国家支援ハッカーと商業目的攻撃の実態
「うちは中小企業だから大丈夫」——その油断こそが、攻撃者の狙い目です。
2025年2月、ウォール・ストリート・ジャーナルは「国家に支援されたハッカーが、これまでにないペースで民間企業を標的にしている」と報じました。政府機関だけでなく、製造業、ハイテク企業、研究機関、さらには中小企業まで——サイバー攻撃の射程はいまや産業全体に及んでいます。
この記事では、「なぜ企業が狙われるのか」「攻撃者は何者なのか」「どうすれば身を守れるのか」を、できるだけ分かりやすく、かつ最新の情報をもとに解説します。OSINT(公開情報調査)的な視点も交えながら、現実の脅威の姿を具体的に描き出してみましょう。
第1章:「国家ハッカー」とは何者か?普通の犯罪組織と何が違う?
まず前提として、サイバー攻撃者を大きく2種類に分けると分かりやすくなります。
①金銭目的の「商業的攻撃者」 ランサムウェアで身代金を要求したり、クレジットカード情報を盗んで転売したりする、いわゆる「サイバー犯罪者」です。動機はお金、目標は手っ取り早く稼ぐこと。セキュリティが弱い組織を片っ端から狙います。
②国家に支援された「APT(高度持続的脅威)グループ」 APTとは”Advanced Persistent Threat”の略。「高度で、執拗で、長期的な」攻撃を行うグループです。その背後には、中国・ロシア・北朝鮮・イランなどの国家があるとされ、目的は「お金」ではなく「情報」と「戦略的優位性」の獲得にあります。
この2つの違いは、攻撃のスタイルにも表れています。
金銭目的の犯罪者は、スピードを重視します。侵入したらすぐにランサムウェアを展開し、身代金を要求して逃げる。対して国家支援APTは「忍者型」です。企業のネットワークに入り込んだら、発見されないようにひっそりと潜伏し、何ヶ月も、時には何年もかけてじっくりと情報を盗み続けます。被害に遭った企業が「いつ侵入されたのか」すら分からないことも珍しくありません。
第2章:なぜ「民間企業」が狙われるのか?
「国家のハッカーが企業を狙うなんて、大げさでは?」と思う方もいるかもしれません。しかし、この疑問への答えはシンプルです。企業には、国が欲しがる情報が詰まっているからです。
ケース1:知的財産(IP)の窃取
新薬の開発データ、次世代半導体の設計図、軍民両用技術の研究成果——これらは数十年分の研究開発投資の結晶です。サイバー攻撃で盗み出すことができれば、莫大なコストをかけずに技術力を手に入れることができます。
日本の製造業はGDPの約2割を占める基幹産業であり、特に自動車・電機産業は世界でも高いシェアを持っています。米中両国の市場とサプライチェーンが交わる場所に位置する日本は、従前から知的財産の窃取を目的としたサイバー攻撃の標的になり続けています。
ケース2:サプライチェーン攻撃の「踏み台」
大企業のシステムが堅固でも、そのサプライヤー(部品メーカー、ソフトウェアベンダー、物流会社など)のセキュリティが弱ければ、そこが侵入口になります。中小企業が「踏み台」にされ、大企業に侵入するための通路として使われるのです。
台湾では、ドローン産業のサプライチェーンを狙った攻撃が確認されており、正規ソフトウェア内に不正コードを埋め込む「ソフトウェアサプライチェーン攻撃」と、信頼済みチャネルを介して下流の顧客にマルウェアを送り込む「ビジネスサプライチェーン攻撃」の2パターンが展開されました。
ケース3:経済・外交上の情報収集
企業の内部資料には、価格交渉戦略、提携計画、政府との契約内容など、外交や経済政策に使える情報が含まれることがあります。国家にとっては、ハッカーで手に入れる「生きた情報」は、外交交渉で何億ドルもの価値を持つことがあります。
ケース4:重要インフラへの先行侵入
電力、水道、通信、金融——現代のインフラは民間企業が運営していることが多い。国家支援APTは、有事の際に「スイッチを押すだけで機能を停止できる」状態を作るため、平時から重要インフラに潜り込もうとしています。
第3章:主要な国家支援ハッカーグループ——OSINT的に見る実態
セキュリティ研究者たちは、各国のAPTグループを追跡し、その特徴を公開情報として発表し続けています。これ自体がOSINT(Open Source Intelligence=公開情報を活用した情報収集・分析)の好例です。ここでは主要なグループを見ていきましょう。
🇨🇳 中国系APT:MirrorFace(Earth Kasha)
