一次情報出典: Zscaler ThreatLabz(2026年3月12日)
2026年3月15日
発行元 一般財団法人 日本危機管理研究所
執筆者 舩山 美保
エグゼクティブサマリー
・日本は先端技術・防衛産業・外交インフラという点で、中国系ハッカーグループにとって最優先の標的の一つである。その脅威は仮定ではなく、すでに現実のものとなっている。
・2026年3月1日、中東紛争勃発から24時間以内に中国政府系ハッカーグループがペルシャ湾岸諸国への攻撃を開始した。 “1. 地政学的事件への即応 2. 多重暗号化による検知回避 3. 数年単位の長期潜伏”という3つの特徴は、従来型の境界防御を根底から無力化する。
・攻撃の入口は「イランのバーレーン米軍基地ミサイル攻撃」を装った偽ニュースPDFである。開封するだけで感染が完了する極めて巧妙な手口であり、2025年1月には同系統グループが日本の政府・防衛機関をすでに攻撃している。
・攻撃グループは「Mustang Panda」と高い確度で特定されている。金銭目的ではなく、中国政府の外交・軍事・経済的利益のために動く国家主導型の諜報組織であり、中国・ロシア・北朝鮮・イランによる多国間サイバー協調体制の中核を担う。
・対策の核心は「入口を防ぐ」ことに加え、「侵入後の異常をいち早く検知する」体制の構築である。2026年11月施行予定の能動的サイバー防御法と組み合わせた包括的な防衛戦略が急務である。
・PlugXは文書窃取・画面録画・キー入力記録など13種の機能を持ち、感染後は正規のWindowsサービスに偽装して潜伏する。気づいた時にはすでに数年分の情報が盗まれていたというケースが世界各地で起きている。
1.今回何が起きたか――ペルシャ湾岸攻撃の裏側で
1-1 偽ニュースPDFという巧妙な罠 ーアラビア語の偽ニュース
中東で新たな紛争が始まった直後、攻撃者はその混乱を即座に利用した。「イランがバーレーンの米軍基地にミサイル攻撃」というアラビア語の偽ニュースPDFをZIPファイルに偽装してメールで送りつけ、受信者が開封するだけで感染が完了する仕組みを仕掘けた。
このPDFを開いたコンピュータには、バックグラウンドで「PlugX(プラグエックス)」と呼ばれるスパイウェアがひそかにインストールされる。PlugXは正規のWindowsサービスに成りすまし、ウイルス対策ソフトの監視をすり抜けながら静かに動作し続ける。
1-2 感染後に何が起きるか ーPC内に巧妙に潜伏し続け攻撃者の指令を受ける
PlugXは感染後すぐに動き出すわけではない。まずMicrosoft Desktop Dialog Brokerという名の偽サービスとしてWindowsに登録し、PCを再起動しても自動的に起動するよう設定する。その後、攻撃者のサーバーと暗号化通信を確立し、指令を待ち受ける。
攻撃者が指令を出すと、PlugXは業務で使うファイル(.doc/.pdf/.xls/.ppt等)を自動的に探し出して外部送信する。画面を定期的にスクリーンショットで記録し、キーボードの入力内容もすべて保存する。被害者は何も気づかないまま、重要情報が継続的に流出し続ける。
2.誰がやったのか――「Mustang Panda」という中国政府系ハッキンググループ
2-1 中国系ハッカーグループの正体
Zscaler ThreatLabzは本攻撃を「Mustang Panda(別名:Earth Preta)」と高い確度で特定した。Mustang Pandaは中国政府との強い関連性が指摘される国家支援型ハッカーグループであり、金錠目的の犯罪者集団とは根本的に異なる。
彼らの最大の特徴は「地政学的事件への即応性」である。世界規模のニュースが発生すると 24時間以内にそのテーマを使ったおとり文書を作成し、攻撃を開始する。今回の中東紛争テーマもその典型例であり、過去にも台湾問題・新型コロナウイルス・各国選挙など、注目度の高いニュースを次々と攻撃に転用してきた実績がある。
2-2 過去の主要攻撃事例
時期 事例・内容
| 2024年 DOPLUGS作戦 | 東南アジア諸国でPlugX系マルウェアを展開し、地政学情報を大規模収集 |
| 2025年1月 MirrorFace作戦 | 日本の政府・防衛機関・研究機関を標的に攻撃。警察庁・内閣サイバーセキュリティセンターが異例の注意喚起を発出 |
| 2026年3月本件 | ペルシャ湾岸諸国を標的にPlugXを展開。中東紛争勃発から24時間以内に攻撃開始 |
| 注目すべきは攻撃の「長期潜伏性」である。「Mustang Panda」は感染後すぐに大量の情報を盗み出すのではなく、数か月から数年にわたって静かに情報を収集し続ける。被害者が異変に気づいた時にはすでに膨大な機密情報が流出していたというケースが世界中で繰り返されている。 |
