中国のハッカー集団は今、日本の何を狙っているのか。グループ別の標的・手口・日本固有の脆弱性を最新情報に基づき日本語で初めて体系的に分析した、政策担当者・報道関係者のための実践的レポート。

-中国政府系APTグループの活動分析と日本の重要インフラ脆弱性の検証―

2026年4月5日

発行:一般財団法人 日本危機管理研究所

執筆者:舩山美保

【本稿のねらい】

近年、中国政府と関連するとされる高度持続的脅威(APT: Advanced Persistent Threat)グループによるサイバー攻撃が、日本を含む世界各地で深刻な問題となっている。特に2024年から2025年にかけて、米国の通信大手9社への大規模侵入(Salt Typhoon)や重要インフラへの長期潜伏(Volt Typhoon)、政府機関向けソフトウェアサプライチェーンへの攻撃(Silk Typhoon)が相次いで明らかとなり、国際的な安全保障上の懸念が急速に高まっている。[1,3]

日本においても、警察庁・内閣サイバーセキュリティセンター(NISC)が2025年1月に「MirrorFace(Earth Kasha)」グループに対する共同注意喚起を発出するなど、中国系APTによる脅威は現実かつ喫緊の問題となっている。[1]

本稿は、当財団が既に発表した中国政府系ハッカーに関する先行レポートを基礎としつつ、以下の三点を追加することをねらいとする。第一に、主要APTグループの類型を最新インテリジェンスに基づき再整理すること。第二に、各グループが日本を標的にした場合に脆弱となる具体的なインフラを、米国等との比較を交えてグループ別に検証すること。第三に、各国・地域における具体的な活動事例を網羅的に整理し、読者が自組織のリスク評価に活用できる実践的知見を提供することである。対象読者は、サイバーセキュリティの実務者・政策担当者・研究者とする。

なお、本稿には以下の点で先行研究にはない独自の貢献がある。

第一に、中国政府系APTの脅威を扱った主要な先行研究の大多数は英語で発表されており、日本語で体系的に整理した資料はほとんど存在しない。本稿は、政策担当者・政治家・報道関係者を含む幅広い日本語圏の読者が最新の脅威動向に直接アクセスできる資料を提供する点で、実務的な空白を埋めるものである。

第二に、各APTグループの特性と「日本固有のインフラ構造(鉄道・港湾の高密度集中性、半導体産業の集積等)」とを対応させた脆弱性マッピングは、管見の限り本稿が初めて試みるものである。米国中心の既存分析をそのまま日本に適用することの限界を補い、日本が直面する固有リスクを具体的に示した点に本稿の核心的な新規性がある。

  • キーワード
日本語         English
高度持続的脅威Advanced Persistent Threat (APT)
中国政府系ハッキンググループChinese State-Sponsored Hacking Groups
重要インフラ攻撃Critical Infrastructure Attack
サイバースパイ活動Cyber Espionage
環境寄生型攻撃Living off the Land (LotL)
国家安全部(MSS)Ministry of State Security (MSS)
人民解放軍サイバー部隊PLA Cyberspace Force
サプライチェーン攻撃Supply Chain Attack
パブリック・アトリビューションPublic Attribution
半導体・先端技術の知財窃取Intellectual Property Theft in Semiconductors
能動的サイバー防御Active Cyber Defense (ACD)

注:【先行研究のレビュー】【用語集】については巻末に記しています。

目 次

1. 中国サイバー攻撃の組織構造 ー軍・スパイ機関・民間企業が連携して攻撃を担う仕組みとは

【主要グループの類型と特徴】

Volt Typhoon/Salt Typhoon/Silk Typhoon/MirrorFace/APT41

2. グループ別・日本の脆弱インフラ検証 ー電力・鉄道・通信・半導体――日本のどのインフラが狙われやすいか

◆ 日本特有の構造的脆弱性:なぜ鉄道・港湾・半導体が優先標的か

3. 各国・地域における活動事例 ー米国・日本・欧州・アジア各地で実際に起きた攻撃事件の記録

■ 米国 ■ 日本 ■ 欧州・英国 ■ アジア太平洋

4. 最新の攻撃トレンド(2024〜2025年) ー痕跡を残さず長期間潜伏する――検知が難しくなった攻撃手法の最前線

5. 新興脅威・横断的論点 ー通信網への長期潜伏・宇宙インフラ攻撃・再生可能エネルギー機器の盗聴疑惑など新たな脅威

5-1. 通信会社基幹システムへの長期潜伏(BPFdoor)

5-2. 中国の国家計画とハッキング標的の連動

5-3. 衛星・宇宙インフラへの複合攻撃

5-4. 中国製再生可能エネルギー機器の盗聴疑惑

5-5. 米国・国際社会の反撃と制裁

5-6. 第三国を隠れ蓑にする「傭兵ハッカー」

5-7. 日米防衛同盟の機密ネットワーク侵害

5-8. 中国サイバー攻撃の急拡大――2024年の統計

6. 日本への示唆 ー攻撃者を名指しで公表する勇気・守りの発想転換・官民連携・人材育成――日本が取るべき6つの行動

(1)攻撃者の公式名指しによる抑止力強化

(2)通信機器・調達先の脆弱性管理強化

(3)「すでに侵入されている」前提の防衛思考への転換

(4)政府・企業・同盟国の情報共有体制づくり

(5)高度なサイバー専門家の育成

(6)国主導の人材パイプライン構築

  • エグゼクティブサマリー
  • 本稿は、当財団の先行レポート「中国政府系ハッカーの動向」を発展・補強した続編レポートとして位置付けられる。先行レポートが概括的な脅威動向を示したのに対し、本稿はグループ別の詳細分析・日本特化のインフラ脆弱性検証・各国事例の体系化・先行研究レビューを追加した。
  • 2024〜2025年にかけて「Typhoon」ファミリーと呼ばれるグループ群(Volt・Salt・Silk・Flax各Typhoon)が相次いで実被害を引き起こし、米国・欧州・日本を含む同盟国への脅威が顕在化した。
  • 攻撃目的は大きく「情報収集(スパイ活動)」「重要インフラへの事前埋め込み(有事対応準備)」「知的財産窃取」の三類型に分類できる。
  • 手法面では、正規ツールのみを用いる「環境寄生型(LotL)」技術の採用により、従来型のマルウェア検知を回避する傾向が強まっている。
  • Salt Typhoonによる米通信事業者侵害では、少なくとも9社・80か国・200以上の組織が被害を受け、法執行機関の      合法的盗聴インフラ(CALEA)までが侵害される前例のない事態が生じた。[3,4]
  • 日本はアジア太平洋地域において台湾・韓国に次ぐ攻撃標的であり、政府機関・防衛産業・研究機関が集中的に狙われている。
  • 日本固有のインフラ構造(鉄道・港湾の高密度集中型・半導体産業の集積)は、Volt Typhoon型の長期潜伏・破壊工作に特に脆弱であり、MirrorFaceは防衛・研究機関に、Salt Typhoonは通信キャリアに対して現実的脅威をもたらす(本稿第IV章 補論参照)。
  • 「ハッカー請負業者」(i-Soonなど)の存在により、国家機関と民間の境界が曖昧化し、アトリビューション(攻撃帰属)の複雑化が進んでいる。

