台湾の国家安全局は、2025年の中国の対台湾重要インフラへのサイバー攻撃について分析結果を発表した。概要は以下の通り。
2025年、台湾の国家安全情報チームが把握した重大な情報セキュリティ事件によれば、中国による政府機関、エネルギー、通信、交通、緊急支援、医療、水資源、金融、サイエンスパーク、工業団地、食料供給など9分野の重要インフラに対する侵害・妨害活動は、1日平均約263万回に達し、2024年と比べて増加した。
中国は台湾の重要インフラに対して広範なサイバー攻撃を展開し、台湾政府および社会システムの正常な運用を妨害・無力化しようとしている。その目的は、平時および有事の双方において台湾に圧力を加えるハイブリッド戦略の一環として機能させることにある。
また、2025年における中国の対台湾インフラ攻撃は、2024年と比較すると、特にエネルギー、緊急支援、医療分野において顕著な増加が確認された。
中国による台湾へのサイバー攻撃は、政治的および軍事的圧力と連動する特徴を有している。
2025年におけるサイバー攻撃の発生時期は、中国人民解放軍による「聯合戦備警巡(合同戦備警戒パトロール)」と一定の相関関係が見られる。人民解放軍は年間で計40回のパトロールを実施しており、そのうち23回において、中国のサイバー部隊が同時期に台湾に対する情報セキュリティ侵害活動を強化したことが確認されている。
また、台湾において重要な記念行事が開催される場合や、政府高官が重要な演説を行う場合、あるいは海外訪問を実施する際にも、中国はサイバー攻撃活動を強化する傾向が見られる。これは台湾政府の政策遂行や社会世論に影響を与えると同時に、台湾に対する複合的な威圧を形成することを目的としている。
こうした動きは、2025年5月の総統就任1周年の期間中に年間のピークを迎えた。
中国による台湾の重要インフラへのサイバー攻撃は、主に以下の4つの手法に分類できる。
これらの手法は単独で用いられるだけでなく、複数の攻撃手段を組み合わせて運用されることが多い。
(1)ソフトウェア・ハードウェアの脆弱性を悪用した攻撃
中国による台湾へのサイバー攻撃のうち、全体の5割以上がこの手法を利用している。
中国は、台湾の産業界、政府機関および学術機関において発見されたネットワーク脆弱性に関する情報を積極的に収集するとともに、国際的な情報通信機器メーカーや政府調達により導入されたソフトウェアおよびハードウェアの脆弱性についても継続的な研究を行っている。これらの未修理の脆弱性を有する重要インフラ関連情報通信機器を標的とし、認証機構を回避して管理者権限を取得することで、不正侵入および情報窃取を可能とする「脆弱性の武器化(Vulnerability Weaponization)」能力の強化を図っている。
(2)分散型サービス拒否(DDoS)攻撃
中国のサイバー部隊は大量のボットネット(遠隔操作されたマルウェア感染端末群)を利用したDDoS攻撃により、同時に多数の接続要求を送信することで、重要インフラの外部ネットワークの運用を妨害する。その結果、サービスの遅延や停止を引き起こし、台湾の社会インフラおよび民生サービスの正常な運用に影響を与えることを狙っている。
(3)ソーシャルエンジニアリング攻撃
中国のサイバー部隊は、標的の取引先や協力機関になりすましたメールを送信し、受信者に悪意あるリンクのクリックや不正文書の開封を誘導する。また、「ClickFix」と呼ばれる手法を用い、エラー通知やシステム更新通知を装って不正なコマンドやスクリプトの実行を促し、ユーザー自身にマルウェアを実行させ、より高いシステム権限の取得を図る。
(4)サプライチェーン攻撃
中国のサイバー部隊は、台湾の重要インフラに関連の機器提供業者や協力企業への侵入を試みる。共有システム、アップデート機構、設備保守ツールなどの経路を通じて正規の認証情報を取得し、不正活動を隠蔽する。これにより、重要インフラに対してマルウェアを配置・拡散を実施している。
