問題はさらに深刻だ。実は、2人の中国人が契約したレンタルサーバー2台の特定は、捜査の初期段階から明らかにされていた。攻撃されたサーバーの通信記録(ログ)や攻撃に使用されたコンピュータウイルスを調べれば、どこのIPアドレス(インターネット上のコンピュータや通信機器の識別番号)からアクセスしていたかがわかり、そのコンピュータの所有者を突き止めれば契約者は割り出すことができるからだ。
そのコンピュータのログを調べれば、61419部隊の本拠地である中国山東省にあるコンピュータと通信していたこともわかる。
攻撃に使用されたサーバーが乗っ取ったサーバーか契約したサーバーかの違いだけで、その手法は2015年の日本年金機構と全く同じだった。
ところが、今回書類送検された二人は民間人であり、罪状はあくまでも私電磁的記録不正作出・同供用容疑である。仮に中国山東省にあるコンピュータと通信していたことがわかったとしても、そのコンピュータもレンタルサーバーの可能性が高く、61419部隊が指示していたと断定できる証拠はない。
2010年4月に発覚したインド政府機関や在米パキスタン大使館などに対して行われたハッキング事件は、中国人民解放軍の犯行の可能性がきわめて高く、犯行に用いられたサーバーは四川省成都のレンタルサーバーが発信源だったが、中国政府は中国人民解放軍の関与を完全に否定している。
2015年の日本年金機構のサイバー攻撃でも、窃取された年金加入者の個人情報が、いくつかのサーバーを経て最終的に中国本土のサーバーに送信されている。そのサーバーの所有者は「Tokyo Sakura」という名前で登録されており、組織名は空白で、住所も「City: Tokyo」とだけあり、電話番号も架空の番号で、郵便番号も「1120849」と日本の郵便番号にはないでたらめな番号が記載されていた。
本来ならインターネットが国家管理されているはずの中国において、このようなでたらめなサーバーの管理者登録が許されるはずもなく、明らかに国家ぐるみの犯罪と言える。
あくまで「民間人」の犯行
最終的に窃取されたデータが送信されたサーバーの登録者情報がの情報でも、レンタルサーバー料金の毎月の引き落としに利用されているクレジットカードの番号から容疑者が特定できることもあるが、中国国内のレンタルサーバーの場合、登録者情報もでたらめで、国家ぐるみの犯罪だとすれば、毎月の支払いも免除されている可能性が高く、お手上げ状態だ。
仮に日本国内で逮捕者が出てもあくまで「民間人」の犯行であり、人民解放軍の兵士が直接手を下すことはない。犯行に使用されたサーバーも民間のもので、ハッキングも民間のハッキング集団のせいにして自分たちは一切関係ないと白を切る。これが中国政府の常套手段なのだ。
こうしたレンタルサーバーを使用したハッキングはいまも増え続けている。2021年版のサイバー脅威の予測で、その被害が今後も拡大すると予測されているコンピュータウイルスにランサムウェアがある。「Ransom」(身代金)と「Software」(ソフトウェア)を組み合わせて作られた名称を持つこのウイルスに感染すると、パソコン内に保存しているデータが勝手にC&Cサーバーと通信し暗号化され、使用できなくなる。その端末と接続された別の端末も暗号化され使用が不可能になる場合もあり、それらの制限を解除するための身代金を要求する画面を表示させるウイルスで、近年脅威が拡大している。
2020年に米国で大規模な被害が出たIT資産管理ソフトSolarWindsを狙ったウイルスも、感染したパソコンがC&Cサーバーと通信を開始し暗号化される代物だった。このサイバー攻撃はロシアによるものと見られているが、やはりレンタルサーバーの脆弱性が根本原因としてあるのだ。
日本の法律では裁けない
今回の捜査では、中国本土にいると思われるハッカーの所在や氏名までは特定できていない。
一方で、たとえば2017年5月に米信用情報機関大手エクイファックスにハッキングを仕掛け、1億4550万人の個人情報が窃盗された事件で、米連邦捜査局(FBI)は「犯行は中国人民解放軍第54研究所の軍人4名によって行われた」などと具体的に容疑者を特定し、指名手配している。
今回の件で、日本にはそのような能力がないことが明らかになってしまった。諜報活動の基本は、敵にその能力を悟られないことにあることも忘れてはならない。
中国共産党は、現在の日本の法律では中国のサイバー攻撃は裁けないことを熟知しており、サイバー攻撃などの諜報活動をますます活発化させている。日本が早期にスパイ防止法を成立させなければならないのは誰の目にも明らかだ。
中国では2017年6月に、国民や企業に国の情報活動への協力を義務付ける「国家情報法」が施行されており、中国人従業員や留学生がいつ中国のスパイ活動を始めるかわからない。今後ますます、この種の事件は増えていくだろう。
事実、報道こそされていないが、ネットワークを監視する大手セキュリティ会社で、監視要員として雇っていた中国人従業員が、顧客のネットワーク構成などをバイドゥ(百度)という中国検索大手が運用するストレージサービス(インターネットを通じて、データを保管するためのディスクスペースを貸すサービス)を利用して大量に送り込んでいたという事件が発生している。容疑者はすでに退職しており、事件が発覚した時には中国に帰国したあとだった。
日本がいますぐにできることは、レンタルサーバーの契約時の身元確認の厳格化と厳罰化、さらに定期的なサーバーの脆弱性検査やネットワーク監視の義務化、行政からの警告に対して早期に対応することなどの法律を成立させることである。
中国国家安全保障省は4月26日に「スパイ防止セキュリティ作業に関する規則」を発表したが、この規則は2014年11月に施行された「中華人民共和国反間諜法」を補足するもので、中国へのスパイ活動を防止するために海外赴任者や留学生の渡航前研修を義務付けることや、国家安全保障機関が電子通信ツール、機器、設備や関連する部品に対するセキュリティ検査を行うことや、ネットワークやシステムへのリモート検査を実施することができるとしている。日本の脆弱性を尻目に、中国は着々と手を進めている。日本も少しは中国に学ぶべきだ。
さらに国家によるサイバー攻撃を立件するには、米国のように法整備を進めるだけでなく、ヒューミントと呼ばれる人からの情報収集を中心とする諜報活動が最後の決め手になる。日本政府は、情報を保護するあらゆる法を整備するとともに、諜報機関の設立も真剣に検討すべき時期にきている。もはや一刻の猶予もないほど事態は深刻化している。(初出:月刊『Hanada』2021年7月号)
