【対談記事】アジアにおけるサイバー脅威の最前線─台湾 TeamT5社に聞く脅威動向と対策

近年、国家主導のサイバー攻撃や情報操作が世界的に注目を集める中、日本企業にとってもその脅威は決して他人事ではありません。特にアジア太平洋地域においては、中国をはじめとした国家主体のサイバー攻撃が活発化しており、その標的には日本や台湾も含まれています。

本記事では、台湾を拠点とし、アジアのサイバー脅威に対する豊富な分析実績を持つサイバーセキュリティ企業「TeamT5」のCharles Li氏をお招きし、弊社代表・宮村信男との対談を通じて、最新の脅威動向、攻撃手法の変化、そして今後私たちが取るべき対策について深掘りしました。

🎥 対談の様子はこちらの動画(31分9秒)でご覧いただけます。

※対談の内容は2025年2月時点の情報に基づいております。

中国に関連する国家支援型サイバー活動とサイバー犯罪の複合的展開

Charles氏によれば、2024年は世界各国で選挙が相次ぐ「選挙イヤー」であり、これに伴い影響工作やサイバー攻撃が各地で活発化しました。特に台湾では、中国に関連するとみられる攻撃キャンペーンが確認され、選挙結果への影響を狙った活動も報告されました。

また、米中間の緊張を背景に、米国では複数の中国企業がサイバー活動への関与を理由に起訴される事例も発生しています。TeamT5は、こうした一連の活動の背後に中国共産党の「軍民融合」の考えがあると分析しており、国家が民間の企業やハッカーをサイバー作戦に動員している可能性を指摘しています。

加えて、近年では、一部の攻撃グループが暗号資産のマイニングやランサムウェアなどのサイバー犯罪行為にも関与している傾向が見られると指摘しています。これは、中国の経済状況が悪化し国家支援が限定的となる中で、攻撃者が自らの収入源を確保するために、収益目的の活動へと踏み出している状況と捉えられます。

台湾選挙における情報流出と影響工作の具体事例

2024年の台湾総統選および立法委員選挙の過程において、特定の候補者に対する情報流出や影響操作が確認されています。Charles氏によると、与党・民進党に所属する立法委員の一部については、個人情報や関連書類が流出し、それに関連したオンライン上の印象操作が行われた可能性があるとのことです。その因果関係は明確ではありませんが、実際にこれらの候補者が落選したケースもありました。

また、選挙期間中には、内部告発サイトを装ったウェブサイトが立ち上げられ、前総統や当時、候補者だった現総統に対して不正行為や過去の問題を告発する内容が掲載されていたといいます。これらのサイトは、有権者の判断に影響を与えることを目的とした情報操作の一環と考えられています。

台湾・日本をまたぐ標的型攻撃と沖縄への影響工作

過去10年以上にわたり、台湾や日本に関係する組織を標的とするサイバー攻撃グループが複数存在しており、同様のTTP(Tactics, Techniques, and Procedures / 戦術、技術、手順)が両国の関連組織に対して用いられています。Charles氏は、特に「APT10（MenuPass）」や「MirrorFace」などのグループが、日本を主な対象としつつ、近年では台湾内にある日本関連組織への攻撃も確認されていると述べました。これは、日台間の交流・連携が進む中で、攻撃側が両国の関係性や情報の接点に注目している可能性を示唆しています。

また、地政学的に重要な位置にある沖縄も情報操作の対象として観測されています。Charles氏によれば、中国に関連する影響工作の一部は、沖縄住民に対して「中国との友好が利益をもたらす」といった印象を与える内容が含まれており、日本政府への不満を煽る形で世論の誘導を図っているといいます。沖縄の地理的・戦略的特性を踏まえれば、これは将来的な台湾有事を見据えた心理的準備とも捉えられます。

さらにCharles氏は、台湾のみを標的とするグループも一部存在するが、多くの攻撃グループは台湾と日本の双方に関心を持ち、活動が重複していると説明しています。例として、「BlackTech」と呼ばれるグループは、台湾と日本だけを対象とした活動を長年続けており、他国にはほとんど関心を示していないとされます。

影響工作とAPT活動の増加に伴う地政学的警戒ポイント

Charles氏は、影響工作が突発的に増加する場合、背後に地政学的な動きがある可能性が高いとの見解を示しています。たとえば、2024年に実施された複数の軍事演習の時期と重なる形で、影響工作とみられる情報操作が観測されており、こうした活動が世論形成に及ぼす影響が懸念されています。

一方で、APT攻撃の活動が急増した場合には、より警戒すべき兆候として捉えているとも述べています。具体的には、2022年頃に複数の中国系APTが台湾の交通インフラ関連の企業に強い関心を示していたことがあり、TeamT5ではその状況を憂慮していたといいます。