日本で最も警戒すべき存在の一つが「MirrorFace」、別名「Earth Kasha」です。中国語を使用するAPTグループであり、日本を主なターゲットとしており、APT10の傘下組織の一つと考えられています。攻撃キャンペーンの主な目的は、安全保障や先端技術に関する情報窃取とされています。
Earth Kashaは2025年1月に警察庁が注意喚起を発表した後も攻撃が増加しており、2025年3月にも日本および台湾の政府機関や公共機関などを標的とした攻撃キャンペーンが観測されました。攻撃者は修正済み履歴書の送付を装ったり、研究助手募集や公務出張報告などのタイトルでメールを送るなど、巧妙化を図っています。
🇨🇳 中国系APT:APT27(Silk Typhoon)
APT27は中国政府とつながりのある高度なハッカーグループで、スパイ活動や知的財産の窃取を目的としたサイバー攻撃を実施してきました。メンバーは標的ネットワークへの侵入、マルウェアの展開、長期的な監視、機密データの窃取といった手法を駆使し、防衛関連企業、大学、シンクタンク、地方自治体、ヘルスケアシステムなどを狙っていたとされています。
2025年3月、米司法省はこのグループに関与した中国人12名を起訴。その中には中国の国家安全部(MSS)の関係者や、「i-Soon」という「ハッカー請負業者」の従業員も含まれていました。国家がハッキングをアウトソースする構造が明らかになった事件です。
🇷🇺 ロシア系APT:APT29(Cozy Bear)
ロシア背景と考えられる攻撃については、2024年に以前見られたような「流れ弾的な着弾」ではなく、明確に日本の組織を標的として矛先を向けてきたことが伺える証跡が確認されています。
APT29は2020年のSolarWinds事件でも知られています。この攻撃では、コロナ禍の混乱に乗じてSolarWindsのネットワーク監視ソフトウェア「Orion」をハッキングし、18,000以上の政府および民間ネットワークに侵入。ユーザーID、パスワード、財務記録、ソースコードなど、あらゆる情報が流出した可能性がある重大事件でした。
🇰🇵 北朝鮮系APT:Lazarus・Famous Chollima
北朝鮮のグループは一風変わった戦略をとります。諜報活動だけでなく、外貨獲得という「経済的目的」も兼ねているのが特徴です。
Famous Chollima(Lazarusの下位集団)は、ITワーカーとして国外の企業に就職することで関連システムに侵入し、スパイ活動に従事したり、企業から得た給与を北朝鮮政府に送金したりしています。これまでに金融、暗号資産、ヘルスケア企業への潜入が確認されており、フォーチュン500にランクインする組織も標的になりました。武器となるのは高度なマルウェアではなく、人の信頼や判断力の隙を利用するソーシャルエンジニアリングとAI技術の組み合わせです。
「社員として会社に入り込む」というアプローチは、技術的なセキュリティ対策だけでは防げない点で特に危険です。
第4章:APT攻撃はどのように行われるのか?——攻撃の解剖
APT攻撃には典型的な「プロセス」があります。これを理解することが防御の第一歩になります。
Phase 1:偵察(Reconnaissance)
攻撃者はまず「ターゲット調査」から始めます。ここでOSINT(公開情報調査)が大活躍します。企業のWebサイト、プレスリリース、LinkedIn、特許データベース、求人情報——これら全てが攻撃者にとっての「情報源」になります。
「新しい○○システムを導入しました」というプレスリリースは、使用しているソフトウェアを攻撃者に教えることになります。「エンジニア募集:VPNの管理経験必須」という求人票は、社内インフラの情報を晒していることになります。
OSINTの視点から言えば、あなたの会社が公開している情報の多くは、攻撃者にとって「攻撃設計図」になり得るのです。
Phase 2:初期侵入(Initial Access)
標的が定まったら、次は「入口」を探します。主な手口は以下のとおりです。
スピアフィッシングメール——ただの怪しいメールではなく、担当者の名前、送り先の組織名、直近のプロジェクトの話題などを盛り込んだ、極めてリアルな「なりすましメール」です。「修正版の資料を添付しました」「採用のご連絡です」——こういった一文に、マルウェアが潜んでいます。
VPN・ネットワーク機器の脆弱性悪用——リモートワーク普及以降、VPN機器はハッカーにとって格好の侵入口になっています。ファームウェアの更新を怠っている機器は、インターネット上から丸見えの「開いた扉」同然です。
