USB攻撃と中国軍の影、日本企業と防衛網が塞ぐべき供給網の盲点

USB攻撃が古い手口で終わらない理由

USBメモリーを使ったサイバー攻撃は、標的型メールやVPN機器の脆弱性攻撃に比べると古典的に見えます。ところが、機密網、工場、出張先、委託先をまたぐ現場では、いまも有効な侵入口です。ネットワークを切り離したはずの端末でも、人がデータを持ち運ぶ限り、攻撃者は物理媒体を経由して境界を越えられます。

重要なのは、USB攻撃を「従業員の不注意」の問題に閉じ込めないことです。MandiantやESET、JPCERT/CCの公開分析を重ねると、中国系とされる攻撃グループは、メール、正規ソフトの悪用、USB、委託先環境を組み合わせています。日本にとっては、軍事情報だけでなく、先端技術、外交、製造現場、海外拠点を含む供給網全体の安全保障問題です。

USBが隔離網と委託先を越える攻撃経路

リムーバブルメディアに残る初期侵入の価値

MITRE ATT&CKは、リムーバブルメディアを使う攻撃を「T1091」として整理しています。手口は単純です。攻撃者はマルウェアをUSBなどにコピーし、正規ファイルに見える名前へ変更したり、接続先端末の自動実行や利用者のクリックを利用したりします。ネットワーク経由の侵入を検知する装置があっても、持ち込まれた媒体の実行は別の統制に依存します。

この攻撃が厄介なのは、境界の考え方を崩す点です。機密網や制御系ネットワークはインターネットから切り離すことで防御力を高めます。しかし、業務上の更新、資料移送、装置保守、ログ回収のために、USBや外付けディスクが使われることがあります。攻撃者は、そこに「人が承認した例外」を見つけます。

さらに、USBは一度感染すると横展開の媒体になります。MITREの説明では、攻撃者は別のシステムへ移動するために、接続されたリムーバブルメディアへ自分自身を複製できます。これは、1台の感染端末で終わらず、部署、協力会社、海外拠点、現場端末へ広がる可能性を意味します。

Mandiantが見た中国系USB作戦の構造

Google CloudのMandiantは、2022年にUNC4191として追跡する中国系のスパイ活動を報告しました。この活動はフィリピンを中心に、USBデバイスを初期感染経路として使い、MISTCLOAK、DARKDEW、BLUEHAZEといったマルウェアを展開していました。DARKDEWは接続されたリムーバブルドライブを検出し、隠しディレクトリを作って感染を広げる機能を備えていました。

注目すべき点は、Mandiantが「エアギャップ環境からのデータ収集」にも触れていることです。完全に外部通信を遮断したつもりの端末でも、感染USBが差し込まれ、後でインターネット接続端末に戻れば、データの持ち出し経路になり得ます。防衛、電力、化学、半導体、重工業の現場では、この発想がそのままリスクになります。

WIREDが報じたSOGU系USBマルウェアの事例も同じ構図です。Mandiantの研究者は、2022年以降に少なくとも29組織がUSB経由で侵害されたと説明しています。感染はアフリカの拠点やインターネットカフェ、印刷店の共有端末を経由した可能性があり、被害組織は米欧アジアにまたがりました。グローバル企業では、本社の防御水準だけでなく、海外現場の実務が攻撃面になります。

中国系APTが日本を狙う戦略的文脈

MirrorFaceとLODEINFOに見る対日標的の継続性

日本向けの攻撃では、MirrorFaceが重要な手掛かりです。AP通信は2025年1月、警察庁が2019年から2024年にかけて200件超のサイバー攻撃をMirrorFaceに関連づけたと報じました。標的には外務省、防衛省、宇宙機関、政治家、記者、先端技術に関係する企業やシンクタンクが含まれるとされています。

JPCERT/CCは2020年、2019年12月以降に日本組織を狙うスピアフィッシングを観測し、LODEINFOという新種マルウェアを分析しました。LODEINFOはC2サーバーと通信し、ファイルのアップロードやダウンロード、プロセス終了、ファイル一覧取得などを行えます。ESETは2022年、参院選前の政治関係者を狙ったOperation LiberalFaceを報告し、MirrorFaceがLODEINFOや認証情報窃取用マルウェアを使ったと説明しています。

