自衛隊USB感染が突く機密システム防衛と中国サイバーリスクの盲点

感染USBが突いた閉域防衛の前提

陸上自衛隊の機密システム端末で、中国系とされるウイルスに感染したUSBメモリーが長期に使われた問題は、単なる端末管理の不備ではありません。外部ネットワークから切り離した機密環境でも、物理媒体を通じて侵入経路が生まれるという古典的な弱点を示しました。

防衛省は2025年版防衛白書で、サイバーや宇宙を含む領域横断作戦を統合作戦司令部の指揮下で進める方針を示しています。ところが、現場のUSB運用が崩れれば、最新の統合指揮も足元から揺らぎます。本稿では、USB感染がなぜ見逃されるのか、中国系サイバー活動とどう切り分けるべきか、企業にも波及する対策を整理します。

可搬媒体が機密網へ入り込む構造

閉域網ほどUSBに依存する逆説

機密システムはインターネットに直接つながない設計が基本です。防衛、電力、製造、医療などの現場では、この「閉域化」が重要な防御層になります。一方で、閉域化された端末へ更新ファイル、設定情報、ログ、業務文書を移すには、何らかの橋渡しが必要です。USBメモリーは安価で小さく、通信回線が使えない場所でも動くため、その橋渡し役になりやすいのです。

この利便性がリスクの入口になります。MITRE ATT&CKは、攻撃者がマルウェアを可搬媒体にコピーし、切り離されたネットワークにも移動できる手法を「Replication Through Removable Media」として整理しています。Autorun機能を使う古い方法だけでなく、正規ファイルに見せかけて実行させる方法、USB内の実行ファイルを改ざんする方法、ファームウェア自体を悪用する方法もあります。

米軍も2008年、Agent.btzと呼ばれるワームへの対応で、機密系と非機密系の双方を含むネットワーク上のUSB利用を一時停止したことがあります。当時の問題は、現場が可搬媒体に依存しているほど、全面禁止が運用に大きな影響を与える点でした。今回の自衛隊の事案も同じ構図を持っています。USBを使わない理想論ではなく、使う前提で厳格に制御できるかが問われています。

検知より先に崩れた三つの確認

約1年にわたり感染USBが使われたとされる事実が重いのは、単に最初の検査をすり抜けたからではありません。登録済み媒体か、接続前に隔離端末で検査したか、接続後に端末側のログやEDRが異常を検出したかという複数の確認が、長期にわたって連動しなかった可能性を示します。

USB管理では、媒体そのものの台帳、利用者、利用目的、接続先端末、接続日時、持ち出し履歴をひも付ける必要があります。さらに、スキャンは「一度検査したら終わり」ではありません。感染済み端末に挿せば、直前まで正常だった媒体も汚染されます。媒体を信頼するのではなく、接続のたびに信頼を再評価する設計が欠かせません。

問題は、こうした管理が現場の作業量と衝突しやすいことです。訓練、災害派遣、装備品の整備、庁舎内外の移動が重なる組織では、手順が複雑すぎると例外運用が常態化します。チェックシートを紙で残すだけでは、感染の兆候と結び付けられません。端末側のログ、検疫端末の結果、媒体IDの台帳を自動で突き合わせる仕組みがなければ、監査は後追いになります。

ファイル検査だけでは足りないUSBの性質

USB攻撃の難しさは、保存されたファイルだけを調べれば済むわけではない点にあります。USB機器は、ストレージ、キーボード、ネットワークアダプターなど複数の機器種別として振る舞えます。BadUSB型の攻撃では、人がキーボード入力したように見せてコマンドを実行させることもできます。

研究分野でもこの問題は繰り返し指摘されています。FirmUSBの研究は、USB機器のファームウェアが悪性動作を持つかを解析する重要性を示しました。USBIPSの研究は、近年のUSB攻撃がソーシャルエンジニアリングから信号注入まで多様化していると整理しています。つまり、防御はウイルス対策ソフトによるファイルスキャンだけでは不十分です。

機密端末では、許可されたメーカーや型番だけでなく、個体識別子、証明書、利用期間、読み取り専用設定まで含めて管理する必要があります。接続できるUSBクラスを制限し、想定外のキーボードやネットワーク機器として認識された場合は遮断する設計が求められます。閉域網であっても、接続口が存在する限り、物理的なゼロトラストが必要です。

中国系サイバー活動と供給網の重なり

中国系と国家関与を分ける視点

今回のウイルスが「中国系」とされる場合でも、それだけで中国政府の直接関与を断定するのは早計です。サイバー攻撃の帰属は、マルウェアのコード、通信先、操作時間帯、言語設定、過去の攻撃との類似、被害組織の種類などを総合して判断します。犯罪者が既存ツールを再利用することもあり、攻撃基盤が第三国に置かれることもあります。

