【速報】中国政府関連とみられるハッカー集団が通信会社に潜入、発覚
2026 年2月26日
【記事詳細】(後半は、日本で想定される影響と解決すべき課題について考察)
- 中国系と疑われるハッカー集団が、各国の通信会社や政府機関に侵入。
- 少なくとも 42カ国・53機関が被害(さらに20カ国以上でも感染の疑い)。
- 活動は 2023年から10年以上、発覚しないまま継続していた。
攻撃の特徴
- Googleが「UNC2814」と呼ぶ攻撃者。
- Googleの SaaS(クラウド)API通信を悪用し、通常の業務通信に紛れて不正通信を隠蔽。
- 特に Google Sheets API を司令塔(C2)として利用。
使用されたマルウェア「GRIDTIDE」
- C言語製の新型バックドア。
- Googleサービスアカウントにログインし、スプレッドシートを遠隔操作の司令センターに変える。
- 感染端末の情報(ユーザー名、OS、IP、タイムゾーンなど)を収集し記録。
- シートの「A1セル」を命令受信欄として常時監視。
主な機能
- C:Base64化されたコマンドを実行
- U:ファイルをアップロード
- D:ローカルファイルをダウンロード(分割して送信)
➡ データ窃取や遠隔操作が可能
隠蔽手法
- 通信は「URL安全Base64」で暗号化。
- 通常のGoogle通信に紛れ、監視ツールを回避。
- いわば「正規クラウドを隠れ蓑」にした攻撃。
被害状況
- 少なくとも1件で個人情報(PII)を含むシステムに感染。
- ただし、実際のデータ流出は確認されていない。
Google側の対応
- 攻撃に使われたGoogle Cloudプロジェクトを全停止。
- APIアクセス遮断。
- 関連ドメインを無効化(シンクホール化)。
- 被害組織に直接通知し、除去支援。
- 検知ルールと侵害指標(IoC)を公開。
今後の見通し
- Googleは「攻撃は一時的に止まったが、近く別のインフラで再開する可能性が高い」と警告。
ポイントまとめ
- 正規クラウドサービスを悪用する高度な諜報型攻撃。
- 通信会社・政府が標的。
- 国家支援型サイバー作戦の可能性。
- 今後もインフラを変えて継続する見込み。
【考察】日本で想定される影響と解決すべき課題について
(UNC2814/GRIDTIDE型攻撃)
①直接的な標的リスク
日本も対象になり得る理由
- 被害は42カ国に拡大(=地域限定ではない)
- 標的は「通信会社」「政府機関」
- 日本は
• 先進通信インフラ(5G/6G)
• 米国と同盟関係
• インド太平洋戦略の中核
地政学的に“優先順位が高い国”
② 通信インフラへの影響
想定されるリスク
- 通信事業者への侵入
- 通話履歴・メタデータの取得
- 企業・政府の通信監視
- 災害時インフラの妨害準備
通信会社が侵害されると、個人ではなく「国家レベルの情報流通」が見えるという点が重要。
③ 政府機関への影響
もし日本の省庁ネットワークに類似侵入があれば:
- 外交文書
- 防衛関連通信
- 経済安保データ
- サイバー防御体制の把握
が狙われる可能性。
特に日本は:
- 経済安全保障法
- 半導体・AI政策
- 防衛費増額
を進めているため、情報収集対象として合理的。
④ クラウド依存の構造的弱点
今回の攻撃の本質は:「正規クラウド(Google)を隠れ蓑にしたこと」
日本は:
- 政府クラウド(ガバメントクラウド)
- 民間のGoogle Workspace普及
- SaaS利用拡大
“通信を止められない”サービスをC2に使われると検知が難しいこれは従来型のファイアウォールでは防ぎにくい。
⑤ 日本企業への波及
標的は政府だけではない。
- 防衛産業
- 半導体関連
- AI企業