Phase 3:潜伏と横展開(Lateral Movement)
最初に侵入した端末は「出入口」に過ぎません。攻撃者はそこから社内ネットワークを探索し、より価値の高い情報がある場所へと移動していきます。この段階では、正規の管理ツール(Windows標準機能など)を使うことが多く、一般的なウイルス対策ソフトでは検知が困難です。
Phase 4:情報収集と持ち出し(Exfiltration)
目的のデータを見つけたら、こっそりと外部に送り出します。大量のデータを一気に送ると怪しまれるので、少しずつ時間をかけて行うことが多い。攻撃者による正規のオンラインストレージ(GoogleドライブやDropboxなど)の悪用も増加しており、正常な通信に見せかけてデータを持ち出すケースが増えています。
第5章:「うちは大丈夫」は禁物——中小企業も例外ではない
APT攻撃と聞くと「大企業や政府機関の話」と感じるかもしれません。しかし現実は違います。
かつてはAPT攻撃といえば国家支援による大規模なハッキングに限られていましたが、近年では低レベルのサイバー犯罪グループの攻撃能力が国家レベルのハッカーとほとんど差がなくなっています。高度なAPT攻撃を実現するためのツールセットが一般化し、誰でも簡単に利用できる状況になっているためです。
中小企業が狙われる主な理由は3つあります。
第一に、**大企業への「踏み台」**として使われること。大企業が取引する部品メーカー、ITベンダー、物流会社——これらは大企業よりセキュリティが弱いことが多く、侵入してサプライチェーン経由で大企業を攻撃するルートとして利用されます。
第二に、価値ある技術を持つ企業は規模に関係なく狙われること。ニッチな分野で世界シェアを持つ中小企業(いわゆる「隠れたチャンピオン企業」)は、大企業よりも狙いやすく、かつ価値のある技術を持っている場合があります。
第三に、ランサムウェア被害に遭った組織の6割以上が中小企業であり、復旧費用が1,000万円以上に上ったケースが全体の約58%を占めるなど、経営に与える影響は決して小さくありません。
第6章:OSINTで「攻撃者の目線」を知る
OSINTとは「Open Source Intelligence(公開情報インテリジェンス)」のことで、誰でもアクセスできる情報を体系的に収集・分析して有用な知見を得る手法です。
実は攻撃者たちは、あなたの会社に侵入する前に徹底的なOSINT調査を行っています。逆に言えば、企業側も自社がどのような情報を公開しているかを「攻撃者の目線」で確認することで、脆弱点を事前に把握することができます。
攻撃者が活用する公開情報の例:
- 企業Webサイトのヘッダー情報(使用技術スタックの特定)
- LinkedInやWantedlyの社員プロフィール(標的となる人物の特定)
- Shodan・Censysなどのインターネットスキャンサービス(外部に露出したシステムの特定)
- 会社の求人票(使用中のシステムや技術の把握)
- プレスリリース・決算資料(事業の方向性・重要なプロジェクトの把握)
- GitHubのリポジトリ(誤ってアップロードされた認証情報や内部情報の発見)
IPAが採用した「OSINT脆弱性検知/サプライチェーンリスク管理システム」のように、公開情報を活用したOSINT的手法でサプライチェーンのリスクを管理するアプローチが、産業界でも注目されています。
自社のデジタルフットプリント(インターネット上の足跡)を棚卸しすること——これが、現代のセキュリティ管理の第一歩です。
第7章:企業が今日からできる対策
APT攻撃は高度で防ぐのが難しいですが、適切な対策を講じることで侵入のリスクを大幅に下げられます。「100%防ぐ」ことを目標にするのではなく、「攻撃者にとって割に合わない組織にする」ことを目指しましょう。
対策1:VPN・ネットワーク機器のファームウェアを常に最新に
最も基本的かつ効果が高い対策です。現在、国内ランサムウェア被害の最大の侵入経路はVPN等ネットワーク機器のセキュリティ不備であり、ファームウェアの最新化だけでなく、利用アカウントへの多要素認証の導入など、複数の対策を組み合わせることが必要です。
対策2:多要素認証(MFA)の全面導入
パスワードだけの認証は、今の時代ではもはや「鍵のかかっていない扉」に等しい。スマートフォンへのプッシュ通知、認証アプリ、ハードウェアキーなどを組み合わせた多要素認証を、全てのシステムに導入することが重要です。特にメール、VPN、クラウドサービスは最優先事項です。
