Ministry of Defense, and MEXT should jointly establish a “government-certified CTF competition” system, linked to credit recognition in university information engineering and security departments. Second, the Ministry of Defense, NPA, and NISC should jointly develop a “talent fast-track” system for top competition performers, combining it with security clearance acquisition support to promote personnel mobility between public and private sectors. Third, offensive cyber exercises (red team) should be regularly institutionalized jointly by the SDF and critical infrastructure operators, establishing practical training in which “the defending side understands the attacker’s thinking.”
Supplementary Chapter: Prior Research Review
[Positioning of This Section] This report is a policy and practitioner-oriented report, but to improve accuracy, the positioning of the major prior research on which this report relies is organized here.
1. Government Agencies and Official Announcements
The NPA/NISC joint advisory on “MirrorFace (Earth Kasha)” (January 2025) [1] is the most comprehensive public document in which the Japanese government officially announced APT attribution, and serves as the foundation for fact-finding on attacks against Japan in this report. The U.S. DOJ indictment of 12 Chinese nationals (March 2025) [2] presents the cooperative structure between i-Soon and MSS affiliates as primary source material. The CISA/FBI/NSA Salt Typhoon joint advisory (2025) [3] officially confirms the technical details of telecommunications company damage.
2. Private Intelligence Companies and Security Vendors
Recorded Future (2024) [10] is one of the most comprehensive private reports to systematically analyze the cooperative structure between PLA and MSS. Trend Micro (2025) [4] provides technical details of domestic targeted attacks, and ESET (2025 Q1 report) [5] documents the latest activities of Chinese-affiliated APTs in Europe. Microsoft Threat Intelligence (2023–2024) [7] Volt Typhoon analysis is positioned as the report that first widely revealed the details of LotL techniques to the technical community. TeamT5 (2024) [9] conducts independent local research on threat intelligence in the Asia-Pacific region, and is referenced in this report’s Japan/Taiwan-related descriptions.
3. Think Tanks and Academic Research
The CSIS “Significant Cyber Incidents” database (continuously updated) [21] is the primary cross-cutting reference source used in organizing activity cases in this report. The Atlantic Council analysis of China’s CTF ecosystem (Dakota Cary and Eugenio Benincasa, October 2024) [22] is the first systematic English-language study on the talent development pipeline, serving as the primary basis for Section 6(6) of this report. ASPI (April 2026) [12] correlation analysis between Five-Year Plans and APT targets forms the core of Section 5-2.
4. Limitations of Prior Research and Positioning of This Report
The vast majority of the above prior research has been published in English, creating accessibility challenges for Japan’s policy and practitioner community. Furthermore, to the best of the author’s knowledge, no prior research exists that has conducted vulnerability mapping cross-referencing APT group characteristics with “Japan’s unique infrastructure structure.” This report does not include primary research (independent interviews or log analysis) and is a literature synthesis report, but makes an original contribution in terms of systematic organization in Japanese. Quantitative claims in this report such as “major incidents” and “number of affected organizations” are based on values reported in the primary sources specified in each footnote, and are not independently measured values.
References and Footnotes
[1] National Police Agency / Cabinet Cybersecurity Center (NISC), “Warning Regarding MirrorFace (Earth Kasha),” January 2025. Primary source for descriptions of attacks against Japan in this report.
[2] U.S. Department of Justice (DOJ), “Press Release Regarding Indictment of 12 Chinese Hackers,” March 5, 2025. Primary source for i-Soon and MSS/MPS involvement.
[3] U.S. Cybersecurity and Infrastructure Security Agency (CISA) / FBI / NSA, “Salt Typhoon Joint Advisory,” 2025. Primary source for the figures of 9 companies, 80 countries, and 200+ organizations.
[4] Trend Micro, “Domestic Targeted Attack Analysis Report 2025 Edition,” Trend Micro Inc.
[5] ESET, “APT Activity Report Q4 2024–Q1 2025,” ESET Research. Primary source for European cases including DigitalRecyclers and PerplexedGoblin.
[6] Palo Alto Networks Unit42, “ASEAN Nations: Targeting by Chinese APT Groups,” 2024.
[7] Microsoft, “Volt Typhoon Attacks on U.S. Critical Infrastructure,” Microsoft Threat Intelligence, 2023–2024. Primary source for LotL techniques, KV Botnet, and Guam incidents.
[8] Mandiant / Google Cloud, “APT Groups and Threat Actors,” Google Cloud Security. Primary source for APT41’s dual-mission activities.
[9] TeamT5, “Asia-Pacific APT Threat Report 2023,” 2024. Primary source for edge device vulnerability exploitation within Japan.
[10] Recorded Future, “The Sharpening of China’s APT Attacks and the Reality of the State-Supported System Behind Them,” 2024. Source for PLA/MSS cooperative structure and approximately 50 attack organizations figure.
[11] Rapid7 Labs, “BPFdoor in Telecom Networks: Sleeper Cells in the backbone,” March 2026. Primary source for BPFdoor and Red Menshen analysis.
