中国団体が米情報機関の世界的スマホ監視を指摘　ゼロクリック攻撃とは

2025年現在、私たちの生活に欠かせないスマートフォンが、国家レベルのサイバー作戦の標的になっているとする報告書が中国から公表されました。中国サイバーセキュリティ産業連盟（CCIA）は、米国の情報機関が世界規模でモバイル端末を監視していると指摘し、国際社会に警鐘を鳴らしています。

中国の業界団体が米情報機関を名指し

CCIAが現地時間の月曜日に発表した報告書は、11章にわたり、米国の情報機関が長期にわたって「制限のないサイバー諜報活動」を行ってきたと主張しています。対象は世界中のスマートフォンや通信ネットワーク、さらには技術サプライチェーンにまで及ぶとされています。

報告書によると、米側は次のような脆弱性を悪用してきたといいます。

• SIMカードなどハードウェア部品
• 端末の基盤ソフトであるファームウェア
• iOSやAndroidといったスマホ用基本ソフト
• Wi-Fi、Bluetooth、GPSなど各種無線通信のインターフェース

こうした層を組み合わせて攻撃することで、端末そのものだけでなく、その背後にある通信インフラやサービス全体にアクセスしうる構造が描かれています。

iMessageを使った「ゼロクリック攻撃」とは

なかでも注目されるのが、AppleのメッセージサービスであるiMessageを通じた攻撃です。iMessageはiPhoneやiPadなどApple製端末専用の通信プラットフォームとして広く利用されていますが、報告書は、このサービスが高度な攻撃手法に「武器化」されてきたと指摘します。

報告書が取り上げるのは「ゼロクリック攻撃」と呼ばれる手法です。これは、利用者がメッセージを開いたり、リンクをクリックしたりする必要がなく、メッセージを受信しただけで端末に侵入されてしまうタイプの攻撃を指します。

サイバーセキュリティ企業Kasperskyの研究を引用する形で、CCIAはこうした攻撃によって次のようなデータが密かに収集されたと主張しています。

• 連絡先リスト
• 位置情報
• 端末識別子（デバイスIDなど）

報告書によれば、その対象は要人や著名人だけでなく、一般の利用者にも広がっているとされています。つまり、特別な「重要人物」でなくとも、スマホを持つ誰もが監視の網にかかりうるという見方です。

スパイウェアPegasusと「二次的なデータ収集」

CCIAの報告書は、イスラエル製スパイウェアPegasus（ペガサス）の利用にも言及しています。Pegasusは、過去にフランスやパキスタンなど各国の政治指導者らの監視に用いられたと報じられてきた商用スパイウェアです。

報告書は、こうした商用ツールも含め、多様な技術を組み合わせることで、米国の情報機関が世界規模で情報収集を行っていると描写します。

スマホからデータセンターへ　「Operation Irritant Horn」

監視の舞台はスマートフォンにとどまらず、データセンターにも広がっているとされています。CCIAは、米国主導の取り組みとして作戦名「Operation Irritant Horn」を挙げています。

この作戦は、米国やその同盟国による情報共有枠組み「ファイブ・アイズ」に属するNTATという監視部門が支えているとされ、中国のアプリを標的に利用者データの抽出を試みたと説明されています。

報告書の例として、中国の人気モバイルブラウザーに存在した脆弱性が挙げられています。このブラウザーは、

• 電話番号
• SIMカード情報
• 端末の識別子

などをサーバーに送信していたとされ、米国の情報機関はこれを利用して「二次的なデータ収集（二次収集）」を行っていたと指摘しています。つまり、正規のサービスが集めたデータが、別のサイバー作戦から再利用される構図です。

中国外交部「グローバルなサイバー安全保障への脅威」

こうした内容を受け、中国外交部の郭家坤報道官は、定例記者会見で米国の行動を強く批判しました。郭報道官は、米国政府が情報技術とサプライチェーン（供給網）の優位性を悪用し、世界のモバイル産業に対する悪意あるサイバー作戦を展開してきたと述べました。

そのうえで、こうした行為は各国のサイバーセキュリティや国家主権に深刻なリスクをもたらしているとし、「一方的なサイバー覇権」に対処する必要性を訴えました。郭報道官は、国際社会に対し、多国間の協力を強化し、データ安全保障をめぐるルール作りを進めるよう呼びかけています。

CCIAの報告書も、米国と関係する技術インフラに対する監視と検証を強化し、世界の利用者が「防御態勢を高める」必要があると提言しています。

私たちのスマホにとって何を意味するのか

今回の報告書は、米国の活動をめぐる批判であると同時に、スマホ時代のサイバーリスクの構造を浮き彫りにしています。特に、次の3点は、一般の利用者にとっても無関係ではありません。

1. 「見えない攻撃面」が増えている
   OSやアプリだけでなく、SIMカードやファームウェア、通信プロトコルなど、多層的な部分が攻撃対象になりうることが示されています。利用者の画面からは見えない層で、脆弱性が悪用される可能性があります。
2. 個人と国家レベルの境界があいまいに
   報告書が示すように、標的は要人だけでなく一般利用者にも及ぶとされます。個々人のスマホから集められた断片的なデータが、国家レベルの情報分析に利用されるという構図が想定されています。
3. サプライチェーンとアプリ選びの重要性
   ブラウザーやアプリ、クラウドサービスなど、日常的に使うサービスの設計や運用が、意図せぬ形で「二次的なデータ収集」に利用されうることが示唆されています。

利用者が意識したいポイント

CCIAの報告書は、利用者に対し「防御態勢を高める」ことを呼びかけています。国家間のサイバー攻防が背景にあるとはいえ、日々スマホを使う私たち一人ひとりが意識できるポイントもあります。

• スマホのOSやアプリをこまめに更新し、既知の脆弱性を放置しない
• メッセージや通知で届く不審なリンクや添付を開かないようにする
• 利用するブラウザーやアプリの権限設定（位置情報や連絡先へのアクセスなど）を定期的に見直す
• 重要なやり取りには、セキュリティが確認された通信手段を選ぶ

高度なサイバー作戦に個人が完全に対抗することは難しい一方で、こうした基本的な対策によってリスクを下げることは可能です。

国際ルール作りとデジタル主権のこれから

今回の報告書と中国外交部の発言は、スマホやクラウドが国境を越えてつながる2025年の世界で、「誰がどのデータにアクセスできるのか」という問いが、いよいよ政治・外交の中心テーマになっていることを示しています。

一方で、サイバー攻撃や情報収集はどの国にとってもセンシティブな分野であり、透明性を高めること自体が容易ではありません。各国が安全保障を理由に秘密性を高めれば、高めるほど、市民や企業にとっては状況を見通しにくくなるというジレンマもあります。

スマートフォンを通じて世界とつながる利便性と、監視やサイバー攻撃のリスク。そのバランスをどのように取るのか。今回の中国からの指摘は、米国の動きだけでなく、各国のサイバー戦略と私たちのデジタルな権利の関係を、改めて考えるきっかけになりそうです。

Reference(s):

Chinese report accuses U.S. intelligence of global mobile surveillance

cgtn.com