さらに、最近では台湾や日本の地理空間情報を扱う組織に対しても、同様に中国系アクターが高い関心が示されている傾向が観測されています。Charles氏は、これらの情報が将来的な軍事的意図に備えた情報収集である可能性を懸念していると述べています。その上で、APT活動の傾向を継続的に観察することが、将来的な緊張やリスクの兆候を捉える上で重要であると指摘しています。

攻撃手法の変化とその対抗には「敵を知る」視点が不可欠

近年、EDR（Endpoint Detection and Response）などの防御技術の普及に伴い、攻撃者のTTPも変化しています。Charles氏によれば、特にEDRの導入が難しいエッジデバイスを初期侵入の足がかりとするケースが増加しており、ネットワーク内に侵入した攻撃者は、LOLBin（Living off the Land Binary）と呼ばれる、OSに標準搭載された正規の実行ファイルを悪用することで、EDRによる検知を回避する手法を用いる傾向が強まっています。

加えて、通信の匿名性を高めるために、複数の家庭用ルーターやエッジデバイスを乗っ取って構成されたORB（Operational Relay Box）ネットワークを介し、攻撃の痕跡を追跡されにくくする工夫も確認されています。これらの技術的変化は、防御側にとって大きな課題となっています。

このような高度化・巧妙化する攻撃手法に対抗するためには、Charles氏は「まず敵を知ること」が重要であると強調しています。すなわち、攻撃者がどのような目的を持ち、どのような手法・ツールを用いるのかを深く理解することが、効果的な防御戦略の設計につながるという考え方です。これは、TeamT5が脅威インテリジェンスの中核に据える姿勢でもあります。

アクションにつながるインテリジェンスの活用

脅威インテリジェンスは「専門用語が多く難解である」「情報量が多すぎて本当に必要なものが見えにくい」と感じられがちであるという面があります。特に、日々大量に流通する脅威情報の中から自社にとって意味のある情報をどう見極めるかが、多くの担当者にとっての課題となっています。

こうした課題に対してCharles氏は、「まず自社の情報資産や防御上の課題を明確にし、それに基づいて必要なインテリジェンス要件を定義することが、効果的に脅威インテリジェンスを活用する第一歩だ」と述べています。

TeamT5では、有効なインテリジェンスは「行動可能（actionable）」であるべきという考えのもと、実際の攻撃事例やマルウェア、C2サーバーの調査などから分析を開始します。リバースエンジニアリングやピボット分析を通じて攻撃の全体像を把握し、IOC（Indicator of Compromise）などの技術的情報に加えて、調査の進め方や対応方針、戦略的な示唆もあわせて顧客に提供しています。

TeamT5の即応力とそれを支える人材戦略

TeamT5は台湾を拠点とすることにより、アジア太平洋地域、特に中国や北朝鮮といった国家支援型の攻撃者に関する深い知見と長年の観測実績を有しています。Charles氏によれば、アジア地域は国家レベルのサイバー活動が最も活発なエリアであり、地理的・文化的な近接性を活かして、脅威の兆候を早期に捉え、技術分析に迅速に着手できる体制が整っていることが、同社の強みとなっています。

また、こうした分析力の基盤を支えるのが、独自に育成された若手人材の存在です。台湾ではアセンブリ言語やプログラミングに強い若者が多くいる一方で、脅威インテリジェンスの実務経験を持つ人材は限られていました。そこでTeamT5は創業初期から、大学生や若手技術者を積極的に採用し、一から脅威インテリジェンスの専門知識と実践力を社内で育成する方針を取ってきたといいます。

このように、地域に根差した観測体制と、人材育成によって支えられた専門性の両輪により、TeamT5はアジアにおけるサイバー脅威に対して、高精度かつ実践的な対応力を備えています。

日台共通の脅威に立ち向かうために

記事の最後に、Charles氏は「日本と台湾は同じ脅威に直面しており、連携と情報共有が重要だ」と強調しました。

サイバー攻撃が巧妙化・複雑化するなかで、国や企業の垣根を越えた協力体制が、的確かつ迅速な対応の鍵となります。今後、両国の専門家同士が知見を共有し合うことが、アジア全体のサイバーセキュリティ強化にもつながるはずです。

TeamT5とは

TeamT5は、台湾を拠点とするサイバーセキュリティ企業で、2017年に5名の専門家により設立されました。アジア太平洋地域におけるサイバー攻撃への高い専門性を有し、米国、日本、台湾の政府機関や企業に対し、脅威インテリジェンスやエンドポイント保護のソリューションを提供しています。

長年の研究実績と、アジア地域に根ざした知見を活かし、サイバースパイ活動やランサムウェア対策に強みを持つほか、国際的なセキュリティカンファレンスでも多数登壇。現在は日本法人も設立し、日本市場での支援体制を強化しています。

TeamT5が提供しているサービスについては、こちらをご覧ください。

ThreatVision

ThreatSonar