[12] ASPI (Australian Strategic Policy Institute), “Wondering where China’s cyber effort will go next? Just read the five-year plan,” The Strategist, April 2026. Primary source for Five-Year Plan and APT target correlation.
[13] CSIS, “Securing Cyber and Space: How the United States Can Disrupt China’s Blockade Plans,” December 2025. Primary source for space and satellite communications attack analysis.
[14] ODNI (Office of the Director of National Intelligence), “Annual Threat Assessment 2025,” testimony before the U.S. Senate Intelligence Committee, 2025. One of the sources for Chinese APT activity statistics.
[15] Reuters, “Ghost machine: Rogue communication devices found in Chinese inverters,” May 14, 2025. Primary source for Section 5-4. Note that this incident involves ongoing technical verification and independent third-party confirmation has not been obtained.
[16] FBI Chicago Field Office, “Operation Winter SHIELD Awareness Campaign,” March 2026 (FBI official announcement).
[17] Reuters, “EU sanctions Chinese and Iranian companies for cyberattacks,” 2024–2025. Source for EU sanctions.
[18] UK Government, “UK sanctions Xinbi marketplace linked to Asian scam centers,” 2024–2025. Source for UK sanctions.
[19] Washington Post, “China hacked Japan’s classified defense cyber networks,” August 7, 2023. Investigative report on the Japan Ministry of Defense classified network breach, based on testimony from multiple current and former U.S. government officials.
[20] CSIS, “Norms in New Technological Domains: What’s Next for Japan and the United States in Cyberspace,” June 2025.
[21] CSIS, “Significant Cyber Incidents” database (continuously updated). Cross-cutting reference source for activity case organization in this report.
[22] Atlantic Council, “Capture the (red) flag: An inside look into China’s hacking contest ecosystem,” Dakota Cary and Eugenio Benincasa, October 18, 2024. Primary source for China’s CTF ecosystem and talent development pipeline.
[23] CNA (Channel NewsAsia), “Chinese hackers who entered Singapore on fraudulent work permits were found with data of foreign governments,” November 2025. Primary source for the Singapore-based hacking incident.
Glossary
| Term | Explanation |
|---|---|
| APT (Advanced Persistent Threat) | Advanced Persistent Threat. Groups or campaigns backed by state support that continuously attack specific targets over a long period using advanced techniques. |
| Living off the Land (LotL) | “Environment-parasitic” attacks. A method of conducting attacks without introducing malware by using only OS and management tools natively included in the target system (PowerShell, WMI, etc.). Extremely difficult to detect. |
| CALEA (Communications Assistance for Law Enforcement Act) | U.S. communications interception law. A system enabling law enforcement agencies to lawfully intercept communications. Salt Typhoon infiltrated this system itself and turned it against its users. |
| Public Attribution | A diplomatic and security measure of officially announcing and condemning the attribution (perpetrator identification) of a cyberattack. Aimed at deterrence and building international solidarity. |
| Supply Chain Attack | An indirect attack method of infiltrating the ultimate target via trusted software, vendors, or component suppliers rather than direct infiltration. |
| SOHO Router (Small Office/Home Office) | Small routers for small offices and homes. Security management tends to be lax, and Chinese-affiliated APTs frequently exploit them for botnet construction. |
| MSS (Ministry of State Security) | China’s Ministry of State Security. China’s intelligence agency responsible for foreign intelligence and espionage. Analyzed as supporting the activities of Salt Typhoon, APT27, APT31, etc. |
| PLA Cyberspace Force | The PLA’s cyber unit. Established following the 2015 military reform, originating from the Strategic Support Force, and assessed by U.S. authorities as operating Volt Typhoon and others. |
| IoC (Indicators of Compromise) | Breach indicators. Digital indicators evidencing an attack — malware hash values, malicious IP addresses/domains, suspicious registry changes, etc. |
| Zero Trust | A security model based on the principle of “never trust, always verify.” A design philosophy that overcomes the limitations of perimeter-based defense and restricts lateral movement within internal networks. |
| Sleeper Cell | An agent or device that an adversary has pre-positioned and concealed within a target’s system. Inactive during peacetime, activating only when a contingency arises or upon receiving a command. In the cyber domain, this refers to backdoor programs secretly embedded in communications networks or critical infrastructure. |
| Made in China 2025 | An industrial upgrade strategy announced by the Chinese government in 2015. It targets becoming a world-class manufacturing power by 2025 in 10 sectors including semiconductors, AI, aerospace, biotech, and robotics. This report demonstrates that technologies and IP in these sectors correlate highly with Chinese hacker theft targets. |
| Magic Packet | Signal data serving as a predetermined “passphrase.” Dormancy-type backdoors such as BPFdoor activate only upon receiving this magic packet and remain completely silent otherwise — making their very existence undetectable by normal monitoring tools. |