対策3:「最小権限の原則」の徹底
社員が業務に必要な最低限のシステムへのアクセス権のみを持つように設計する考え方です。万が一あるアカウントが侵害されても、攻撃者が動き回れる範囲を制限できます。管理者権限を全員に付与している組織は、今すぐ見直しましょう。
対策4:社員へのセキュリティ教育(フィッシング訓練)
現在の攻撃では、標的型メールによる初期侵入が再び増えており、履歴書の送付を装ったり、経済安全保障に関するタイトルを使ったメールで、外部に情報が公開されている部門(メディア対応窓口、採用担当窓口など)を狙うケースが増えています。
定期的なフィッシングシミュレーション訓練を実施し、社員が実際の攻撃メールに気づける「感覚」を育てることが重要です。「怪しいと思ったらクリックしない・開かない・報告する」という文化を根付かせましょう。
対策5:サプライチェーン全体のセキュリティ確認
取引先・委託先のセキュリティ対策状況を確認し、必要であれば契約条件にセキュリティ要件を盛り込むことが有効です。自社だけが守られていても、取引先が「裏口」になっていれば意味がありません。
対策6:自社のデジタルフットプリントを棚卸し(OSINT的アプローチ)
前述のように、攻撃者はOSINTで徹底的に下調べをしてきます。自社も定期的に「攻撃者の目線」で公開情報を見直しましょう。具体的には以下のことを確認します。
確認リスト:
- 外部に公開されているポートやサービスの洗い出し(ASM/アタックサーフェス管理)
- GitHubへの不用意な機密情報アップロードがないかの確認
- 求人票での技術スタック情報の開示レベルの見直し
- 社員のSNSでの業務関連情報の露出状況の確認
対策7:インシデント対応計画(IRP)の策定
「攻撃を受けた後に何をするか」を事前に決めておくことが重要です。侵害発生時の連絡体系、業務継続計画(BCP)、証拠保全の手順、外部専門家(CSIRT・MSSPなど)への連絡先——これらを整備しておくことで、被害を最小限に抑えることができます。
能動的サイバー防御の導入に関する法案が2025年5月に成立したこともあり、今後は基幹インフラ事業者を中心にインシデント発生時の報告義務化が進む見通しです。組織はインシデント対応体制のより一層の強化が求められています。
第8章:これからの脅威——AI時代のサイバーエスピオナージ
最後に、今後さらに深刻化すると予測される動向をお伝えします。
AIによる攻撃の高度化——攻撃者はAIを使って、より自然なフィッシングメールを生成し、より巧みに人間を操るようになっています。ディープフェイク技術を使った音声・映像による「なりすまし詐欺」も現実の脅威になっています。
地政学リスクとサイバー攻撃の連動——2025年のIPA「情報セキュリティ10大脅威」において、「地政学的リスクに起因するサイバー攻撃」が初めて選出されました。国家間の対立が深まる中、サイバー攻撃は政治・外交の手段として活用されるケースが増えており、日本もその標的となっています。
「ITワーカー偽装」の拡大——北朝鮮のような国家が、エンジニアとして企業に潜入し内部から情報を盗む戦術は、今後AIによる面接突破技術の進化とともにさらに巧妙化する恐れがあります。
2024年には世界の多くの地域で継続的な紛争が増加したことを受けて、ハクティビストや妨害行為を目的とした攻撃者が復活し、政治的動機に基づいて特定の組織や業界をターゲットにする傾向が顕著になりました。この流れは2025年以降も続くと予測されます。
まとめ:「知ること」が最大の防御
国家支援のハッカーグループによるサイバーエスピオナージは、もはや映画やニュースの中だけの話ではありません。日本の企業は今、かつてないほど多様な脅威にさらされています。
しかし、怖がるだけでは何も解決しません。大切なのは、脅威の「実態」を正確に知り、現実的な対策を一つずつ積み上げていくことです。
攻撃者は常に「最も弱いところ」を狙います。言い換えれば、あなたの組織のセキュリティが平均より少し堅ければ、攻撃者はより楽な標的に移っていくのです。
完璧なセキュリティは存在しません。しかし、「攻撃者にとって割に合わない組織」を目指すことは、今日から始めることができます。
参考情報:トレンドマイクロ「国内標的型攻撃分析レポート2025年版」、IPA「情報セキュリティ10大脅威2025」、PwC Japan「サイバー脅威:2024年を振り返る」、警察庁「2025年上半期国内サイバー犯罪レポート」、米司法省・起訴状(2025年3月)
コメント