1. 中国サイバー攻撃の組織構造

軍・スパイ機関・民間企業が連携して攻撃を担う仕組みとは

中国のAPT攻撃は、単一の組織によるものではなく、軍・諜報機関・民間請負業者が有機的に連携する重層的なエコシステムによって支えられている。Recorded Futureによれば、人民解放軍サイバー部隊(PLA Cyberspace Force)と国家安全部(MSS)の2つの主要機関が、約50の攻撃組織と攻撃ツールの共有・流通を通じて協力関係を形成している。[10]

2025年3月、米司法省は中国人12名を起訴し、その中にはMSSおよび公安部(MPS)の関係者に加え、民間サイバーセキュリティ企業「安洵(i-Soon)」の従業員が含まれていた。i-Soonはいわゆる「ハッカー請負業者」として、政府の指示を受けてサイバー攻撃を実行する一方、盗んだ情報を政府機関に売却する双方向のビジネスモデルで運営されていた。この構造により、国家の直接関与の証拠を隠蔽しつつ、攻撃能力を外部化することが可能となっている。[2]

【主要グループの類型と特徴】

■ Volt Typhoon(ボルトタイフーン):重要インフラ破壊工作型

別称VANGUARD PANDA、BRONZE SILHOUETTE、VOLTZITE
関連機関人民解放軍サイバー部隊(PLA Cyberspace Force)
活動開始2021年中頃以降
主な標的米国・同盟国の電力・通信・交通・軍事インフラ
主な手口環境寄生型(LotL)攻撃、SOHO機器ボットネット「KV Botnet」

Volt Typhoonは、中国とアメリカが将来的に衝突した際に米軍の動員を妨害する目的で、重要インフラに長期潜伏することを戦略的目標としていると米国当局は分析している。特徴的なのは、カスタムマルウェアをほとんど使用せず、PowerShell・WMIC・netshといったWindowsに標準搭載されたツールのみを用いる「環境寄生型」アプローチである。これにより、エンドポイント検知・応答(EDR)製品による検知を巧みに回避する。[7]

グアム島における電力・通信インフラへの侵入が確認されており、同島が米軍のインド太平洋戦略上の重要拠点であることと符合する。2024年1月には米FBIが裁判所の許可を得て「KV Botnet」を解体したが、2025年1月時点で米国内の侵入は100件以上に達していた。[7]

■ Salt Typhoon(ソルトタイフーン):通信傍受・対諜報型

別称FamousSparrow、GhostEmperor、Earth Estries、UNC2286
関連機関国家安全部(MSS)
活動開始2019年頃〜(2024年以降に大規模被害が表面化)
主な標的通信事業者・政府高官の通信システム・法執行機関
主な手口エッジデバイスの既知脆弱性悪用、GhostSpider/Masol RATなど

Salt Typhoonは、2024年後半に米国の通信大手9社(AT&T・Verizon・T-Mobile等)への侵入が判明し、最大の注目を集めた。同グループは、米国の法執行・情報機関が利用するCALEA(通信傍受法)対応システムにまで侵入し、政府高官・政治関係者を含む多数のメタデータを窃取したとされる。[3]

80か国・200以上の組織が被害を受けており(CISA・FBI・NSA共同勧告)、トレンドマイクロは「最もアグレッシブな中国APTの一つ」と位置付けている。2025年1月にはFBIが懸賞金1,000万ドルを設定するなど、米政府は極めて重大な脅威と認識している。日本においても、2026年8月には米NSAが警察庁・内閣サイバー統括室と共同でSalt Typhoonへの注意喚起を発出した(予定)。[3,4]

■ Silk Typhoon(シルクタイフーン)/ APT27:知的財産・政府情報窃取型

別称APT27、Emissary Panda、Bronze Union、Iron Tiger
関連機関国家安全部(MSS)・公安部(MPS)
活動開始2010年代〜継続
主な標的防衛・航空宇宙・ハイテク・政府機関・シンクタンク
主な手口スピアフィッシング、VPN脆弱性悪用、ShadowPad等の専用マルウェア

APT27(Silk Typhoon)は2010年代から活動する中国を代表するスパイグループであり、防衛・航空宇宙・政府機関を主な標的として知的財産を継続的に窃取してきた。2024年後半には米財務省のネットワークへの侵入が判明し、2025年3月の米司法省による起訴でも中心的な役割を果たしたことが明らかとなった。民間請負業者i-Soonとも深く連携しており、政府機関と民間企業の中間に位置する「グレーゾーン」で活動する典型例である。[2]

■ MirrorFace(ミラーフェイス)/ Earth Kasha(APT10傘下):対日特化型

別称Earth Kasha(APT10の傘下グループ)
関連機関国家安全部(MSS)との関連が疑われる
活動開始2019年12月〜
主な標的日本・台湾の政府機関・防衛産業・研究機関
主な手口LODEINFO・ANELマルウェア、VPN侵入、スピアフィッシング

MirrorFace(Earth Kasha)は、日本を最重要標的とする数少ないAPTグループの一つである。警察庁とNISCが2025年1月に共同注意喚起を発出し、2019年以降に日本の政府機関・防衛関連企業・シンクタンクに対する組織的な攻撃が継続していることを確認している。手口の変化が顕著で、初期はLODEINFOマルウェアによるスピアフィッシングを多用していたが、その後VPN機器の脆弱性を狙うネットワーク侵入型にシフト。さらに2024年にはAPT10時代に使用されていたANELマルウェアを復活させるなど、攻撃手法を状況に応じて巧みに使い分けている。2025年3月時点でも攻撃キャンペーンが継続中であることが確認されている。[1,4]

■ APT41(Brass Typhoon / Wicked Panda):二重任務型(スパイ+金銭)

