ハルビン公安、米NSA要員3人を公開手配　第9回アジア冬季大会への27万件サイバー攻撃

ハルビン市の公安当局が、第9回アジア冬季競技大会を支えた情報システムへの約27万件に及ぶサイバー攻撃を受け、米国家安全保障局（NSA）の要員3人に対する公開手配を発表しました。AIを駆使した国家レベルの攻撃の実像と、その先にあるアジアのサイバー安全保障を読み解きます。

何が起きたのか：アジア冬季大会を狙った大規模攻撃

ハルビン市公安局によると、今年2月に開催された第9回アジア冬季競技大会の前後にわたり、大会を支える情報システムや周辺の重要インフラが集中的なサイバー攻撃を受けました。攻撃は黒竜江省全域のエネルギー、交通、水道、通信、防衛関連の研究機関など、社会を支える基盤システムを狙ったものだったとされています。

• 攻撃対象：エネルギー、交通、水道、通信、防衛研究機関などの重要インフラ
• 期間：第9回アジア冬季競技大会の開催前後、今年2月を中心に継続
• 攻撃回数：約27万件以上の不正アクセス試行

捜査には、国家コンピュータウイルス緊急対応センターや、国内のサイバーセキュリティ企業である360集団などが参加し、高度な技術分析が行われました。

捜査の焦点：米NSAと大学の関与

調査の結果、攻撃は米国家安全保障局（NSA）の情報情報局（コードネームS）、その中でも特別アクセス作戦部門であるTAO（コードネームS32）に属する要員らによるものと特定されました。ハルビン市公安局は、3人のNSA要員に対する公開手配を行い、関係の解明を進めています。

さらに、米国のカリフォルニア大学とバージニア工科大学という2つの大学も、攻撃に関与した組織として名指しされました。国家コンピュータウイルス緊急対応センターの杜振華・高級工程師は、不正アクセス約27万件のうち、17万件以上が米国からのアクセスで、全体の6割超を占めたと説明しています。

攻撃者は自らの拠点を隠すため、オランダなど欧州各国のホストを経由させる多段階ルーティングを実施。さらに海外のIPアドレスを購入し、複数の大陸にまたがって匿名でサーバーを賃借することで、足跡を巧妙に消そうとしたとされています。

AIが変えたサイバー戦：自動化されたデジタルハッカー

360集団の高度脅威研究院 副院長である卞亮氏は、今回の侵入が従来とは一線を画す点として、AIによる高度な自動化を挙げています。従来型のサイバー攻撃では、人手による偵察やツール作成に時間がかかるのが一般的でした。

しかし今回のケースでは、一部の攻撃コードがAIによって動的に生成され、リアルタイムに脆弱性を探索しながら状況に応じて自らを書き換えていったといいます。その結果、

• 複数の標的を同時並行で高速にスキャン
• 標的ごとに最適化された攻撃ツールを自動設計
• 人間の作業時間やタイムゾーンの制約をほぼ無視して攻撃を継続

といった「デジタルハッカーの艦隊」のような状態が生まれ、国家レベルの防御にも大きな負荷を与えたと説明されています。

ゼロデイとデジタル時限爆弾：狙われたシステム

調査によれば、攻撃者はゼロデイ脆弱性と呼ばれる、まだ公表も修正もされていない欠陥を悪用し、通常の防御では検知が難しいマルウェアをシステム内部に潜伏させました。必要なタイミングで作動させることのできる「デジタルの時限爆弾」のような性質を持っていたとされています。

とくに、次のような大会関連システムが重点的に標的となりました。

• 大会の登録システム
• 選手や関係者の入退場管理システム
• 競技エントリーや運営管理システム

これらのプラットフォームには、選手や大会関係者の個人情報、移動経路、競技スケジュールなど、機微なデータが数多く含まれていたとみられます。もし時限的なマルウェアが作動していれば、競技運営の混乱だけでなく、関係者の安全や国家安全保障にも影響が出た可能性があります。

深夜の異常通信を追って：高難度の追跡戦

ハルビンのサイバー捜査チームは、いわば高度な「追跡ゲーム」を展開しました。最初の手がかりとなったのは、通常とは異なる時間帯や経路で観測されたネットワーク通信です。

• 深夜帯に集中する不自然なデータフロー
• 通常は接続されないサーバーとの通信履歴
• パケットの送信元・送信先・内容の不整合

専門家は、こうしたログの一つひとつを解析し、攻撃者が通過した経路を逆算。既知の侵入手口や行動パターンが蓄積された巨大なデータベースと照合することで、関係する組織や個人を絞り込んでいきました。

興味深いのは、攻撃者の「勤務パターン」が分析対象となった点です。週末や欧米の祝日を避けるかたちで作業が行われていたことが確認され、こうした季節性・文化的な行動習慣が3人のNSA要員特定の重要な補強材料になったとされています。また、彼らが過去に華為やその他の中国の重要資産に対するサイバー攻撃にも関与していたことを示す証拠も見つかったといいます。

国家レベルのサイバー戦時代とインフラ防御の課題

360集団の創業者で董事長の周鴻祎氏は、今回の事案を、国家レベルの持続的な脅威主体がAIを全面的に活用する新たな段階のサイバー戦として位置付けています。大規模な自動脆弱性探索と知能化したマルウェア生成により、従来の時間と空間の制約は崩れ、ネットワーク紛争はより危険で読みにくいフェーズに入ったという見方です。

そのうえで周氏は、とくに重要インフラを運営する組織に対し、次のような対策を呼びかけています。

• 長期間にわたる攻撃・防御データを蓄積する総合的なセキュリティデータ基盤の整備
• 侵入を待つのではなく、異常兆候を先読みする能動的な監視体制の導入
• 実戦経験を持つ専門チームの育成と常設
• 攻撃側と同等レベルのAI技術を活用した防御モデルの構築

こうした取り組みは、中国本土だけでなく、国境を越えてつながるアジア全体のデジタル安全保障を高めるうえでも重要になっていきます。

日本とアジアにとっての意味：他人事ではないサイバーリスク

今回の事案は、第9回アジア冬季競技大会と中国東北部のインフラを狙ったものですが、その教訓はアジア全体に共通するものです。国際スポーツ大会や空港・鉄道・エネルギー網など、相互に依存したシステムが複雑に連携するほど、サイバー攻撃の影響は国境を越えて広がりやすくなります。

日本でも、2025年以降の国際イベントや重要インフラを見据え、次のような視点で議論を深める必要があるでしょう。

• AIが攻撃と防御の双方にもたらす影響をどう評価し、ルールや抑止の枠組みを整えるか
• 民間企業・研究機関・政府機関がどのように連携し、脅威情報を共有するか
• 日常的な業務ログやセキュリティデータを、将来の防御力向上につなげる仕組みをどう設計するか

サイバー空間では、物理的な距離や国境は意味を失いがちです。ハルビンで起きた攻防は、アジアのどの都市にも起こりうる「近未来」の縮図として受け止めるべきかもしれません。

SNSで議論したい3つのポイント

• AIが自動生成する攻撃コードに、従来型の防御はどこまで通用するのか
• スポーツ大会や国際イベントの裏で進むサイバー戦を、どのように透明化し抑止できるのか
• 日本やアジアの都市は、ハルビンのケースからどんな実践的教訓を学べるのか

スキマ時間にこの記事を読んだら、気になったポイントをSNSで共有し、身近な人とサイバー安全保障について話してみてください。

Reference(s):

Harbin Police Issue Warrant for Three NSA Agents After 270,000 Cyberattacks on Asian Winter Games

bjnews.com.cn