近年は「中国のハッキングチームが外国企業や政府機関をサイバー攻撃した」といったニュースを頻繁に聞くようになりました。
この裏には習近平国家主席により主導された国家的なハッカー育成計画があったとのことで、セキュリティ研究者のDakota Caryがその政策についてまとめています。
How Xi Jinping leveled-up China's hacking teams - CyberScoop
習主席は、国家主席に就任した翌年の2014年からサイバーセキュリティ政策を推し進め、官僚機構・大学・人材育成・研究などに資金を投下し始めたとのこと。
実際に習主席が行った政策について、Cary氏は以下のように説明しています。
◆ハッカー人材の育成
2000年代の中国において、政策立案者はハッカーを「才能のある少数の人々」と呼んでおり、必要な人材を見つけるのは「小麦畑の中で花を見つけるようなもの」だったそうです。
時折開かれるサイバーセキュリティコンテストなどでめぼしい人材を見いだして政府機関にスカウトしていたものの、これは非効率な方法であり、継続的に人材を供給することはできません。
そこで習主席は、サイバーセキュリティの問題を主導するCentral Cyberspace Affairs Commission(中央网络安全和信息化委员会)を設立し、大学に対してサイバーセキュリティ教育の評価および標準化を要求しました。
2015年までに教育省は中国全土にサイバーセキュリティ教育の基準を展開し、大学はカリキュラムを調整したとのこと。
◆行政からのトップダウン
2016年にはインターネットのさまざまな問題に関連するポリシーの策定・実施を担う中国サイバースペース管理局(CAC)を立ち上げ、中国政府としてサイバーセキュリティに注力する方針を示す「国家サイバー空間セキュリティ戦略」を発表。
この戦略では、サイバーセキュリティ意識の向上から人材育成に至るまで、政策立案者が着手するべき9つの戦略的タスクが示され、各省や県などの地方自治体がタスクを達成するために自由な政策アイデアを出すよう奨励されました。
国家サイバー空間セキュリティ戦略が発表された直後、湖北省武漢市はアメリカ・ノースカロライナ州にあるハイテクパークのリサーチ・トライアングル・パークを参考にし、「National Cybersecurity Talent and Innovation Base(国家サイバーセキュリティ人材・イノベーション基地)」の建設を発表。
これは、広大な敷地の中で大学と連携したサイバーセキュリティ人材の育成や研究を行い、税制上の優遇措置を与えて企業を誘致するというものでした。
また、貴州省貴陽市ではビッグデータ産業に力を入れた政策が行われており、これらの政策は中央政府の後押しも受けています。
さらに中国政府は、2017年に複数の大学をWorld-Class Cybersecurity Schools(WCCS/⼀流网络安全学院)に認定して模範となるべき基準を示すと同時に、競争によって学生の能力を向上させる目的で大量のハッキングコンテストを開催しました。
記事作成時点では年間数百ものハッキングコンテストが開催されており、時には数千ものチームが参加することもあるそうです。
中国公安省はソフトウェアの脆弱性(ぜいじゃくせい)を一種の「資源」として捉えており、国内のセキュリティ研究者に対し、発見から48時間以内に工業情報化部へ報告するように要求しています。
Microsoftが2022年に発表した(PDFファイル)レポートによると、このポリシーによって中国政府はより多くのゼロデイ脆弱性を収集し、サイバー攻撃を展開することにつながったとのこと。
◆中国のハッカーの現在
2022年11月にWCCSが中国科学院や教育省などと協力して発表したレポートでは、中国のサイバーセキュリティ専門家の不足は37万人程度と推測されています。
2017年の推定では不足が140万人程度とされていたことを考えると、これは大きな成功といえる数字であり、著者らはトップダウンのハッカー教育システムが功を奏していると主張しています。
Cary氏は、中国のハッカーグループはこれまでのように突出した個人のスキルに依存したものではなく、官僚機構によって管理される「無名の公務員」で構成されるものになると指摘。
また、サイバー攻撃はWindowsの広範な使用といった外部要因に制約を受けますが、中国が自己完結型のコンピューティングエコシステムという野心を実現すれば、さらに効率的なサイバー攻撃が可能になる可能性もあります。
もちろん、この野心が実現するには時間がかかります。
しかしCary氏は、「習主席が政権を握ってサイバー能力を中国の優先事項の1つとしてから、まだ10年もたっていません」と述べ、脅威が現実になる日は思っているほど遠くないかもしれないと示唆しました。
・関連記事
中国語を使うハッカーグループが日本の参院選を狙って議員にフィッシング攻撃を仕掛けたことが判明、自民党が標的か - GIGAZINE
中国系ハッカーが新型コロナ給付金27億円超を盗み出したことが判明 - GIGAZINE
中国政府とつながるハッカー集団が日本企業を標的に大規模なハッキング攻撃を仕掛けているとの報告 - GIGAZINE
CIAやNSAの元職員が語る中国との情報戦争の経緯とは? - GIGAZINE
中国政府系ハッカーが台湾の半導体産業から戦略的に情報を盗み出している証拠とは? - GIGAZINE
日本・アメリカ・EU・イギリスなど世界各国が中国をMicrosoft Exchange Serverへの大規模ハッキングの一件で公式非難 - GIGAZINE
アメリカ企業から機密情報を盗んだとして中国の国家的メモリ製造企業をアメリカが締め出しへ - GIGAZINE
中国が世界各地に「技術盗用目的で科学者を引き抜く拠点」を設けていたと報告される - GIGAZINE