APT41は、政府の諜報活動と金銭目的の犯罪活動を同時に実行するという稀有な「二重任務型」グループである。ヘルスケア・ゲーム・テクノロジー企業を標的に、政府の指示によるスパイ活動と並行してランサムウェア展開や不正送金を行う。ソフトウェア開発パイプラインへの侵入によるサプライチェーン攻撃を得意とし、署名済みバイナリを悪用した検知回避技術を多用する。[8]

2. グループ別・日本の脆弱インフラ検証

電力・鉄道・通信・半導体――日本のどのインフラが狙われやすいか

中国政府系APTが日本を標的にした場合、攻撃対象として想定されるインフラは、米国等との構造的差異を踏まえて分析する必要がある。米国では広大な国土・分散型インフラが前提であり、航空ネットワーク・石油パイプライン・軍事基地周辺の通信が主要標的となっている。これに対し、日本は高密度集中型のインフラ構造が特徴であり、攻撃の有効性・影響範囲が異なる。以下はグループ別の脆弱インフラ分析である。

グループ日本で脆弱性が懸念されるインフラ米国との比較(主な標的の違い)   警戒レベル
Volt Typhoon鉄道制御システム(新幹線・都市鉄道SCADA)、港湾物流(横浜・神戸の自動化設備)、電力グリッド(東京電力管内の変電所制御システム)米国:航空管制・石油パイプライン → 日本は鉄道・港湾への依存度が極めて高く、高密度集中型で被害波及が甚大★★★★★ 最重要警戒
Salt TyphoonNTT・KDDI・SoftBankの基幹通信網、政府専用通信回線(霞が関ネットワーク)、5G基地局制御システム米国:CALEA盗聴システムが侵害済み → 日本でも警察・防衛省の通信傍受に相当する機能が狙われる可能性★★★★★ 最重要警戒
MirrorFace(Earth Kasha)防衛省・自衛隊関連のネットワーク、防衛産業(三菱重工・川崎重工等)の研究開発系システム、JAXA・理研等の安全保障関連研究機関米国:国防請負業者・シンクタンク → 日本特化グループであり、安保3文書・F-35関連・宇宙・海洋政策情報が主ターゲット★★★★★ 最重要警戒
Silk Typhoon(APT27)外務省・NISC・内閣官房等の中央官庁システム、在外公館の通信インフラ、日本企業の海外拠点VPN米国:財務省・連邦機関 → 日本では外交暗号・海外インテリジェンス網が主な窃取対象★★★★☆ 要警戒
APT40(Gingham Typhoon)海洋・造船分野(IHI・三井E&S等)のR&D、海上自衛隊関連の技術情報、太平洋シーレーン管理システム米国:海軍・海事技術 → 日本は造船技術・潜水艦関連技術・海峡管制情報が標的になりやすい★★★★☆ 要警戒
APT41(Brass Typhoon)国内大手製薬・医療機器メーカー(武田・オリンパス等)、半導体・先端材料企業(東京エレクトロン・信越化学等)、ゲーム・エンタメ産業のIPおよび課金システム米国:ヘルスケア・テクノロジー → 日本は「Made in China 2025」競合分野(半導体・バイオ)の知財が最優先ターゲット★★★☆☆ 中程度警戒
Mustang Panda(Earth Preta)外務省・NGO・宗教団体(チベット・ウイグル支援関連)、自衛隊関連の外部委託ネットワーク機器、USB接続機器を介した閉域系システム米国:シンクタンク・NGO → 日本は人権・外交政策関連団体のほか、空自・海自の未統合系端末が狙われやすい★★★☆☆ 中程度警戒

日本特有の構造的脆弱性:なぜ鉄道・港湾・半導体が優先標的か

日本のインフラが米国と異なる点は「集中性」と「相互依存性」にある。新幹線・都市鉄道網は一点障害が国全体の物流・経済活動に波及する高密度ネットワークであり、SCADAシステムの旧世代機器が混在する環境は、Volt TyphoonのLotL型攻撃に対して特に脆弱である。2025年のNISCサイバーセキュリティ年次報告書では、重要インフラのインシデントのうちサイバー攻撃が占める割合が50.3%に達しており(2024年度)、攻撃面の拡大が顕在化している。[1]

通信分野においては、Salt Typhoonが米国で実証した「エッジデバイス(Cisco/Palo Alto/Fortinet)の既知脆弱性を起点とした侵入→通信事業者のコアネットワークへの横移動」という手口は、日本の通信キャリアにも等しく適用可能である。TeamT5の調査(2024年)では、日本国内でFortigate・Citrix・ArrayVPNの脆弱性を狙った大規模攻撃が既に観測されており、警戒が必要な状況にある。[9]

半導体・先端材料分野では、APT41が中国の「Made in China 2025」計画の競合分野を優先標的としており、東京エレクトロン・信越化学・ソニーセミコンダクタ等の日本企業は、製造装置・素材の知財という観点で国際的にも最高価値の窃取対象である。防衛省のサイバーセキュリティ強化(能動的サイバー防御法、2025年)は一定の改善をもたらすが、中小の防衛サプライヤーや大学研究室への対策が追いついていない点が構造的課題として残る。[8]

3. 各国・地域における活動事例

米国・日本・欧州・アジア各地で実際に起きた攻撃事件の記録

以下では、グループ横断的に、地域ごとの具体的な活動事例を整理する。これらは公開された政府発表・セキュリティベンダーレポートに基づく。

■ 米国:通信・重要インフラへの多層侵攻

時期グループ     事案概要
2021〜2024年Volt Typhoonグアム島の電力・通信・防衛関連ネットワークへ長期潜伏。米国内で100件以上の侵入が確認された。KV Botnetを用いたSOHOルーターへの組織的感染も実施。[7]
2024年3〜12月Salt TyphoonAT&T・Verizon・T-Mobile・Lumen等、通信大手9社に侵入。法執行機関の合法的盗聴インフラ(CALEA)に到達し、政府高官・選挙陣営を含む多数の通話メタデータを窃取した。[3]
2024年後半Silk Typhoon(APT27)米財務省ネットワークへ侵入し機密情報の窃取を試みた。民間請負業者i-Soonとの連携も判明し、2025年3月の米司法省起訴につながった。[2]
2024年3〜12月Salt Typhoon米陸軍州兵ネットワークに侵入し、14州のサイバー防衛組織の構成情報・管理者認証情報・ネットワーク図を窃取。将来のサイバー攻撃への足掛かりを確保した。[3]

