i-SOON文書流出　中国のサイバー攻撃能力と手法とは

2024年2月、中国のサイバーセキュリティ企業「i-SOON」の内部文書が突如としてインターネット上に流出し、世界中のセキュリティ専門家や政府機関の注目を集める事態となりました。この事件は、中国のサイバー攻撃能力と手法、そして政府との密接な関係性を示す重要な証拠として、国際的な安全保障の観点からも極めて重要な意味を持つものでした。

1．i-SOON文書流出の背景

流出の経緯を詳しく見ていくと、2月15日に何者かが「I-SOON@proton.me」というEメールアドレスを登録し、翌16日にこのアドレスを使用してGitHub上に大量の内部文書（約170MB）をアップロードしたことが分かっています。この流出が公になったのは2月19日のことで、台湾の脅威インテリジェンス研究者がSNS上でこの事実を公表したことがきっかけでした。

流出した文書の内容は、台湾のセキュリティ会社「TEAM T5」の分析によると、全577点に及ぶ膨大なものでした。これらの文書には、サイバー攻撃に使用可能な高度な技術情報、世界20カ国以上の政府機関や組織を標的にしたとみられる「一覧表」、3年分に及ぶ従業員間のチャットログ、製品マニュアルやセールス資料など、多岐にわたる機密情報が含まれていました。 この流出が及ぼした影響は計り知れません。

まず、i-SOON社が開発した高度なハッキングツールや技術の詳細が明らかになったことで、中国のサイバー攻撃能力の実態が露呈しました。これらのツールには、主要なメールプロバイダーのアカウントを乗っ取る機能、スマートフォンのGPS位置情報を取得し音声を傍受する技術、さらには複数のオペレーティングシステムに対応したリモートアクセストロイの木馬（RAT）など、極めて高度で侵襲的な機能が含まれていました。

また、流出文書から、台湾、チェコ、インド、タイ、ベトナムなど、多くの国々の政府機関や重要インフラが攻撃対象となっていたことが判明しました。これは、中国のサイバー攻撃が特定の国や地域に限定されたものではなく、グローバルな規模で展開されていたことを示しています。特に、NATO（北大西洋条約機構）などの国際組織や、香港の民主化団体までもが標的リストに含まれていたことは、中国のサイバー戦略が政治的・軍事的な目的を持って展開されていることを強く示唆しています。

さらに注目すべきは、i-SOON社と中国政府との関係性が浮き彫りになったことです。流出文書の分析から、同社が公安当局や軍と共同で「認知戦」を仕掛けていた可能性が指摘されています。また、「APT41」など、既知の中国政府系ハッカーグループとの繋がりも明らかになりました。これらの事実は、中国のサイバー攻撃が単なる企業活動ではなく、国家戦略の一環として組織的に行われていることを示す重要な証拠となっています。

一方で、この流出は i-SOON社の内部事情も明らかにしました。従業員間のチャットログからは、低賃金や劣悪な労働環境への不満が読み取れ、これが内部告発につながった可能性も指摘されています。皮肉にも、サイバーセキュリティを提供する企業自身のセキュリティに脆弱性があったことも、この事件の背景として考えられます。

この文書流出の背景には、複数の要因が絡み合っていると考えられます。内部告発の可能性、セキュリティの脆弱性に加え、国際的な緊張関係も無視できません。中国のサイバー活動に対する国際社会の懸念が高まる中、この流出はその実態を裏付けるものとなりました。また、一部の専門家からは、この流出自体が情報戦の一環である可能性も指摘されています。中国のサイバー戦略を暴露することで、国際社会の注目を集め、何らかの政治的意図があった可能性も否定できません。

2．i-SOON社が使用したツールの具体的な機能

メール・アカウント侵害ツール

i-SOONが開発したメール侵害ツールは、主要なプロバイダーのアカウントを標的にしています。このツールは、マイクロソフトやGoogleのメールアカウントに不正にアクセスし、完全に制御下に置くことができます。さらに、大量の電子メールを効率的に分析する機能も備えており、メールヘッダーからIPアドレスを抽出したり、本文から個人情報を自動的に抽出したりすることが可能です。これにより、攻撃者は標的の通信内容を把握し、さらなる攻撃の足がかりを得ることができます。 