- 通信機器メーカー
- 重要インフラ関連企業
AI×政策×産業ネットワークも情報収集対象になり得る。
⑥ 技術的な意味
GRIDTIDEの特徴:
- Base64で偽装
- Google Sheetsを司令塔化
- 通常通信に完全に溶け込む
これは:
「侵入よりも潜伏と情報収集が目的の諜報型」破壊型ではない。
つまり:
静かに、長期的に、構造を読むための攻撃。
⑦ 日本の現状
日本は:
- NISC(内閣サイバーセキュリティセンター)
- 防衛省サイバー部隊
- 警察庁サイバー局
を持つが、
✔ クラウドAPI悪用型
✔ SaaSベースC2
✔ ゼロトラスト高度運用
はまだ発展途上。
⑧ 今後日本で起こり得るシナリオ
- 日本の通信事業者で類似手口発覚
- 政府クラウド経由の潜伏
- 経済安保関連企業の静かな情報流出
- インド太平洋連携国への横展開
⑨ 戦略的意味
この種の攻撃は:「戦争」ではなく「常時型情報戦」サイバー空間では平時と有事の境界が曖昧。
日本は:
- 防衛費は増額
- だがサイバー領域はまだ十分とは言えない
結論
日本への影響は:
✔ 既に潜在的対象である可能性
✔ 通信・政府クラウドが要警戒
✔ 今後も高度化・再発の可能性大
今回止められても、攻撃者はインフラを変えて戻るとGoogle自身が警告。
【提言】日本が今すぐ強化すべき 7つのポイント
(GRIDTIDE型=クラウド悪用型諜報対策)
① クラウドAPI監視の強化(最優先)
今回の核心は:正規のGoogle Sheets APIをC2に悪用
日本はガバメントクラウドを推進中。
★必要な対策:
- API通信の「異常パターン検知」
- サービスアカウント利用の厳格監査
- 外部API通信の振る舞い分析(UEBA)
従来の「マルウェア検知」では不十分。
② サービスアカウント管理の徹底
GRIDTIDEは「ハードコードされた秘密鍵」を使用。
★強化策:
- すべてのサービスアカウントの棚卸し
- 鍵の短期ローテーション
- 鍵のソースコード内埋め込み禁止
日本の中小自治体は特に弱点。
③ 通信事業者の“国家レベル監査”
通信会社が侵害されると:国家の通信メタデータが読まれる
★必要:
- 通信事業者への常設サイバー監査
- 国家安全保障指定事業者制度の強化
- インシデント報告の即時義務化
④ ゼロトラストの実装を“形だけで終わらせない”
日本はゼロトラストを掲げているが:
✔ 実装はまだ限定的
✔ 運用が弱い
★強化点:
- 内部通信も常時検証
- クラウドアクセスの地理的異常検知
- 行動ベースのアラート
⑤ 経済安保企業の強制的セキュリティ基準
対象:
- 半導体
- AI
- 防衛
- 通信機器
今は努力義務的。
★必要:
- 国家標準セキュリティ基準の義務化
- 定期侵入テスト→重要
- クラウドC2模擬演習→重要
⑥ サイバー人材の国家集約
現状問題:
- 省庁ごとに分断
- 民間に流出
★解決策:
- サイバー版予備役制度
- ホワイトハッカー国家登録制度
- 官民横断SOC(統合監視センター)
★強化すべき点:
- 米国・豪州・欧州とのIoC即時共有
- API悪用型攻撃の共通データベース
- 共同演習の定期化
本質的な課題
今回の攻撃は:「破壊」ではなく「潜伏して読む」タイプ
つまり:
- 外交
- 防衛
- 経済戦略
が静かに把握される。これは長期戦。
日本の弱点まとめ
- クラウド依存拡大中
- API監視が遅れている
- 中央集権型統合監視が弱い
- 経済安保企業の防御にばらつき
◾️優先順位(緊急順)サイバー国家制度の拡充
1️⃣ クラウドAPI異常検知
2️⃣ 通信事業者監査
3️⃣ 経済安保企業の強制基準
4️⃣ 官民統合SOC
5️⃣ 同盟国即時共有