日本:対日特化型APTによる継続的諜報活動

時期グループ     事案概要
2022年7月MirrorFace(Earth Kasha)参議院選挙直前、与党関係者を含む日本の政治団体を標的とした「LiberalFace作戦」を実施。LODEINFOマルウェアを添付したスピアフィッシングにより認証情報・文書・メールを窃取。[1]
2023〜2024年MirrorFace(Earth Kasha)防衛産業・外交機関・シンクタンク・大学への攻撃を継続。2024年にはAPT10が過去に使用していたANELマルウェアを復活させ、スピアフィッシングの対象を拡大。[1,4]
2024年(報道)中国系APT(複数日本の外交機密文書の漏洩が2024年2月に報道された。NISCの内部ネットワークへの侵入も過去に確認されている。[19]
2025年3月MirrorFace(Earth Kasha)日本・台湾の複数組織を標的とした新キャンペーンを確認。警察庁・NISC合同注意喚起(2025年1月)後も活動を継続していることが判明した。[1]

■ 欧州・英国:政治・選挙・外交機関を標的

時期グループ     事案概要
2021〜2022年APT31英国の対中政策議員連盟(IPAC)へのメール攻撃を実施。英国選挙委員会への侵入にも関与したとして、英国・米国が制裁を発動。[17,18]
2021〜2022年Mustang Pandaウクライナ侵攻に合わせ、EU外交機関・ドイツ大使館関係者を標的にMalicious USBドライブ攻撃を展開。欧州委員会を装ったルアーで感染させるキャンペーンも確認された。[5]
2024〜2025年DigitalRecyclers(中国系)EU加盟国の政府機関を継続的に標的に、KMA VPNを介した匿名通信でRClient・HydroRShellバックドアを展開。ESETの2025年Q1レポートで詳述された。[5]
2024〜2025年PerplexedGoblin(中国系)中央ヨーロッパの政府機関を対象に、ESETが「NanoSlate」と命名した新型バックドアを用いたスパイ活動を実施。[5]

■ アジア太平洋:台湾・ASEAN・オーストラリアへの包囲網

時期グループ     事案概要
2024年〜Earth Ammit(中国系)台湾のドローン産業サプライチェーンを標的に「TIDRONE」キャンペーンを展開。正規ソフトウェアへの悪意あるコード埋め込みと信頼チャネルを経由したビジネスSC攻撃の2手法を組み合わせた。[9]
2024年3月Stately Taurus(Mustang Panda)ASEAN・豪首脳会議(2024年3月)に合わせ、フィリピン・日本・シンガポール等を標的にマルウェアを作成・配布。会議日程に同期した攻撃タイミングが確認された。[6]
2024年6月Volt Typhoonシンガポールの大手通信事業者「Singtel」への侵入が確認された(2024年11月Bloomberg報道)。Singtelはマルウェアを駆除済みと発表した。[7]
2024年(複数)Mustang Pandaミャンマー・フィリピン・ベトナム・カンボジア・台湾の政府機関を対象に、スピアフィッシングによる新型マルウェアDOWNBAIT/CBROVERキャンペーンを展開した。[5,6]
2024年7月APT40オーストラリア・米・英など8か国のサイバー当局が共同勧告を発出。オーストラリア政府・企業ネットワークへの侵入事例が詳述され、新脆弱性を数時間以内に武器化する能力が示された。[3]
2025年11月Salt Typhoon / Volt Typhoonオーストラリア安全情報機構(ASIO)が、中国系ハッカーによる豪州の重要インフラ(通信網含む)への侵入試行を公式に確認。日本・欧州・カナダを含む同盟国へのキャンペーンと共通のTTPが観測された。[3,14]

4. 最新の攻撃トレンド(2024〜2025年)

痕跡を残さず長期間潜伏する――検知が難しくなった攻撃手法の最前線

環境寄生型(LotL)の標準化:正規のOS・ネットワーク管理ツールのみを使用し、マルウェア検知システムを無効化する手法が中国系APT全般に定着しつつある。[7]

エッジデバイスの優先的標的化:Cisco・Palo Alto Networks・Fortinet等のVPN機器やファイアウォールの既知脆弱性を組織的に悪用する傾向が加速している。[3,9]

長期潜伏戦略の深化:Volt Typhoonが5年以上にわたりインフラに潜伏した事例に代表されるように、「今すぐ使わない」侵入拠点を蓄積する戦略が確認されている。[7]

サプライチェーン攻撃の高度化:Silk Typhoon・Earth Ammitによるドローン産業サプライチェーン侵害のように、直接標的ではなく委託先・部品供給業者経由での侵入が増加している。[2,9]

情報操作との複合化:サイバースパイ活動と情報操作(InfoOp)を組み合わせた複合攻撃が出現しており、単なる技術的問題を超えた戦略的脅威となっている。

5. 新興脅威・横断的論点

通信網への長期潜伏・宇宙インフラ攻撃・再生可能エネルギー機器の盗聴疑惑など新たな脅威

5-1. BPFdoor/Red Menshen:通信バックボーンへの「スリーパーセル」

通信会社の基幹システムに深く潜伏し、気づかれないまま盗聴し続ける新手口

2026年3月、米サイバーセキュリティ企業Rapid7は、中国系脅威グループ「Red Menshen」による世界的な通信事業者侵害キャンペーンを公表した。同グループが使用する「BPFdoor」はLinuxカーネル内部に潜伏するバックドアであり、通常の監視ツール(netstat等)では検知不能で、特定の「マジックパケット」を受信した時のみ起動するという特性を持つ。[11]

重要な点は、Salt Typhoonが通信企業のITレイヤー(メール・ネットワーク機器)を侵害したのに対し、BPFdoorは通信コア(加入者管理・認証・5G制御)のLinux基盤そのものに埋め込まれる点である。Rapid7は「これらは単にネットワークに侵入するのではなく、ネットワークに『居住』するように設計されている」と指摘している。4G・5Gコア機能を制御するKubernetes環境やHPE ProLiantサーバを偽装する最新亜種も確認されており、日本の通信大手が採用する5G基盤にも同等の脅威が存在する。[11]