ただし、安全保障上は「断定できないから軽視する」という姿勢も危険です。Microsoftは2023年、中国拠点とする国家支援型アクターVolt Typhoonが、米国の通信、製造、公益、運輸、政府、IT、教育などの重要インフラを狙い、通常の管理ツールに紛れて侵入を維持する手法を観測したと公表しました。グアムを含む地域が対象に含まれていた点は、台湾海峡や西太平洋の危機時に、軍事行動を支える通信や物流を乱す可能性を示します。

防衛省の2025年版防衛白書も、中国が国防費を急速に増やし、軍事力の質と量を広範かつ急速に強化していると説明しています。サイバー空間は、艦艇や航空機の動きと切り離せません。日本の基地、港湾、通信、電力、衛星利用、装備品サプライチェーンが狙われれば、物理的な防衛力の展開速度にも影響します。

USB感染を使う現代型スパイ活動

USB感染は古い手口に見えますが、現代のスパイ活動から消えたわけではありません。WIREDは2023年、Mandiantの調査として、中国に関連するハッカー集団UNC53が、Soguと呼ばれるUSB型スパイウェアを使い、世界の少なくとも29組織に侵入したと報じました。感染の起点は、アフリカの拠点、空港、印刷店、インターネットカフェなど、グローバル企業の周辺部に広がっていました。

この事例が重要なのは、標的が本社ネットワークとは限らない点です。攻撃者は、セキュリティが堅い本丸ではなく、海外支店、協力会社、現地作業員、出張先の共有端末から侵入します。USBは国境を越えて人と一緒に移動し、閉域端末にも届きます。メールやクラウドを厳しく監視していても、物理媒体の持ち込みが緩ければ別経路が残ります。

自衛隊の機密システムに接続されたUSBが、もし市中で流通する一般製品と同じ供給網から入っていたなら、問題は防衛省だけに閉じません。安価なUSBは、部品、ファームウェア、販売経路、保管状態、返品品の再流通を追跡しにくい製品です。企業が販促品や展示会の配布物として受け取るUSBも、攻撃者にとっては侵入の候補になります。

サプライチェーンを通じた選別攻撃

中国系サイバー活動の特徴は、標的を広く拾い、後から価値を選別する手法と相性が良いことです。USBワーム型の感染は、最初から特定の機密端末だけを狙うとは限りません。まず多数の端末に広がり、接続されたネットワーク、文書名、ユーザー権限、外部通信の有無を見て、価値の高い環境を後から見つけます。

この発想はサプライチェーン攻撃と似ています。装備品メーカー、保守会社、庁舎の委託先、訓練で使う民間施設、海外拠点の印刷サービスなど、周辺の弱い場所から信頼関係に乗って内部へ進みます。USBはその中でも、ネットワーク境界をまたぐ「手渡しの認証」を悪用できる媒体です。

企業側にも同じ危険があります。工場の制御端末、研究所の測定機器、医療機器、建設現場の図面端末では、オフライン更新やデータ回収にUSBが残ります。クラウド移行が進んだ企業でも、現場端末や旧式設備では物理媒体の使用を完全にはなくせません。自衛隊の事案は、防衛組織の特殊な失敗ではなく、重要インフラ全体に共通する運用上の弱点として読むべきです。

自衛隊改革で迫られる監査の再設計

統合作戦司令部時代のサイバー防衛

防衛省は2025年3月24日、統合作戦司令部を新設しました。防衛白書は、統合作戦司令官が陸海空の主要部隊に加え、宇宙やサイバー領域などで活動する部隊を平素から一元的に指揮すると説明しています。これは、サイバーを情報システム部門の管理問題ではなく、作戦の一部として扱う方向への転換です。

この改革の下では、USB感染のような事案も「端末の汚染」だけでは評価できません。どの任務に関わる端末か、どの部隊の作戦準備に関係するか、同じ媒体が他部隊や委託先へ移ったか、データ流出だけでなく作戦遅延や判断ミスにつながるかを見なければなりません。サイバー事案を任務影響へ翻訳する能力が必要です。

サイバー防衛隊やシステム担当部門だけに責任を閉じると、現場の例外運用は残ります。補給、教育、整備、情報保全、契約、監察が同じリスク台帳を見て、媒体のライフサイクルを管理する必要があります。これは組織文化の問題でもあります。USBを挿す行為を、文書の受け渡しではなく、機密ネットワーク境界を開く作戦行為として扱うべきです。

監査ログを任務単位へつなぐ設計

再発防止の中心は、USBを全部禁止することではありません。必要な場面を最小化し、使う場合は接続前後の証跡を機械的に残すことです。具体的には、媒体を個体単位で登録し、接続可能な端末を限定し、検疫端末を必須化し、ファイルのハッシュ値、署名、スキャン結果、接続時刻を自動保存する必要があります。

