📊 3行サマリー

  • 2026年4月23日、米CISA・英NCSC・日本のNISCを含む12カ国・機関が共同声明(AA26-113A)を出し、中国系ハッカーが「個別調達インフラ」から大規模な潜伏ネットワーク(Covert Network)へ戦術転換したと警告した。
  • 潜伏網の中身は家庭用SOHOルーター・IoT機器・スマート家電。例えばボットネット「Raptor Train」だけで20万台が感染し、Volt Typhoon・Flax Typhoonら中国系APTが諜報や重要インフラへの事前侵入に流用してきた。
  • 日本のNISCも署名側として参加。日本企業の支社ルーター・在宅勤務ルーター・工場IoTが踏み台化されるリスクが現実化し、攻撃元の国籍判定(アトリビューション)が一段と難しくなる構造が固まった。

🌐 米英日など12カ国・機関、中国系ハッカーの戦術転換を共同で公表

2026年4月23日、米国CISAと英国NCSCが主導し、日本(NISC)、オーストラリア、カナダ、ドイツ、オランダ、ニュージーランド、スペイン、スウェーデン、米FBI、米NSAの計12機関が共同で「Defending Against China-Nexus Covert Networks of Compromised Devices(AA26-113A)」を発表しました。中国に紐づく国家系サイバー攻撃者(China-nexus)が、これまでの「自前で借りたVPSや専用サーバー」から、世界中の家庭用ルーター・IoT機器を侵害してつくる大規模な潜伏ネットワークへと、ここ数年で大きく舵を切ったと結論づけた内容です。

この警告の異例さは2点。第1に、英NCSCが筆頭機関として米CISAと並列で名を出している点。これまで対中国サイバー警告は米主導が常で、日英欧10カ国超が同時に名を連ねるのは2025年8月のSalt Typhoon警告以来です。第2に、警告の主眼が「特定APTグループ」ではなく「攻撃インフラそのもの」へ移ったこと。読者が攻撃を受けたかどうかではなく、自社・自宅のルーターが他社攻撃の踏み台になっていないかを問う警告です。

📰 CyberScoop報道:「安価・低リスク・追跡困難」が潜伏網の三本柱

元ネタA dozen allied agencies say China is building covert hacker networks out of everyday routers(CyberScoop / 2026-04-23)

Covert networks are used to connect across the internet in a low-cost, low-risk, deniable way, disguising the origin and attribution of malicious activity.

米メディアCyberScoopは、共同声明の核心を「安価・低リスク・追跡困難」の3点に集約しました。攻撃者は感染済みのSOHOルーターをチェーン状に経由してC2サーバーへ接続するため、被害組織側のログには「同じ国の住宅IPからのアクセス」しか残らず、国籍判定が極めて難しくなります。声明では、これらの潜伏網を構築・運用しているのは中国の情報セキュリティ企業であると名指しし、Volt Typhoon(米重要インフラへの事前侵入)とFlax Typhoon(諜報活動)が代表例として挙げられました。

🔥 戦術が「個別調達」から「潜伏網」へ転換した3つの理由

中国系APTがインフラを自前調達からCovert Networkへ移した背景は、声明と関連レポートを読むと3層に分けられます。

第1に経済合理性。VPS・ドメインを攻撃ごとに借りると単価が積み上がり、米欧の制裁対象にも引っかかります。家庭用ルーターの脆弱性を突けば、運用コストはほぼゼロです。第2にアトリビューション希釈。Lumenの脅威情報部Black Lotus Labsが2024年に公表したRaptor Trainボットネットだけで20万台、感染地は米欧アジアに広く分散しており、被害側ログから攻撃国を断定するのが事実上不可能になります。第3に多目的化。同じ潜伏網が偵察・マルウェア配布・データ持ち出しまで使い回せ、一度のCisco/MikroTik/TP-Link系の脆弱性突破で長期運用できる構造です。声明はこの3層を「individually procured → externally provisioned」の戦術シフトと表現しており、業界用語で言えば「攻撃インフラのSaaS化」が進んだ状態と読めます。

🇯🇵 日本企業の支社・在宅・工場IoT、3つの踏み台化リスクが現実に

日本側の本当の脅威は、攻撃を受ける側ではなく、日本国内の機器が他国攻撃の中継地として使われ続けてきた事実の方にある。共同声明には日本のNISC(内閣サイバーセキュリティセンター)も署名しており、これは日本側でも一定数の踏み台化事例を把握していることを意味します。

具体的なリスクは3層あります。第1に支社ルーター。地方拠点や海外支社のIT管理が手薄なまま、TP-Link・MikroTikの古いファームウェアで稼働している例が多く、Volt Typhoon型の事前侵入の対象になりやすい状態が続いている。第2に在宅勤務環境。総務省「テレワーク実態調査」では家庭ルーターのファーム更新を年1回以下しか行わない世帯が6割超で、Raptor Train系統の感染が長期間気付かれずに続きます。第3に工場IoT。経済産業省が2026年4月3日の産業サイバーセキュリティ研究会で問題提起したとおり、工場の監視カメラ・センサー機器がインターネット直結のまま放置されているケースが残ります。これら3層が共同声明の言う「外部から提供される大規模潜伏網」に組み込まれてしまうと、攻撃を受けた米企業のログには日本IPだけが残り、外交問題化する筋書きさえあり得ます。

🏁 中国系サイバーは「インフラの司令官化」へ、防御は機器境界より組織連携の段階に入った

今回の共同声明の本質は、中国系の脅威アクターが個別オペレーションの実行者から、世界中の侵害デバイスを束ねる「インフラの司令官」へと役割を変えたという宣言です。NCSC CEOのリチャード・ホーン氏は警告と同日のスピーチで「中国の情報・軍機関のサイバー作戦は、見るに堪えない(eye-watering)レベルの洗練度に達した」と述べました。CISA、NSA、FBI、そして日本のNISCを含む12機関の共同推奨は、エッジ機器の棚卸し、正常通信のベースライン化、ログ長期保管、リモート接続の多要素認証など、組織を跨いだ「ハンティング型」防御に重心を移すよう促しています。この3層リスクを放置したまま米欧の被害ログに日本IPだけが残れば、日本企業は被害者と加害者の境目で立ち往生する。