5-2. 中国の五カ年計画とサイバー標的の連動性

中国の国家計画が優先する産業が、そのままハッキングの標的になっている

オーストラリア戦略政策研究所(ASPI)は2026年4月の論文で、中国の五カ年計画に列挙される優先技術分野と、その後に観測されるAPT攻撃の標的が高い相関を持つことを示した。第13次計画(2016〜2020年)が5G・通信インフラを優先した後、Salt Typhoon等が世界の通信事業者を標的にしたことはその典型例である。現在進行中の第14次計画(2021〜2025年)は半導体・AI・先端製造・量子技術を優先分野としており、これはAPT41(半導体知財窃取)の活動と整合する。次期第15次計画(2026〜2030年)が宇宙・衛星通信を優先するとの分析も存在し、日本のインフラ防衛担当者は、中国の計画文書をAPT標的の先行指標として活用すべきである。[12]

5-3. 宇宙インフラへの複合的攻撃(サイバー×電子戦×物理的手段)

衛星・宇宙通信も攻撃対象に――有事には日本の宇宙インフラも狙われる

米国家情報長官室(ODNI)および戦略国際問題研究所(CSIS)の分析によれば、中国人民解放軍は台湾有事を想定し、衛星通信の無力化を作戦の柱に位置付けている。手段は対衛星ミサイル・電子妨害(ジャミング)・サイバー攻撃・妨害衛星(近傍接近型)の四層から構成される。[13,14]

Volt Typhoonが米軍のグアム基地通信インフラを優先標的とした背景には、衛星通信の地上局・中継点を含む通信網全体の機能停止を有事に可能とするという目的がある。日本においてはJAXAの準天頂衛星(みちびき)システムや自衛隊・民間が共用する軍民両用衛星通信インフラが潜在的な攻撃対象となりうる。2024年には、JAXAへの不正アクセス事案が日本政府により公表されており、具体的なリスクが顕在化している。[13]

5-4. 中国製再エネ機器の「隠し通信機器」問題

太陽光発電設備に仕込まれた謎の通信装置――電力網を遠隔操作できる恐れ

【重要留意事項】 本節は技術的確認が進行中の事案を扱う。独立した第三者検証が完了していない情報を含むため、記述は一次報道の範囲に限定し、確定的な評価を控えている。

2025年5月、ロイター通信は、米国のセキュリティ専門家が中国製太陽光インバーターおよびバッテリーシステムの内部から、製品仕様書に記載されていない通信モジュールを発見したと報じた。これらのデバイスはセルラー無線等を含み、電力会社が設置するファイアウォールを迂回して外部と通信できる可能性があるとされる。[15]

米国エネルギー省は「これらが悪意のあるものかは未確定」として調査を継続している。2024年11月に複数の国でインバーターが中国から遠隔操作で無効化されたとされる事案も報告されているが、[15]

第三者による独立した確認は本稿執筆時点では得られていない。一方、NATO(2025年)はこの問題を公式に認識し加盟国に対し戦略的依存関係の見直しを要求、リトアニア(2024年11月)は100kW超の再エネ設備への中国製機器リモートアクセスを禁止する法律を制定した。日本においても多数のメガソーラー施設が中国製インバーターを導入しており、国会でも複数議員が安全保障上のリスクとして取り上げている。

5-5. FBI・Operation Winter SHIELD と国際制裁

米国・欧州が外交・法的手段で反撃――日本も制裁の枠組み整備が急務

FBIシカゴ支局は2026年3月、「Operation Winter SHIELD」と題したサイバーレジリエンス強化キャンペーンを開始し、重要インフラ事業者に対するセキュリティ基準の引き上げを呼びかけた。[16]

制裁面では、欧州連合(EU)が中国系ハッキンググループへの初の公式制裁を発動し、英国もXinbi市場等との関連で中国系サイバー犯罪者への制裁を実施した。これらは、サイバー防衛が技術的問題を超えた外交・法的手段として機能し始めていることを示す重要な政策的動向である。日本においても能動的サイバー防御法(2025年施行)を活用したアトリビューション公表と制裁の枠組み構築が急務である。[17,18]

5-6. シンガポール拠点・第三国経由ハッキング事案:国家と犯罪の境界線

第三国を隠れ蓑にする「傭兵ハッカー」――国家の関与を見えにくくする構造

2025年11月、シンガポール法廷は、虚偽の就労ビザで入国した中国・河南省出身の3名に対し禁固約28か月の判決を下した。3名は主犯のバヌアツ国籍のXu Liangbiao(逃亡中)が準備した拠点を使用し、ギャンブルサイトへの不正アクセス・2要素認証の迂回などを実行。摘発時には、オーストラリア・アルゼンチン・ベトナム・カザフスタンの政府機関データおよびPlugX等のAPT級マルウェアを保有していたことが判明した。[23]

注意が必要なのは、この事案が中国政府が直接指示したAPT攻撃とは異なる性質を持つ点である。検察側自身が「3名のハッカーは基本的にハッキングができなかった」と述べており、これは国家の高度技術部隊ではなく「サイバー傭兵」エコシステムの一例である。ただし以下の3点は重要な論点となる。

第一に、高コストの維持体制と暗号通貨による報酬が示す組織的な資金力。第二に、APT級ツール(PlugX)を犯罪的利用のために流用するという国家ツールの外部拡散の実態。第三に、「第三国の就労ビザを偽造して拠点化する」という手口が、国家関与の証拠を隠蔽しながら作戦展開できる構造的な利点を持つ点である。米司法省が指摘するi-Soonの構造と同様、本事案もサイバー犯罪と国家スパイ活動の境界が意図的に曖昧化されているエコシステムの一端を示している。

5-7. 日米防衛同盟の機密ネットワーク侵害:同盟の情報共有基盤への脅威

防衛省の最高機密ネットワークに数年間侵入――日米同盟の根幹を揺るがした事件

2023年8月、ワシントン・ポストは複数の現・元米国政府高官の証言として、中国人民解放軍のサイバー部隊が2020年秋以降、日本の防衛省が管理する最高機密レベルのネットワークに継続的に侵入していたことを報じた。NSAがこの侵害を発見し、NSA長官が元国家安全保障担当副補佐官とともに緊急来日し、当時の首相に直接報告する異例の対応が取られた。[19]

この事案が持つ戦略的重要性は二重である。第一に、侵害の対象が防衛省の「作戦能力・計画・弱点評価」といった最高機密情報であった点であり、PLAがこれらを入手していたとすれば日米共同作戦の根幹が危険にさらされていたことになる。第二に、CSIS(2025年6月)が指摘するように、中国系APTは「北京の執務時間帯に合わせて攻撃が増加し、中国の祝日には停止する」というパターンが観測されており、国家主導の組織的活動を強く示唆する。[19,20]

