【EU】中国系ハッカー、伊公安警察5,000人の身元を2年間抜き取り——日本警察も狙われる構図

📝 中国系ハッカーが伊内務省から公安5,000人の身元を窃取、2年間の潜伏侵入が判明

イタリア紙La Repubblicaのスクープを発端に、伊内務省Viminaleのネットワークが2024〜2025年の2年間にわたって中国系ハッカーに侵入されていたことが2026年2月に明らかになった。被害はネットワーク停止やランサム要求ではない。流出したのは政治警察Digos（Divisione Investigazioni Generali e Operazioni Speciali、カウンターテロ・反体制派監視を担当）の要員約5,000人分の氏名・役職・配属拠点リストである。捜査関係者の評は「外科的（surgical）」。データ破壊で騒ぎを起こすタイプではなく、敵対国の情報機関が運用に直接使う高価値情報だけを抜きにかかる、典型的な静かな侵入だ。

5,000人という数字は、Digosの全国規模を考えるとほぼ「組織のフルマップ」に近い。誰が、どの拠点で、どのテーマを担当しているか。これが向こうに渡れば、対象側はカウンター監視・接近回避・情報源遮断といった対抗工作を即座に組める。攻撃が「すでに2年前に始まっていた」という事実も重い。対策が打てるのは流出後ではなく未然の段階のみ、という冷酷な現実だけが残った。

📰 Decode39報道、Digos対象は「外科的」な侵入で中国系反体制派の追跡情報も流出

元ネタ：A Chinese hack exposes data of 5,000 Italian counterterrorism officers（Decode39 / 2026年2月18日）／補助：Italy’s cyber perimeter under fire: two institutional breaches in fifteen days（Andrea Fortuna / 2026年2月19日）

a targeted exfiltration of high-value operational intelligence.（高価値の作戦情報を狙った標的型データ抜き取り）

Decode39の続報で特に重い指摘は、流出したDigos要員の業務に「中国本国から伊に逃れた反体制派の追跡・監視」が含まれていた点だ。要員リストが向こうに渡れば、追われる側ではなく追う側が逆に追跡される。保護対象である反体制派の安全網そのものが揺らぐ。Decode39は2024年に伊検察が中国側に正式に出した司法共助要請（プラート繊維産業の不法就労摘発が背景）にも触れ、伊側が中国と協力ルートを開いた瞬間に、その協力ルートの担当者リストが向こう側に持ち去られていた構図を浮かび上がらせた。

🔥 伊中国協力協定の裏で進行——COVID時のロシア軍医療団派遣に学べなかった構造

侵入が走っていた2024〜2025年、伊内務相Matteo Piantedosiは北京で中国公安相Wang Xiaohongと会談し、薬物・サイバー犯罪・人身売買・組織犯罪の3年協力プランに署名した。協力プランの担当部署と、流出した5,000人の所属が重なるのは偶然ではない。協定の合意が出来上がった瞬間、相手は既にこちらの担当者リストを手中にしていた、という時系列になる。Andrea Fortuna（DFIRアナリスト）はこの構図を、COVID-19初期にロシア軍医療団が伊病院に立ち入った前例の再演だと位置づけ、「協力の窓は同時に情報収集の窓になる」という教訓が伊政府の組織文化に浸透していなかったと指摘する。

事案発覚後、伊公安当局は中国側との直接的な実務協力を全面停止した。署名から1年程度で外交的成果がほぼ巻き戻された格好だ。協定を結ぶごとに、協定のために動く実務担当者の身元が向こうに渡る。この構造を変えないかぎり、外交と防諜のトレードオフは悪化の一途をたどる。

🇯🇵 日本の公安・外事も同型標的、能動的サイバー防御法とNIS2の差で日本不利

日本側に置き換えると、警察庁警備局（公安課・外事課）と各都道府県警の公安部が伊Digosに相当する。中国系反体制派・チベット系・ウイグル系の在日コミュニティ監視、テロ警戒、外国情報機関の活動把握、いずれも日本の公安・外事の通常業務であり、その担当官リストが攻撃価値を持つ点はイタリアと同じだ。日本でも能動的サイバー防御法（ACD法）が2025年通常国会で成立したが、伊が運用しているNIS2指令を国内法化したD.Lgs 138/2024と比較すると差が見える。政府機関自身が侵害時に72時間以内の届出を負う仕組み、責任の所在を経営層（または省庁トップ）まで明示する条文の厚み。このあたりで開きがある。

日本の警察庁や公安調査庁が仮に同じ2年潜伏型の侵害を受けていたとしても、現状の運用では公表されないまま内部処理で終わる可能性が高い。これは透明性の問題というよりも、攻撃側に「日本ターゲットは2年経っても気付かれない」と学習させてしまうリスクとして深刻だ。さらに、伊に進出する日系企業の駐在員のうち警察協力業務（治安情報共有・現地警備調整）に関わる人材は、Viminale経由で名簿に載っている可能性があり、間接的な漏出経路として無視できない。

🏁 民間にNIS2を課す国家自身が落ち、規制の対称性がEU全体に問われる

D.Lgs 138/2024は重要インフラ事業者・公共機関に対し、リスク管理・24〜72時間内の侵害届出・サプライチェーン管理・経営層の責任明示を義務づけ、2026年10月の本格運用に向けて準備が進む。ところがそれを命じる側のViminaleとSapienza大学が15日のあいだに2件、別経路で侵害された。Andrea Fortunaは「NIS2は会議で掲げるロゴではなくコミットだ」と書き、規制を民間に対して敷きながら自身の侵害を未開示で済ませる構造は、EU全体の規制対称性そのものを傷つけると指摘する。日本の能動的サイバー防御法も、政府機関の被害公表ルールを明文化しないかぎり、いずれ同じ批判が向く。協力協定の隣を歩く侵入そのものは止められない。それでも、協定を結ぶ部署が破られた瞬間に合意を再評価する手続きを、規制の側に組み込む余地はある。

標的型攻撃セキュリティガイド（岩井博樹）