モバイルデバイス攻撃ツール

スマートフォンを標的とした攻撃ツールも、i-SOONの重要な武器庫の一部です。特に注目すべきは、iOSデバイスを対象としたツールで、これはGPS位置情報を定期的に取得し、デバイス周辺の音声を録音・傍受する能力を持っています。さらに、AndroidとiOS両方のプラットフォームに対応したマルウェアも開発されており、デバイスのjailbreak（脱獄）を必要とせずに制御できる点が特徴的です。これらのツールは、人気のあるメッセージングアプリからメッセージを抽出し、リアルタイムで音声を録音することも可能で、個人のプライバシーを深刻に侵害する潜在性を持っています。 

リモートアクセストロイの木馬（RAT）

i-SOONは、主要なオペレーティングシステムすべてを対象としたカスタムRATを開発しました。このRATは、Windows、Mac、iOS、Android、Linuxといった幅広いプラットフォームで動作し、感染したシステムに対して包括的な制御を可能にします。具体的な機能としては、プロセス管理、キーロギング（キーボード入力の記録）、そしてその他の高度な監視・制御機能が含まれています。これにより、攻撃者は標的のシステムを完全に掌握し、機密情報の窃取や更なる攻撃の足場として利用することができます。 

ネットワーク侵入デバイス

物理的なデバイスを使用した攻撃手法も、i-SOONの戦略の一部です。これらのデバイスは、一般的な電子機器に偽装されており、ターゲットのネットワーク内部に物理的に配置されることで、内部からの攻撃を可能にします。特筆すべきは、WiFi経由でAndroidスマートフォンにマルウェアを展開できる機能を持つデバイスの存在です。このような手法は、標的組織のセキュリティ対策を迂回し、内部ネットワークに直接アクセスする手段として非常に効果的です。 

ソーシャルメディア攻撃ツール

ソーシャルメディアプラットフォームも、i-SOONの攻撃対象から逃れられません。特に、X(旧Twitter)のプライベートメッセージにアクセスするツールの存在が明らかになっています。このツールは、アカウントの乗っ取り、データ抽出、感情操作、そしてターゲットの監視といった多岐にわたる機能を持っています。これらの機能は、個人や組織の私的なコミュニケーションを侵害し、情報操作や世論形成にも利用される可能性があります。 

自動侵入テストプラットフォーム

i-SOONは、複数のモジュールで構成された高度な侵入テスト用プラットフォームも開発しています。このプラットフォームには、アプリケーションの脆弱性を悪用する機能、リモートアクセスツール、フィッシングキャンペーンの自動実行など、多様な攻撃機能が含まれています。これらの機能を組み合わせることで、標的システムに対して多角的かつ持続的な攻撃を仕掛けることが可能になります。 これらの高度なツールの存在は、i-SOON社が世界中の重要な組織や機関を標的にした大規模なサイバー攻撃キャンペーンを展開していた可能性を強く示唆しています。特に、中国政府の要請に基づいて、他国の重要インフラや機密情報を狙った攻撃を行っていた可能性が高いとされています。この事実は、国家支援型のサイバー攻撃の実態と、その技術的洗練度の高さを明確に示すものであり、国際的なサイバーセキュリティの課題として重要な意味を持っています。

3．まとめ

i-SOON文書の流出は、現代のサイバー戦争の実態を如実に示すものとなりました。国家が民間企業を通じて高度なサイバー攻撃能力を開発・運用し、世界中の重要インフラや政府機関を標的にしている事実は、国際的なサイバーセキュリティの課題を浮き彫りにしています。

この事件を受けて、各国政府は自国のサイバーセキュリティ対策の見直しを迫られることになるでしょう。同時に、国際社会全体で、サイバー空間における国家の行動規範や、サイバー攻撃に対する国際法の適用について、より深い議論が必要となることは間違いありません。

さらに、この事件は、サイバーセキュリティ企業の倫理的責任についても問いを投げかけています。国家の要請であっても、他国や個人のプライバシーを侵害するようなツールの開発や使用に加担することの是非が問われることになるでしょう。

i-SOON文書の流出は、単なる一企業の内部文書漏洩にとどまらず、現代の国際関係やサイバーセキュリティの在り方に大きな一石を投じる出来事となりました。今後、この事件が各国の対中政策やサイバーセキュリティ戦略にどのような影響を与えるのか、そして国際社会がこの問題にどのように対処していくのか、注視していく必要があります。