ここでUSBが直接使われたかどうかだけに注目すると、リスクを小さく見誤ります。MirrorFaceの事例が示すのは、日本語環境、政治日程、外交・安保テーマ、国内ソフトウェアの利用状況まで踏まえた標的選定です。攻撃者が標的の業務慣行を調べているなら、媒体の授受、展示会、研究会、出張、委託先とのデータ交換も当然観察対象になります。

Volt Typhoonが示す有事前提の潜伏

米国で注目されたVolt Typhoonは、USB攻撃とは別の経路を中心に使っていますが、戦略的な意味はUSB問題とつながります。Microsoftは2023年5月、同グループが2021年半ばからグアムなど米国の重要インフラを標的にし、通信、製造、公益、運輸、建設、海事、政府、IT、教育分野へ影響が及んだと報告しました。攻撃はマルウェアを大量投入するよりも、正規アカウントやOS標準機能を使う「Living off the Land」に重心がありました。

米司法省は2024年1月、Volt Typhoonが利用したKV Botnetを構成する米国内のSOHOルーターからマルウェアを削除する作戦を発表しました。司法省は、ハッカーが中国由来の活動を隠すために、サポート期限切れのCiscoやNetGearのルーターを悪用していたと説明しています。家庭用や小規模拠点用の機器が、国家支援型の活動を隠す足場になったわけです。

この事例が日本へ投げかける問いは明確です。台湾海峡や東シナ海で緊張が高まる局面では、攻撃者は平時から通信、物流、港湾、電力、衛星、製造、自治体を観察し、危機時に使える経路を残そうとします。USBはその経路の一つにすぎませんが、閉域網と現場をつなぐ役割を持つため、有事前提の潜伏には都合がよい道具です。

防衛産業と企業供給網が抱える弱点

防衛白書が映すサイバーと軍事動向の接近

防衛省の令和7年版防衛白書は、2024年4月から2025年3月までの周辺国の軍事動向や、日本を取り巻く安全保障環境をまとめています。防衛力の抜本的強化、統合作戦司令部の新設、各国との協力が記述される中で、サイバーはもはや周辺分野ではありません。部隊運用、装備品、通信、衛星、補給、民間インフラをつなぐ基盤です。

中国のサイバー活動を評価する際には、人民解放軍、国家安全部、公安系機関、民間請負企業、大学・研究機関が重なる構造を見なければなりません。公開資料だけで個別事案を一つの軍部隊に断定することは慎重であるべきです。一方で、攻撃の目的が軍事・外交・技術情報の収集に向かい、危機時の妨害可能性を高めるなら、国家安全保障上は「軍の影」を持つ活動として扱う必要があります。

国家サイバー統括室の公開サイトは、警察庁、防衛省、金融庁、総務省、外務省など各府省のサイバー関係情報を集約しています。これは、サイバーが単独官庁で完結しない政策領域になったことを示しています。USB媒体管理も同じで、情報システム部門だけでなく、調達、法務、人事、工場、研究、海外拠点、警備の運用をそろえなければ実効性が出ません。

委託先と海外拠点がつくる見えない接続

防衛産業や重要インフラ企業では、一次請け、二次請け、装置メーカー、保守会社、検査会社、研究委託先が機密データに触れます。大企業の本社端末ではUSB利用を制限していても、委託先の現場PC、検査装置、古いOSの制御端末では運用が緩いことがあります。攻撃者は最も強い境界ではなく、最も弱い実務を探します。

Check Point Researchが2023年に報告したSmugXキャンペーンは、欧州の外交・政府関係を狙い、HTML SmugglingからPlugXを展開していました。USBではありませんが、標的の政策テーマに合わせた文書名、正規ソフトの悪用、DLLサイドローディングといった手法は、攻撃者が業務文脈へ入り込む姿勢を示しています。媒体管理も、単に「USB禁止」と書くだけでは足りません。