侵害後、日本はネットワーク防御を強化したが、米国側は依然として情報共有上のギャップへの懸念を持続しており、GSOMIAを含む日米インテリジェンス連携の強化が急務とされる。2025年に成立した能動的サイバー防御法は、この課題に対する日本の制度的回答の第一歩と位置付けられるが、完全施行には2027年まで猶予があり、その間の脆弱性が懸念される。[20]

5-8. 中国APT攻撃の急拡大:2024年の統計的証拠

2024年、中国のサイバー攻撃は件数・規模ともに急増――数字が示す脅威の現実

CSISの「Significant Cyber Incidents」データベースおよびODNIの年次脅威評価(2025年)は、中国APTの活動が2024年に質・量ともに急拡大したことを示している。主な統計的事実として、中国APTによるサイバースパイ活動は2024年に全体で150%増加し、特に金融・メディア・製造・産業セクターへの攻撃は最大300%増加したとされる(Recorded Future 2024年レポートによる推計値)。台湾への攻撃は1日当たり240万件(前年比2倍)に達し、政府システムへの成功した攻撃件数は前年比20%増を記録した(台湾国家安全局、2025年1月)。[10,14,21]

(注:上記の定量値は各機関が採用する測定方法・定義が異なるため、直接比較には慎重を要する。各数値の出典は脚注を参照のこと。)

SentinelOneのMatthew Pinesは、Salt Typhoonによる通信事業者侵害を「米国史上最悪の対諜報侵害」と評価し、MSS(中国国家安全部)が米国のスパイ網の全体像を把握できる状態になったと警告している。[3]

6.日本への示唆

攻撃者を名指しで公表する勇気・守りの発想転換・官民連携・人材育成――日本が取るべき6つの行動

(1)パブリック・アトリビューションの積極的活用

攻撃者を国として公式に名指しし、国際社会と連携して抑止力を高める

日本は近年、MirrorFaceに対する注意喚起など「パブリック・アトリビューション(公開帰属)」を始めているが、米英に比べると依然として抑制的である。攻撃者の特定と公開は抑止効果を持つとともに、国際的な連帯形成にも寄与する。五眼(Five Eyes)同盟国との協調を強化しつつ、国内での情報公開基準の整備と発信の積極化が求められる。[1,20]

(2)エッジデバイス・サプライチェーンの脆弱性管理強化

ルーターやVPN機器の穴をふさぎ、取引先経由の侵入も防ぐ

中国系APTはVPN機器・ルーター・ファイアウォール等のエッジデバイスの既知脆弱性を組織的に悪用している。政府機関・重要インフラ事業者においては、パッチ適用の迅速化に加え、ネットワーク構成の可視化と定期的な侵害痕跡(IoC)調査を制度化することが急務である。また、委託先・調達先のサプライチェーンセキュリティ評価の義務化も検討に値する。[3,9]

(3)「平時の潜伏」を前提とした防衛思考への転換

すでに侵入されている」前提で守る――境界線の外に出た脅威への対応

Volt Typhoonの事例は、「すでに侵入されている可能性を前提とする」ゼロトラスト型の思考へのパラダイムシフトを強く促している。既存の境界型防御に加え、ネットワーク内部での異常行動を検知する振る舞い分析ツールの導入、および有事を想定した「サイバーレジリエンス」計画の整備が不可欠である。[7]

(4)官民・国際連携の制度化

政府・企業・同盟国が情報を共有し、一体となって対抗する体制づくり

中国系APTは政府・民間・軍の三層が有機的に機能するエコシステムを形成している。これに対抗するためには、防衛省・警察庁・NISCに加え、重要インフラ事業者・通信キャリア・セキュリティベンダーが参加する官民統合の脅威情報共有プラットフォームの整備が必要である。また、日米同盟の枠組みを活用した「サイバー防衛協力」の条約上の位置付け明確化も重要な課題である。

(5)人材・技術基盤の整備

高度な攻撃を見抜ける専門家を国として育て、防衛力の底上げを図る

「環境寄生型」攻撃への対処には、標準的なSIEM・EDRでは対応が困難であり、高度なフォレンジック解析・脅威ハンティング能力を持つ人材の育成が急務である。大学・研究機関・民間との連携を通じた体系的な人材育成プログラムの構築と、国際的な視点を持つサイバーインテリジェンス専門家の養成を国家戦略として推進すべきである。[22]

(6)中国のサイバー人材育成構造を直視した人材政策の抜本的転換

年間3万人超を育成する中国に対し、日本も国主導の人材パイプライン構築を

日本が中国のサイバー脅威に追いつけない構造的背景として、人材育成パイプラインの圧倒的な格差がある。Atlantic Councilが2024年10月に公表した報告書「Capture the (red) flag」は、この実態を初めて体系的に分析した。[22]

中国は年間50以上のCTF(Capture the Flag:サイバー攻防模擬競技)を政府主導で運営し、MPS・MSS・PLA・教育省がそれぞれ大学横断型の大会を後援している。最大規模の「網鼎杯(Wangding Cup)」の参加者は年間3.5万人超に達する。准決勝進出者は「国家サイバーセキュリティ人材データベース」に自動登録され、優秀者がMSS・MPS関連企業に送り込まれる採用パイプラインが制度化されている。2018年の政府指令では、参加者が大会中に発見した脆弱性情報の当局への強制報告義務が課されており、民間の「白帽子ハッカー」が発見したゼロデイも国家が系統的に収集している。[22]

比較軸      中国   日本(現状と課題)
大会規模・数年間50以上(政府主導)。Wangding Cup参加者3.5万人超民間・大学主催中心。政府主導の統一的体系なし。規模・数ともに大幅劣後
カリキュラム連携CTF参加が大学成績評価・単位認定と連動競技とカリキュラムの連動が弱く、実践スキル評価体系が未整備
採用パイプライン国家人材DBに競技成績で自動登録→政府・軍・情報機関へ優秀者を迅速供給政府・防衛省への制度化された人材供給経路なし。セキュリティクリアランス制度(2024年)は緒に就いたばかり
ゼロデイ収集2018年指令:発見脆弱性の当局への強制報告義務。ゼロデイを国家備蓄として体系化法的強制力のある脆弱性報告制度なし
国際競争力DEF CON CTFで毎年トップ12常連。Pwn2Ownでは賞金の最大79%を中国チームが獲得(2019年まで)組織的なトップ国際大会への参加・チーム育成体制が不十分

