米中サイバー戦争：攻撃時間は平日昼間

2014年5月、アメリカ司法省は、アメリカの原子力・太陽光発電や金属分野の企業などにサイバー攻撃を行ない、企業秘密を盗んだとして、中国人民解放軍当局者5人を訴追したことを発表した。これについては以前、「米中サイバー戦争：「警告」としてのアメリカによる中国軍5人の訴追」のレポートでもお伝えした。それに関連して産経新聞Web版に中国人将校の動向について興味深い記事が出ていたので紹介したい（※1）。元のデータはFireEyeが2011年から2013年にわたってのサイバー攻撃を分析した報告書である（※2）。

（下線筆者）

起訴の中国人将校、ハッキングは「仕事」（産経新聞Web版　2014年6月5日）

米当局によって中国人民解放軍の将校5人が起訴され、複数の米国企業へのサイバー攻撃により電子メールや文書を盗んだ罪に問われているが、彼らのハンドルネームはありがちな古典的なものだった。ただ一つ違うのは、判で押したような働き方だ。

オンライン・セキュリティー会社ファイア・アイによると、5人は、2時間の昼休みをはさんで平日午前8時から午後6時まで、まるで公務員のように働いていたという。週末に働くことはほとんどなく、典型的なハッカーのように地下室で昼夜を問わず一人でハッキングにいそしむ様子はうかがえなかったという。

米司法省は、この5人が所属するチームが過去8年間、アルミ大手のアルコア、鉄鋼大手USスチール、東芝傘下の原発大手ウェスチングハウスのコンピューターに不正に侵入して機密情報を盗んでいたと主張する。ファイア・アイの報告では、5人は全員、軍のサイバー攻撃部隊である「第61398部隊」の将校で、中国の一般的な勤務時間に仕事をこなしていたとのことだ。残業はほとんどせず、夜中を過ぎてまで働くことはない。同社のアジア・パシフィック地域最高技術責任者（CTO）であるブライス・ボランド氏は「彼らはあくまで仕事としてハッキングをしている。趣味ではなく、仕事だからやっているという印象だ」と話す。

報告書からは、5人がまず午前8時にログインし、一度ログアウトした後に中国人が昼休みを終える午後2時に再びログインしていることがわかる。75％のアクセスが午前8時から正午、あるいは午後2時から午後6時までの間に行われ、ログインのうち約98％が平日に、1.2％が中国時間の真夜中から午前7時までの間に行われていたという。また、前述のボランド氏によると、担当する業務を明確に割り当てるなど、ハッキングチームは組織として機能していたようだ。

サイバー攻撃部隊の主要メンバーではないと思われる5人が米当局に起訴されたのは偶然ではないだろう。「おそらく彼らは歯車の一部だ。今回の起訴は第一歩にすぎない」とボランド氏は話す。

中国政府は産業スパイ行為を否定しており、今回の起訴は米中関係を悪化させるものだと警告している。また、関係者によると、国内の銀行が採用しているサーバーをIBMのものから国内メーカーのものへ早急に切り替えるよう推し進めているという。

国家間サイバー攻撃：時間は平日昼間

記事のタイトルにもあるように、ハッキングは「仕事」なのである。つまり彼らは朝出社して、夕方退社するまでハッキングを行っている。その時間帯の攻撃は激しく、中国時間の昼休み、深夜、週末には攻撃が少ないというデータも出ている。中国時間の真夜中は中国からの攻撃は1.2％しかない。ハッキング活動を行っている将校らは組織で働く役人であり、上司からの命令に基づいて組織としてサイバー攻撃を行っているのだ。ハッキングしているという「スリリングな快感」や「後ろめたさ」もないのだろう。

なんら驚くことではないが、今回のように攻撃を仕掛けてくる時間帯や割合が数値として出てきたことは興味深い。また中国からの組織的なサイバー攻撃が時間・曜日が集中しているということは防衛側もその時間帯に集中して防衛を行う必要があるだろう。国家間のサイバー攻撃は今後も何かしら続くであろう。また、サイバー攻撃の時間帯や曜日で極端に差が見られる場合は、組織からの攻撃ではないかと推測することもできる。今後もこのようなサイバー攻撃の傾向が分析されることによって防衛側の対策にも活かせるだろう。

（表１）サイバー攻撃の多い時間帯（中国時間）
昼休みが終わった2時から急増し、深夜時間帯には攻撃がほとんどないことがわかる。

（出典：FireEye）

（表２）サイバー攻撃の多い曜日帯（中国時間）
土曜、日曜には攻撃がほとんどない。金曜日も若干少ないことがわかる。

（出典：FireEye）

＊本情報は2014年6月7日時点のものである。