（ブルームバーグ）：トレンドマイクロの幹部ダスティン・チャイルズ氏は、約10年前の国際ハッキングコンテストで目の当たりにした鮮やかな攻撃手法について、今でもはっきりと説明することができる。

参加者らは、ファイアウォールや最新ソフトウエアで強化された「ウィンドウズ」のワークステーションへの侵入方法を見つけるという課題に挑んでいた。同氏によると、中国チームの１人がウィンドウズのブラウザーにＩＰアドレスを入力し、「すぐにキーボードから手を離した」という。

そのアドレスはコードを起動させ、中国チームのアクセス権限を「ゲスト」から「ホスト」に格上げし、管理者権限を取得。彼らは自由にコードやソフトウエア、さらにはマルウエア（悪意あるソフト）もインストールできる状態となった。

それは2017年に開催されたハッキングコンテスト「Pwn2Own」での出来事だった。世界中から、サイバーセキュリティー企業のアナリストや研究者らが参加し、人気のソフトウエアやモバイル端末の新たな脆弱（ぜいじゃく）性を競って見つけようとしていた。

チャイルズ氏によれば、その頃にはすでに中国のチームが何年も参加しており、圧倒的な強さを誇っていた。大学や企業、その他さまざまな組織から集まった人々によるチームだったという。

このコンテストの最高位タイトルは「Pwnのマスター」と呼ばれていた。09年から大会に関わり、主催するゼロデイイニシアチブ（ＺＤＩ）の一員でもあるチャイルズ氏はそう語る。ＺＤＩはトレンドマイクロの脆弱性発見コミュニティーだ。

「そのタイトルを設けたのは16年だ。中国勢はそれ以後、彼らが参加をやめるまで、全ての大会で優勝し続けた」と述べた。

政府への報告

こうした国際的な注目は、中国国内では非難された。中国のサイバーセキュリティー企業「奇虎360」の創業者、周鴻禕氏は17年、中国人の専門家によって発見された脆弱性は国内にとどめるべきだとして、中国チームの国際コンテスト参加を公に批判。共産党政権の政治諮問機関の一員でもある周氏の発言は影響力があった。

翌年のPwn2Ownには中国チームの姿はなかった。中国は代わりに、独自のハッキング大会「天府杯」を開始した。メディア報道によると、参加者にはアップルの基本ソフト（ＯＳ）やグーグルのスマートフォン、マイクロソフトのネットワークへの侵入が奨励されたという。

だが、Pwn2Ownとは大きな違いがあった。 国際大会では発見された脆弱性は該当するソフトウエアや機器の開発企業に報告され、悪用される前に修正が施される。 だが、中国のハッキングコンテストでは、まず政府に報告する義務があると18年に規定されていた。

米サイバーセキュリティー企業センチネルワンの中国専門コンサルタント、ダコタ・ケリー氏は「事実上、国家が利用できるよう脆弱性が提示されることを意味していた」と言う。

専門家によれば、グーグルが19年に報告した脆弱性は、その具体例の一つだ。第１回天府杯で発見された脆弱性と著しい類似点があり、少数民族ウイグル族のコミュニティーを標的としたハッキングキャンペーンとの関係が疑われた。欧米諸国は中国がウイグル族を迫害していると指摘している。

さらに最近では、中国のサイバーセキュリティー企業、安洵信息（i-Soon）に関連するとされるファイルがコード共有サイト「GitHub」に投稿された。これは、天府杯のコンテストと政府、そして脆弱性へのアクセスを許可されたサイバー企業との間に密接な関係があった可能性を示唆していた。

チャット記録の中には、安洵信息の従業員が、天府杯で見つかった「ゼロデイ脆弱性」を中国公安省に提供するよう求められたことを記録したやり取りも含まれていた。

ゼロデイ脆弱性とは、開発者側がまだ認識していない脆弱性で、犯罪者やサイバースパイにとって特に意味がある。なぜなら、修正プログラムが存在しないため、システムが無防備なままとなるからだ。

これらの文書は、天府杯が公安省にとって「脆弱性を供給するシステムである可能性」を示していると、米シンクタンクの大西洋評議会でデジタル・フォレンジック研究所に所属するウィノナ・デソンブレ・バーンセン研究員は述べる。