日本が取るべき具体的措置として次の3点を提言する。第一に、経産省・総務省・防衛省・文科省が共同で「政府認定CTF大会」制度を創設し、大学の情報工学・セキュリティ系学科の単位認定と連動させること。第二に、防衛省・警察庁・NISCが共同で大会上位者の「人材ファストトラック」制度を整備し、セキュリティクリアランス取得支援と組み合わせて官民間の人材流動を促進すること。第三に、攻撃的なサイバー演習(レッドチーム)を自衛隊・重要インフラ事業者合同で定期化し「防御側が攻撃の思考を理解する」実践的訓練を制度化すること。

  • 補論 先行研究レビュー

【本セクションの位置付け】 本稿は政策・実務向けレポートであるが、精度向上のため、本稿が依拠する主要先行研究の位置付けを整理する。

1. 国家機関・政府発表

警察庁・NISCによる「MirrorFace(Earth Kasha)」共同注意喚起(2025年1月)[1]は、日本政府が公式にAPT帰属を発表した最も包括的な公開文書であり、本稿における対日攻撃の事実認定の基礎としている。米国司法省による中国人12名の起訴状(2025年3月)[2]は、i-SoonおよびMSS関係者の連携構造を一次資料として示している。CISA・FBI・NSAによるSalt Typhoon共同勧告(2025年)[3]は通信事業者被害の技術的詳細を公式に確認している。

2. 民間インテリジェンス企業・セキュリティベンダー

Recorded Future(2024年)[10]はPLAとMSSの協力構造を体系的に分析した最も包括的な民間レポートの一つである。Trend Micro(2025年)[4]は国内標的型攻撃の技術的詳細を提供し、ESET(2025年Q1レポート)[5]は欧州における中国系APTの最新活動を記録している。Microsoft Threat Intelligence(2023〜2024年)[7]によるVolt Typhoon分析は、LotL技術の詳細を技術コミュニティに初めて広く示した報告として位置付けられる。TeamT5(2024年)[9]はアジア太平洋地域の脅威情報において独自の現地調査を行っており、本稿の日本・台湾関連記述に援用している。

3. シンクタンク・学術研究

CSIS「Significant Cyber Incidents」データベース(継続更新)[21]は、本稿が活動事例を整理する際の主要な横断的参照源である。Atlantic Council(Dakota Cary・Eugenio Benincasa, 2024年10月)[22]による中国CTFエコシステム分析は、人材育成パイプラインに関する最初の体系的な英語圏研究であり、本稿第V章(6)の主要根拠としている。ASPI(2026年4月)[12]による五カ年計画とAPT標的の相関分析は、本稿5-2節の根幹を成す。

4. 先行研究の限界と本稿の位置付け

上記先行研究は大多数が英語で発表されており、日本語圏の政策・実務コミュニティへのアクセシビリティに課題がある。また、グループ横断的に「日本特有のインフラ構造」との脆弱性マッピングを行った先行研究は管見の限り存在しない。本稿は一次調査(独自インタビュー・ログ分析)を含まない文献統合型レポートであるが、日本語での体系的整理という点に独自の貢献がある。なお、本稿で使用する「重大インシデント」「被害組織数」等の定量的主張は、各注で明示する一次資料の報告値に基づくものであり、独自の計測値ではない。

  • 参考資料・脚注

【凡例】 本稿の文中脚注〔注N〕は以下の番号に対応する。各引用は発行機関の原典情報を示す。

[1] 警察庁・内閣サイバーセキュリティセンター(NISC)「MirrorFace(Earth Kasha)に対する注意喚起」2025年1月。本稿の対日攻撃記述の主要一次資料。

[2] 米国司法省(DOJ)「中国人ハッカー12名起訴に関するプレスリリース」2025年3月5日。i-SoonおよびMSS・MPS関与の一次資料。

[3] 米国サイバーセキュリティ・インフラセキュリティ庁(CISA)・FBI・NSA「Salt Typhoon共同勧告」2025年。被害9社・80か国・200組織超の数値の一次出典。

[4] Trend Micro「国内標的型攻撃分析レポート2025年版」トレンドマイクロ株式会社。

[5] ESET「APT活動レポート 2024年第4四半期〜2025年第1四半期」ESET Research。DigitalRecyclers・PerplexedGoblin等の欧州事案の主要出典。

[6] Palo Alto Networks Unit42「ASEAN諸国:中国APTグループによる標的化」2024年。

[7] Microsoft「Volt Typhoon による米国の重要インフラへの攻撃」Microsoft Threat Intelligence, 2023-2024。LotL技術・KV Botnet・グアム事案の主要出典。

[8] Mandiant / Google Cloud「APTグループと脅威アクター」Google Cloud Security。APT41の二重任務型活動の主要出典。

[9] TeamT5「アジア太平洋地域のAPT脅威レポート2023」2024年。日本国内エッジデバイス脆弱性悪用の主要出典。

[10] Recorded Future「中国のAPT攻撃の先鋭化と攻撃を支える国家支援体制の実像」2024年。PLA・MSS協力構造・約50攻撃組織の数値出典。

[11] Rapid7 Labs「BPFdoor in Telecom Networks: Sleeper Cells in the backbone」2026年3月。BPFdoor・Red Menshen分析の主要出典。

[12] ASPI(オーストラリア戦略政策研究所)「Wondering where China’s cyber effort will go next? Just read the five-year plan」The Strategist, 2026年4月。五カ年計画とAPT標的相関の主要出典。

[13] CSIS(戦略国際問題研究所)「Securing Cyber and Space: How the United States Can Disrupt China’s Blockade Plans」2025年12月。宇宙・衛星通信攻撃分析の主要出典。

[14] ODNI(米国家情報長官室)「Annual Threat Assessment 2025」米国上院情報委員会向け証言、2025年。中国APT活動統計の出典の一つ。

[15] Reuters「Ghost machine: Rogue communication devices found in Chinese inverters」2025年5月14日。本稿5-4節の主要出典。なお、本事案は技術的検証が進行中であり、独立した第三者確認が得られていない点に注意。

[16] FBI Chicago Field Office「Operation Winter SHIELD Awareness Campaign」2026年3月(FBI公式発表)。

[17] Reuters「EU sanctions Chinese and Iranian companies for cyberattacks」2024〜2025年。EU制裁の出典。

[18] UK Government「UK sanctions Xinbi marketplace linked to Asian scam centers」2024〜2025年。英国制裁の出典。

[19] Washington Post「China hacked Japan’s classified defense cyber networks」2023年8月7日。日本防衛省機密ネットワーク侵害の調査報道。複数の現・元米政府高官の証言に基づく。

[20] CSIS「Norms in New Technological Domains: What’s Next for Japan and the United States in Cyberspace」2025年6月。