| BPFdoor | An advanced dormancy-type backdoor program used by the Chinese hacking group “Red Menshen.” Embedded in the deep OS layers of telecommunications company servers, it secretly activates only upon receiving a magic packet. Nearly undetectable by normal monitoring tools, its greatest threat is that it remains undiscovered for long periods — described as “residing in the network.” |
| ESET | A major cybersecurity company of Slovak origin. Known for developing antivirus software, it regularly publishes research and analysis reports on state-sponsored hacking groups, and is one of the primary sources of information on Chinese-affiliated APT activities in Europe. |
| Spear Phishing | Targeted fraudulent email attacks aimed precisely at specific individuals or organizations. Unlike general phishing sent indiscriminately, it involves prior research into the recipient’s name, position, and work details, then sending sophisticated emails impersonating real business partners or supervisors, inducing recipients to open malware-laden attachments or be directed to fake sites. |
| i-Soon (Anxun) | A private Chinese cybersecurity company that, while nominally private, executes cyberattacks on instructions from Chinese government agencies (MSS, MPS) — a “hacker contractor.” Operating on a business model of selling stolen information to the government, it plays the role of externalizing attack capabilities while concealing evidence of direct state involvement. Indicted by the U.S. DOJ in March 2025. |
| Edge Device | A collective term for communications equipment installed at the boundary (edge) of corporate or organizational networks. Includes VPN devices, firewalls, and routers. Positioned at the connection point between the internet and internal networks, vulnerabilities here become footholds for attackers to intrude internally. Chinese-affiliated APTs systematically exploit known vulnerabilities in these devices. |
| TeamT5 | A Taiwan-based cybersecurity research company specializing in tracking and analyzing state-sponsored cyberattacks in the Asia-Pacific region. Known for independent local research on Chinese-affiliated APT activities targeting Japan and Taiwan. Referenced in this report as a source for information on edge device vulnerability exploitation within Japan. |
| SCADA System | A computer system for remote monitoring and control of critical infrastructure such as power plants, railways, water systems, and factories. Abbreviation for “Supervisory Control and Data Acquisition.” Legacy equipment is often still in active use, which can leave it vulnerable to cyberattacks. If attacked, severe social damage can result including power supply outages and transportation disruptions. |
| Living off the Land / LotL | A method of conducting attacks using only OS standard tools natively included in a target computer (such as Windows management functions) without introducing malware from outside. Since no viruses (malware) are brought in from outside, detection by security software is extremely difficult. Widely adopted by Chinese-affiliated APTs including Volt Typhoon, the key feature of “using only legitimate tools” is what delays discovery. |
Author: Miho Funayama
Director, Japan Institute for Crisis Management / Research Fellow, Middle East Asia Intelligence Strategy Institute
B.A. in International Politics, Sophia University; M.A. in International Political Economy, Philosophy, and Psychology, Aoyama Gakuin University Graduate School.
Served at Canon Inc., specializing in patent research and analysis of international standards and emerging technologies. Held the position of Vice International Secretary of ISO/IEC JTC1 SC28 (Office Equipment), leading the development and coordination of international standards through multilateral negotiation processes.
Research Focus:
Specializes in the structural analysis of decision-making and behavioral patterns through systematic linguistic and behavioral analysis methodologies. Conducts research and analysis in security intelligence from the perspectives of PSYOP (Psychological Operations), information warfare, and crisis management policy. Drawing on an interdisciplinary foundation in international politics, psychology, and philosophy, focuses on elucidating the mechanisms of cognitive domain intervention by state and non-state actors.
関連記事
日本のMythos参加が露呈したもの ー「6週間の空白」を契機に、サイバー主権の再設計へ What Japan’s Participation in Mythos Has Laid Bare
脅迫するAI AI as a Tool of Coercion
燃料を失う日 The Day We Lose Our Fuel
Recent Posts
- 日本のMythos参加が露呈したもの ー「6週間の空白」を契機に、サイバー主権の再設計へ What Japan’s Participation in Mythos Has Laid Bare
- 後編 ロシアの学生ハッカー工場は今、日本に照準を合わせている Russia’s Hacker Factory Goes Global: CRINK Cyber Alliances, Space Warfare, and AI Disinformation
- 前編 ロシア・バウマン大学、通称「GRU大学」——教室はハッカー工場、2,000枚の内部文書が暴いたハッカー養成システムの全貌 Part 1: Inside Russia’s “GRU University”: 2,000 Leaked Documents Reveal the Hacker Factory Operating Inside Bauman’s Classrooms
- 金融インフラが戦場になる時代 ——2026年イラン戦争 崩れゆくペトロダラーと新貨幣秩序の胎動 When Financial Infrastructure Becomes the Battlefield— The 2026 Iran War: The Crumbling Petrodollar and the Dawn of a New Monetary Order
- 【後編】盗んだ資金はミサイルになり、情報はロシアへ流れる——北朝鮮「地政学的サイバー同盟」の全貌