2025年10月、中国国家安全部(MSS)が衝撃的な発表を行いました。米国家安全保障局(NSA)が中国の「北京時間」を管理する国家授時中心(NTSC)に対して、長期間にわたる高度なサイバー攻撃を仕掛けていたというのです。
現役のフォレンジックアナリストとして、この事案は従来のサイバー攻撃とは異なる深刻な意味を持っていると感じています。なぜなら、時刻同期システムという極めて重要なインフラが標的となったからです。
なぜ「時刻」がサイバー攻撃の標的になるのか
一般の方には意外かもしれませんが、正確な時刻は現代のIT社会を支える根幹の一つです。中国の国家授時中心(NTSC)は「北京時間」を生成・配信し、通信・金融・電力・交通・測位・国防などの重要インフラに時間基準を提供しています。
私がこれまで手がけてきたフォレンジック調査でも、時刻のずれが原因でシステム全体が機能停止した事例を何度も見てきました。例えば:
- 金融システムの障害:タイムスタンプのずれにより取引記録の整合性が失われ、数時間の取引停止
- 認証システムの麻痺:Kerberosなどの認証プロトコルは時刻ずれに敏感で、わずか5分のずれでもログイン不可
- ログ解析の困難:インシデント調査時にタイムスタンプが狂っていると、攻撃経路の特定が極めて困難
攻撃者から見れば、時刻同期システムは「一石で多鳥を得る」ことができる極めて効率的な標的なのです。
42種の「武器」を駆使した高度な攻撃手法
中国の技術報告書によると、攻撃者は42種類もの専門ツールを組み合わせて攻撃を実行していました。これは私が過去に分析した一般的なマルウェア攻撃とは明らかに異なる、国家レベルの高度な手法です。
攻撃の段階的展開
第1段階:初期侵入(2022年3月)
外国製スマートフォンのSMS機能の脆弱性を悪用し、NTSC職員の端末から連絡先や位置情報を窃取。これは典型的なスピアフィッシングの前段階として行われる情報収集活動でした。
第2段階:認証情報の窃取
職員の端末から管理者のPC資格情報を奪取。この手法は、私が調査した企業への侵入事例でも頻繁に見られるパターンです。
第3段階:内部偵察(2023年4月以降)
窃取した認証情報を使って内部PCに複数回リモート接続し、ネットワーク構成を詳細に調査。
第4段階:長期潜伏体制の構築(2023年8月〜2024年6月)
「eHome_0cx」「Back_Eleven」「New_Dsz_Implant」などの専門ツールを段階的に導入し、TLSとRSA/AESを重ねた4層暗号化通信で指令・データをやり取り。
個人・中小企業が学ぶべき教訓
この事案から、個人や中小企業が学ぶべき重要な教訓がいくつかあります。私がこれまで手がけたインシデント対応の経験を踏まえてお話しします。
1. モバイル端末のセキュリティの重要性
今回の攻撃の起点は、職員のスマートフォンのSMS脆弱性でした。個人の方でも、業務に私用端末を使用している場合は特に注意が必要です。
私が調査した中小企業の事例でも、従業員の個人スマートフォンから会社のシステムに侵入された案件が増えています。アンチウイルスソフト
のようなモバイル対応のセキュリティソフトウェアを導入することは、もはや必須と言えるでしょう。
2. 特権アカウントの管理
攻撃者は一般職員の端末から管理者権限を奪取しました。これは「特権昇格攻撃」と呼ばれる手法で、私のフォレンジック調査でも最も頻繁に遭遇するパターンの一つです。
対策として:
- 管理者アカウントの定期的なパスワード変更
- 多要素認証の導入
- 最小権限の原則の徹底
3. 通信の暗号化と監視
攻撃者は4層もの暗号化を施した通信で検知を回避していました。一方で、正当な業務通信も適切に保護する必要があります。
特にリモートワークが普及した現在、VPN
の利用は個人・企業を問わず重要なセキュリティ対策となっています。私が関わった事例でも、暗号化されていない通信を傍受されて情報漏洩に至ったケースが複数ありました。
Webサイト運営者が気をつけるべきポイント
今回の攻撃では、偽造証明書や悪意のあるVPSサーバーが踏み台として利用されました。これは、Webサイトの脆弱性が間接的に攻撃インフラとして悪用される可能性を示唆しています。
私がこれまでに調査したWebサイトへの攻撃事例では、脆弱性を放置したサイトが:
- マルウェアの配布拠点として悪用
- フィッシングサイトのホスティングに利用
- 攻撃者の指令制御サーバーとして使用
されているケースが後を絶ちません。
Webサイト脆弱性診断サービス
のような専門的な診断サービスを定期的に利用し、脆弱性を早期発見・修正することは、自組織の保護だけでなく、サイバー攻撃のインフラ化を防ぐ社会的責任でもあります。
時刻同期システムを狙う攻撃への対策
個人や中小企業では、国家レベルの時刻同期システムを運用することはありませんが、NTPサーバーの設定には注意が必要です。
私が調査した事例では、不正なNTPサーバーに接続するよう設定を改ざんされ、時刻を意図的にずらされることで:
- SSL証明書の検証が無効化
- ログのタイムスタンプが操作
- 認証システムが機能停止
といった被害が発生しました。
対策として:
- 信頼できるNTPサーバーの明示的な設定
- 時刻同期の設定変更を監視
- システム時刻の急激な変化を検知するアラート設定
が重要です。
まとめ:多層防御の重要性
今回の事案は、サイバー攻撃の標的がより重要なインフラへと移行していることを明確に示しています。時刻同期システムという、これまであまり注目されてこなかった分野が標的となったのは、攻撃者の手法がより巧妙化している証拠でもあります。
フォレンジックアナリストとしての経験から言えるのは、単一のセキュリティ対策だけでは不十分だということです。今回の攻撃者も、SMS脆弱性から始まり、段階的に攻撃を展開しています。
個人であればアンチウイルスソフト
とVPN
を組み合わせた基本的な防御から始め、企業であればWebサイト脆弱性診断サービス
による定期的な脆弱性チェックを加えた多層防御体制を構築することが重要です。
サイバーセキュリティは「完璧」を目指すものではなく、攻撃者のコストを上げ、被害を最小限に抑える「リスク管理」の考え方で取り組むことが現実的です。今回の事案を他人事と考えず、自身の環境を見直すきっかけとしていただければと思います。