[21] CSIS「Significant Cyber Incidents」データベース(継続更新)。本稿の活動事例整理の横断的参照源。

[22] Atlantic Council「Capture the (red) flag: An inside look into China’s hacking contest ecosystem」Dakota Cary・Eugenio Benincasa, 2024年10月18日。中国CTFエコシステム・人材育成パイプラインの主要出典。

[23] CNA(Channel NewsAsia)「Chinese hackers who entered Singapore on fraudulent work permits were found with data of foreign governments」2025年11月。シンガポール拠点ハッキング事案の一次出典。

用語集

用語説明
APT(Advanced Persistent Threat)高度持続的脅威。国家支援を背景に、特定の標的に対して長期間・高度な技術で攻撃を継続するグループまたはキャンペーンを指す。
Living off the Land(LotL)「環境寄生型」攻撃。標的システムに標準搭載されたOS・管理ツール(PowerShell、WMI等)のみを用いてマルウェアの導入なしに攻撃を遂行する手法。検知が極めて困難。
CALEA(Communications Assistance for Law Enforcement Act)米国通信傍受法。法執行機関が合法的に通信を傍受するための仕組み。Salt Typhoonはこのシステム自体に侵入し、逆用した。
パブリック・アトリビューションサイバー攻撃の帰属(犯人特定)を公式に発表・非難する外交・安全保障上の手段。抑止効果と国際連帯形成を目的とする。
サプライチェーン攻撃最終標的への直接侵入ではなく、信頼されたソフトウェア・ベンダー・部品供給業者を経由して標的に侵入する間接攻撃手法。
SOHOルーター(Small Office/Home Office)中小規模オフィスや家庭向けの小型ルーター。セキュリティ管理が手薄になりやすく、中国系APTがボットネット構築に悪用するケースが多い。
MSS(Ministry of State Security)中国国家安全部。中国の対外情報・スパイ活動を担う諜報機関。Salt Typhoon・APT27・APT31等の活動を支援していると分析されている。
PLA Cyberspace Force人民解放軍サイバー部隊。2015年の軍改革で設立された戦略支援部を前身とし、Volt Typhoon等を運営していると米国当局は判断している。
IoC(Indicators of Compromise)侵害痕跡。マルウェアのハッシュ値、悪意あるIPアドレス・ドメイン、不審なレジストリ変更等、攻撃を受けた証拠となるデジタル指標。
ゼロトラスト(Zero Trust)「信頼するな、常に確認せよ」を原則とするセキュリティモデル。境界型防御の限界を克服し、内部ネットワーク上での横移動を制限する設計思想。
スリーパーセル敵対勢力があらかじめ標的のシステム内部に潜入・潜伏させておく工作員や仕掛けのこと。平時は活動せず、有事や指令を受けたときに初めて動き出す。サイバー分野では、通信網や重要インフラに密かに埋め込まれたバックドア(裏口)プログラムがこれにあたる。
Made in China 2025(中国製造2025)中国政府が2015年に発表した産業高度化戦略。半導体・AI・航空宇宙・バイオ・ロボットなど10分野で2025年までに世界トップレベルの製造大国となることを目標とする。本稿では、この計画が優先する分野の技術・知財が中国系ハッカーの窃取対象と高い相関を持つことを示している。
マジックパケットあらかじめ決められた特定の「合言葉」にあたる信号データのこと。BPFdoorのような潜伏型バックドアは、このマジックパケットを受信したときだけ起動し、それ以外は完全に沈黙しているため、通常の監視ツールでは存在すら検知できない。
BPFdoor中国系ハッキンググループ「Red Menshen」が使用する高度な潜伏型バックドア(裏口)プログラム。通信会社のサーバーのOS深部に埋め込まれ、マジックパケットを受信したときだけ密かに起動する。通常の監視ツールでは検知がほぼ不可能で、「ネットワークに居住する」と表現されるほど長期間発覚しない点が最大の脅威。
ESETスロバキア発祥の大手サイバーセキュリティ企業。ウイルス対策ソフトの開発で知られるほか、国家支援型ハッキンググループの調査・分析レポートを定期的に発表しており、欧州における中国系APT活動の主要な情報源の一つ。
スピアフィッシング特定の個人や組織を狙い撃ちにした標的型の詐欺メール攻撃。無差別に送られる一般的なフィッシングと異なり、受信者の氏名・役職・業務内容などを事前に調べた上で、実在する取引先や上司を装った巧妙なメールを送りつけ、マルウェアを仕込んだ添付ファイルを開かせたり、偽サイトに誘導したりする。
i-Soon(安洵)中国の民間サイバーセキュリティ企業でありながら、中国政府機関(国家安全部・公安部)の指示を受けてサイバー攻撃を実行する「ハッカー請負業者」。盗んだ情報を政府に売却するビジネスモデルで運営しており、国家の直接関与の証拠を隠しながら攻撃能力を外部化する役割を担う。2025年3月、米司法省に起訴された。
エッジデバイス企業や組織のネットワークの境界部分(エッジ)に設置される通信機器の総称。VPN装置・ファイアウォール・ルーターなどが該当する。インターネットと内部ネットワークの接続点に位置するため、ここに脆弱性があると攻撃者が内部に侵入する足がかりとなる。中国系APTはこれらの既知の脆弱性を組織的に悪用している。
TeamT5台湾を拠点とするサイバーセキュリティ調査会社。アジア太平洋地域における国家支援型サイバー攻撃の追跡・分析を専門とし、日本・台湾を標的とした中国系APTの活動に関する独自の現地調査で知られる。本稿でも日本国内のエッジデバイス脆弱性悪用に関する情報源として引用している。
SCADAシステム発電所・鉄道・水道・工場などの重要インフラを遠隔監視・制御するためのコンピューターシステム。「Supervisory Control and Data Acquisition(監視制御とデータ収集)」の略。古い機器が現役で使われていることが多く、サイバー攻撃に対して脆弱な場合がある。攻撃されると電力供給停止や交通障害など社会的に深刻な被害が生じる。
環境寄生型攻撃(Living off the Land/LotL)標的のコンピューターにもともと備わっているOS標準ツール(Windowsの管理機能など)だけを使って攻撃を行う手法。外部からウイルス(マルウェア)を持ち込まないため、セキュリティソフトによる検知が極めて困難。Volt Typhoonをはじめとする中国系APTが広く採用しており、「正規のツールしか使っていない」ことが発覚を遅らせる最大の特徴。