さらに重要なのは、例外承認の透明化です。災害派遣や訓練などで通常手順を短縮する場合、誰が、どの任務のために、どの期間だけ認めたのかを残します。例外が一定回数を超えた部隊や端末は、運用設計が現実に合っていない兆候です。監査は違反を探すだけでなく、無理な手順を見つける機能を持つべきです。

技術的には、USBポート制御、デバイス制御、EDR、DLP、アプリケーション制御、読み取り専用媒体、片方向転送装置、電子署名付きファイル交換を組み合わせます。高機密端末では、許可媒体以外をOSが認識しない設定にし、許可媒体であっても実行ファイルを起動できないようにします。運用上は、媒体の棚卸しを定期監査ではなく日次の自動照合に近づける必要があります。

調達と流通の安全確認

今回の問題は、USBの調達にも光を当てます。官庁や企業では、周辺機器を消耗品として扱いがちです。しかし機密環境に入るUSBは、単なる文房具ではありません。調達時点で、メーカー、型番、ファームウェア更新履歴、真正性確認、封印、保管、廃棄までを管理対象にする必要があります。

市販品を使う場合は、安さや入手性だけで選ぶべきではありません。真正品であっても、返品品や中古品が混ざる経路、保管中のすり替え、委託先の持ち込み、展示会配布物などの経路は残ります。防衛分野では、防衛産業全体のサイバーセキュリティ基準と、庁内の物理媒体管理を連動させる必要があります。

企業にとっても、これは経済安全保障の論点です。研究開発データ、顧客情報、設計図、製造条件、M&A資料は、クラウド設定だけで守れるわけではありません。USBを通じた小さな侵入が、取引先全体の信頼低下や、海外拠点から本社への侵入につながる可能性があります。

官民が直面する三つの残存リスク

第一の残存リスクは、過去感染の範囲が見えにくいことです。感染USBが長期に使われた場合、接続先端末、同じ端末に挿された別媒体、そこから移されたファイル、印刷や保守に使われた周辺端末まで追跡しなければなりません。感染が検出された端末だけを初期化しても、経路が残れば再発します。

第二のリスクは、過剰な禁止が現場の迂回を生むことです。USBを全面禁止しても、必要なデータ移送手段を用意しなければ、私物端末、スマートフォン撮影、個人クラウド、紙の再入力といった別の抜け道が生まれます。安全な転送キオスクや承認済み媒体を用意し、現場が守れる手順にしなければなりません。

第三のリスクは、帰属判断の政治化です。中国系という表現は安全保障上の注意喚起として重要ですが、技術的な原因究明と外交的メッセージを混同すると、再発防止が曇ります。政府は、判明した技術情報を可能な範囲で共有し、企業は攻撃主体の名前よりも、自社の可搬媒体管理が同じ手口に耐えられるかを点検するべきです。

企業と行政が今週点検すべき項目

読者が直ちに確認すべきなのは、USB利用の有無ではなく、未登録媒体が重要端末に接続できるかどうかです。接続できるなら、まず台帳、端末ログ、検疫手順、例外承認、媒体廃棄を確認する必要があります。自衛隊の事案は、最も守られているはずの組織でも、手軽な媒体が防衛線を越えることを示しました。

行政機関や重要インフラ企業は、承認済みUSBの棚卸し、過去接続ログの収集、実行ファイル起動の制限、未知デバイスの遮断、委託先を含む持ち込み規則の再確認を急ぐべきです。経営層は、USB対策を情報システム部門の細則ではなく、事業継続と地政学リスクの管理項目として扱う必要があります。閉じたネットワークでも侵入は起きるという前提に立つことが、次の被害を抑える第一歩です。

参考資料:

• 防衛省・自衛隊：防衛白書
• 防衛省・自衛隊｜令和7年版防衛白書｜令和7年版防衛白書の刊行に寄せて
• 防衛省・自衛隊｜令和7年版防衛白書｜特集1 統合作戦司令部と統合作戦
• Volt Typhoon targets US critical infrastructure with living-off-the-land techniques
• Always Another Secret: Lifting the Haze on China-nexus Espionage in Southeast Asia
• Replication Through Removable Media, Technique T1091 - MITRE ATT&CK
• Hardware Additions, Technique T1200 - MITRE ATT&CK
• Chinese Spies Infected Dozens of Networks With Thumb Drive Malware
• Under Worm Assault, Military Bans Disks, USB Drives
• FirmUSB: Vetting USB Device Firmware using Domain Informed Symbolic Execution
• USBIPS Framework: Protecting Hosts from Malicious USB Peripherals
• USBCaptchaIn: Preventing Attacks from Promiscuously Used USB Devices in Industrial Control Systems