現実には、保守作業や装置更新で外部媒体が必要な場面は残ります。したがって対策は、全面禁止ではなく、例外を管理する設計に近づきます。承認済み媒体だけを使い、端末側で未承認USBをブロックし、媒体の初期化、暗号化、マルウェア検査、持ち出し記録、利用後の消去を標準化します。あわせて、委託契約にログ保全、インシデント通知、監査権限を明記する必要があります。

人の動きと媒体の動きを重ねる監視

USB攻撃は、ネットワークログだけでは見えにくい攻撃です。だからこそ、端末ログ、物理入退室、媒体貸出、特権ID利用、ファイルアクセス、印刷、メール送信を分断せずに見る必要があります。特に、機密端末でUSBが接続された直後に大量の圧縮ファイルが作られた、未知の実行ファイルが起動した、外部接続端末で同じ媒体が使われた、といった連鎖が重要です。

MicrosoftがVolt Typhoon対策で示したように、正規アカウントや標準ツールの悪用は検知が難しいため、振る舞いの監視が欠かせません。USBでも同じです。禁止ファイル形式だけを見るのではなく、誰が、どの端末で、どの媒体を、どの業務目的で使ったのかを追える状態にします。これは監視強化というより、事故時に事実を復元するための最低限の内部統制です。

日本が優先すべき媒体管理と同盟連携

USBリスクへの対処は、現場負担を増やすだけでは定着しません。最初に着手すべきは、機密度に応じた端末分類です。防衛、研究開発、設計、制御、調達、経営情報を扱う端末を特定し、そこでは未承認USBの接続を技術的に遮断します。例外が必要な業務では、専用端末と専用媒体を用意し、インターネット接続端末との往復を禁止または記録します。

次に、海外拠点と委託先を含めた共通基準が必要です。SOGUの事例が示すように、感染点は本社ではなく、海外の共有端末や印刷店になり得ます。出張者が現地で入手した資料をUSBで持ち帰る、展示会で配布された媒体を開く、委託先から受け取った検査データをそのまま設計端末へ入れる、といった行動を前提に、防御手順を設計すべきです。

最後に、同盟国やパートナーとの情報共有を実務へ落とし込むことです。米司法省のVolt Typhoon対応は、政府、捜査機関、民間企業、海外パートナーが連携してボットネットを止めた事例でした。日本もIoCの共有だけでなく、感染媒体の鑑識、攻撃インフラの追跡、海外拠点での初動支援、委託先への注意喚起までを一体で進める必要があります。

経営者と防衛担当者が今週確認すべき論点

USB攻撃は、最先端のゼロデイ攻撃ではないからこそ見落とされます。しかし、攻撃者にとって重要なのは手口の新しさではなく、標的の業務に入り込めるかどうかです。中国系APTの事例は、外交、政治、軍事、先端技術、海外拠点を横断して情報を集める長期作戦の一部として読むべきです。

経営者は、USBの利用ルールが文書化されているかではなく、現場で例外がどう処理されているかを確認すべきです。防衛・重要インフラ担当者は、機密網と外部接続端末の間に残る媒体経路、委託先の媒体管理、インシデント時のログ復元性を点検する必要があります。USBを小さな備品ではなく、供給網をまたぐ攻撃面として扱うことが、日本のサイバー防衛の出発点です。

参考資料:

• Always Another Secret: Lifting the Haze on China-nexus Espionage in Southeast Asia
• Chinese Spies Infected Dozens of Networks With Thumb Drive Malware
• Replication Through Removable Media, Technique T1091 - Enterprise
• Volt Typhoon targets US critical infrastructure with living-off-the-land techniques
• U.S. Government Disrupts Botnet People’s Republic of China Used to Conceal Hacking of Critical Infrastructure
• Japan links Chinese hacker MirrorFace to dozens of cyberattacks targeting security and tech data
• Unmasking MirrorFace: Operation LiberalFace targeting Japanese political entities
• Malware “LODEINFO” Targeting Japan
• Chinese Threat Actors Targeting Europe in SmugX Campaign
• 防衛省・自衛隊：防衛白書
• 国家サイバー統括室