米当局は今年３月、複数の安洵信息従業員を中国情報機関の指示に基づきサイバー攻撃を行ったとして起訴した。中国政府はこうした罪状を否定している。安洵信息側は起訴に対して反応を示さず、コメント要請にも応じていない。

中国外務省の報道官は脆弱性報告の規定について、「脆弱性情報の漏えいや無断開示を防ぐ」目的だとブルームバーグの記者に北京で語った。

これらの規定は「外国の組織や個人を含むネットワーク製品の提供者に対し、セキュリティーの脆弱性情報を直接提供することを明確に支持している」とも主張した。

天府杯の担当者にも取材を試みたが、コメントは得られていない。

「米国を排除せよ」

コンピューターのソフトウエアやモバイル端末の不具合は珍しくなく、それらを修正するために定期的にソフトウエアの修正や端末のアップデートが実施される。

しかし、ゼロデイ脆弱性は対策の施しようがない。それを発見し、政府の情報機関に売ることを専門とする会社もある。

Pwn2Ownは07年、アップルのMacOS「Ｘ」に存在し得るセキュリティー欠陥を調査する目的で創設された。それ以来、コンテストの勝者には脆弱性の発見に対して賞金が授与され、その情報はソフトウエアのメーカーに提供され、修正が行われる仕組みとなっている。

中国勢を含む全ての参加者は、そのルールを順守していた。しかし、センチネルワンのケリー氏によれば、中国チームがPwn2Ownから姿を消した18年、中国政府は国内のハッキングコンテストで発見された脆弱性は全て政府に報告しなければならないと告げた。

その３年後に施行されたデータセキュリティーに関する複数の法律では、コンテスト中であれ仕事中であれ、中国人の研究者が見つけた脆弱性は、直ちに工業情報省に報告しなければならないと定められた。

また、政府が対処する前に、企業が第三者と脆弱性情報を共有することも制限されており、報告期限は発見から48時間以内とされている。違反した場合には、厳しい罰金処分や法的措置の対象となり得る。

専門家によると、研究者が発見した脆弱性を政府に報告させるという中国の政策は、欧米とは異なるスタンスだ。チャイルズ氏は米国について、「国家安全保障局（ＮＳＡ）がそのような報告を強制することはない」と話す。

ただ、ＮＳＡも脆弱性を秘密裏に保持していると、10年以上にわたり中国のサイバー・外交政策について各国政府に助言してきたグレッグ・オースティン氏は指摘する。

16年には「シャドウ・ブローカーズ」というグループが、ＮＳＡから盗まれたとされる秘密のソフトウエアエクスプロイト、つまりハッキングツールの一群を公開した。

同氏によれば、　ＮＳＡや米中央情報局（ＣＩＡ）は他国のシステムを攻撃できるよう、発見した脆弱性を公表しない。「中国も同様」だという。

データセキュリティー法の施行以後、中国のハッキングに関する取り組みは以前にも増して秘密のベールに包まれるようになったと専門家は言う。

「中国がどんな研究をしていて、何を目指しているのかは表には見えない。われわれがそれを知るのは、実際に野に放たれ、生身のターゲットに対して使われたときだけだ」とチャイルズ氏は語った。

中国のハッキング大会もここ数年で進化している。

スイス連邦工科大学チューリヒ校のセキュリティー研究センターで働き、これらの大会に関するオンライン報告を検証しているサイバー防衛シニアリサーチャー、エウジェニオ・ベニンカサ氏によると、米テスラの電気自動車（ＥＶ）やセキュリティーソフトへの侵入を競い合うことに加え、現在では中国製のＥＶやスマホ、コンピューターもコンテストの対象になっているという。

米中間で重要技術部品の輸出規制が続く中での中国製品への軸足シフトは、先端テクノロジーの自立と外国企業への依存脱却を目指す中国政府の広範な政策目標「Delete America（米国を排除せよ）」とも一致していると分析。

「ＩＴインフラを完全に国産化し、半導体やソフトウエア、データベースなど外国製の中核コンポーネントを中国製に置き換えるという目標を浮き彫りにしている」と語った。

原題：China’s Hacking Competitions Fuel Its Broad Cyber Ambitions（抜粋）

もっと読むにはこちら bloomberg.co.jp

©2025 Bloomberg L.P.