中国のサイバー部隊は、BlackTech, Flax Typhoon, Mustang Panda, APT41. UNC3886などのハッカー組織を通じて台湾の重要インフラを攻撃している。その攻撃方法や活動対象分野には一定の違いが見られる。
(1)エネルギー分野:制御システムへの侵入
中国のサイバー部隊は、台湾の石油、電力、ガスなどの公営・民間企業のネットワーク設備および制御システムを頻繁に探索している。ソフトウェアの更新時期などを利用してマルウェアを侵入させ、台湾のエネルギー企業のシステムに感染させる。その目的は、エネルギー産業の運営体制、資源配分、緊急対応計画などの情報を把握することにある。
(2)医療分野:個人情報の窃取と恐喝
中国のサイバー部隊は、台湾の大規模医療機関のウェブサイトに存在するシステム脆弱性を継続的に悪用し、ランサムウェアを用いて病院の運営を妨害している。また、診療記録などの個人情報や医療研究データを窃取する事例も確認されている。2025年には少なくとも20回、医療機関から盗取されたデータがダークウェブで販売・拡散され、情報窃取や経済的利益の獲得、さらには社会への威圧を目的として利用された。
(3)通信分野:MITM攻撃による通信傍受
中国のサイバー部隊は、台湾通信産業の設備脆弱性を利用して通信企業および関連企業のシステムに侵入する。「Man-in-the-Middle(MITM)」攻撃を通じて通信内容を傍受・改ざんし、通信データやユーザー情報を窃取する。また、重要ネットワークやバックアップネットワークにも侵入を試み、台湾の国内外通信ネットワークの安全性とレジリエンスに影響を与えようとしている。
(4)政府分野:標的型攻撃の高度化
中国のサイバー部隊は台湾中央政府の特定部門を対象に、高度にカスタマイズされたソーシャルエンジニアリングメールを使用する。業務交流、国際経済貿易、両岸関係の報告などを装ったメールにマルウェアを仕込み、文書を開かせることでバックドアを設置し、情報窃取を行う。取得した情報は加工・改ざんされた上でダークウェブや特定のオンライン掲示板で拡散され、台湾政府の情報収集と同時に政府の情報セキュリティに対する社会的信頼を損なうことを目的としている。
(5)テクノロジー分野:半導体と軍事技術
中国のサイバー部隊は台湾のサイエンスパークだけでなく、半導体企業や軍事産業企業に関連する設備提供企業(設計・製造・テストなど)にも攻撃を行っている。サプライチェーン攻撃、ソーシャルエンジニアリング、脆弱性攻撃など複数の手法を組み合わせ、ハイテク技術、産業計画、政策決定関連情報を窃取する。これらの情報は中国の技術発展および経済発展を支援し、米中間の技術競争における不利な状況を回避するために利用される。
2025年以来、インド太平洋地域の各国、NATO、EUのサイバーセキュリティ機関および情報機関は、中国が世界のサイバー安全保障における主要な脅威の発信源の一つであると繰り返し指摘している。
中国は軍事、情報、産業、テクノロジー分野の公的・民間部門を統合し、多様なサイバー攻撃手段と技術を通じて台湾に対するサイバー攻撃の効果と秘匿性を強化している。
中国によるサイバー脅威に対し、台湾国家安全局は国家安全情報チームおよび関係政府機関と連携し、情報セキュリティ防衛体制および常態化した対応メカニズムを通じて、中国によるサイバー攻撃への対応を継続している。
また、台湾国家安全局は2025年に約30か国とのサイバーセキュリティ協力を推進し、情報セキュリティ対話や技術会議を実施した。これにより中国サイバー部隊の攻撃パターンを迅速に把握するとともに、国際的なサイバーセキュリティ協力ネットワークを通じて悪意ある中継サーバーの共同追跡を行い、政府の政策決定および対応能力の強化を支援している。