3.なぜペルシャ湾岸なのか――中国・イラン連携の深層
3-1 中国の表の顔と裏の顔
中国は国際社会に対して「中東紛争の付繋役・中立国」という立場を演じている。しかし実態は、軍事・エネルギー・サイバーの三つの柱でイランを着実に支援している。
● 軍事支援:中国の北斗衛星システムがイランの防空システムに組み込まれ、中東における米軍の動向をリアルタイムで追跡することを可能にしている。(当財団2026年3月12日付レポート『中国衛星「北斗」と宇宙インフラ戦争』参照)
● エネルギー支援:中国はイラン産石沿の80%以上を購入しており、国際制裁下のイラン経済を事実上支えている。
● サイバー支援:今回のペルシャ渾岸諸国への攻撃で収集した外交・軍事・政治情報がイランに有利に働く可能性がある。
3-2 多国間サイバー協調という新たな脅威
現代のサイバー脅威において見落とされがちな重要な事実がある。中国・ロシア・北朝鮮・イランは互いに競合するのではなく、サイバー領域でツール・手法・インテリジェンスを相互に共有・補完し合っている。一国への攻撃で得た情報や技術が他国に渡り、さらに高度化した攻撃として別の標的に向かうという連鎖が起きている。
4.日本へのリスクと今すぐとるべき対策
4-1 日本はすでに標的である
2025年1月のMirrorFace攻撃は、日本が中国系ハッカーグループの現役の標的であることを明確に示した。先端技術・防衛産業・外交インフラの窃取が主目的であり、日本の安全保障上の脅威は仮定ではなく現実である。
重要な点:中国のサイバー攻撃は「泥棒」ではなく「長期潜伏するスパイ」である。気づいた時にはすでに数年分の情報が盗まれていたというケースが世界中で起きている。日本も例外ではない。
4-2 組織が今すぐとるべき対策
・ メール添付ファイルの徹底検証:時事ニュースを装ったZIP・PDFファイルは、送信元が信頼できる相手であっても開封前にサンドボックス検査を実施する。ファイル名に日付が入っているものは特に要注意である。
・OS・Office製品の即時パッチ適用:LNKファイルを悪用した本攻撃はOSの既知脆弱性に依存している。定期的なアップデートは最低限かつ最も効果的な防御である。
・内部ネットワークの異常検知体制の強化:入口対策(ファイアウォール・EPP)だけでは不十分である。EDR・NDRによる内部通信の振る舞い分析を組み合わせた多層防御が不可欠である。
・ 最小権限の原則の徹底:すべてのユーザー・システムのアクセス権限を業務上必要な最低限に絞ることで、感染後の横展開(ラテラルムーブメント)を阻止する。
・DNS over HTTPSトラフィックの監視:PlugXはDNS over HTTPS(DoH)を使ってC2通信を一般のWebブラウジングに偽装する。DoHトラフィックの可視化・制御が新たな防衛ポイントとなっている。
結論
2026年3月のペルシャ湾攻撃は、中国系ハッカーグループの能力と意図を改めて世界に示した事件である。地政学的事件への24時間以内の即応、多重暗号化による検知回避、数年単位の長期潜伏という三つの特徴は、従来型の境界防御を無力化する。
日本は先端技術・防衛産業・外交インフラという点で中国系グループにとって最優先の標的の一つである。MirrorFace攻撃の記憶が新しい今、ペルシャ渾岸で実証された最新の攻撃手法が日本に向けられるのは時間の問題である。能動的サイバー防衛法の施行を待つことなく、今すぐ内部検知体制の強化とゼロトラスト・アーキテクチャへの移行を加速させることが、国家安全保障上の急務である。
参考資料
・Zscaler ThreatLabz(2026年3月12日)
China-nexus Threat Actor Targets Persian Gulf Region With PlugX
・警察庁・内閣サイバーセキュリティセンター(2025年1月)
MirrorFaceによる日本への標的型攻撃に関する注意喚起
・Trend Micro(2024年)
Earth Preta Campaign Targets Asia With DOPLUGS
・Unit42 / Palo Alto Networks
THOR: A PlugX Variant Analysis(PKPLUG/Mustang Panda)
・MITRE ATT&CK Framework — Mustang Panda / Earth Preta Group Profile
https://attack.mitre.org/groups/G0129
・各種報道・分析(2025~2026年)
中国の中東における衛星・サイバー・経済支援に関する各種報告
・当財団発行 2026年3月12日付レポート『中国衛星「北斗」と宇宙インフラ戦争』