週末、中国政府のハッキング請負業者であるI-Soonから盗まれたと思われるファイルと文書のキャッシュが何者かによって投稿された。
この漏洩により、サイバーセキュリティ研究者やライバル政府には、民間請負業者が支援する中国政府のハッキング活動の舞台裏を覗く前例のない機会が与えられる。
2015年にイタリアのスパイウェアメーカーであるHacking Teamを標的としたハッキング・リーク作戦と同様に、I-Soonのリークには同社の文書や内部通信が含まれており、I-Soonがインド、カザフスタン、マレーシア、パキスタン、台湾、タイなどの企業や政府機関へのハッキングに関与していたとされている。
漏洩したファイルは金曜日にコード共有サイトGitHubに投稿された。それ以来、中国のハッキング活動を観察する人々は、これらのファイルを熱心に調査している。
「これは、中国の安全保障機関にサイバースパイ活動や標的型侵入サービスを提供していると疑われている企業に関連するデータ漏洩としては、最も重大なものだ」と、サイバーセキュリティ企業レコーデッド・フューチャーの脅威情報アナリスト、ジョン・コンドラ氏は述べた。
グーグル傘下のマンディアント社の主任アナリスト、ジョン・ハルトキスト氏は、今回のリークは「範囲は狭いが、内容は深い」と指摘する。「諜報活動の内部事情にこれほど自由にアクセスできる機会は滅多にない」
サイバーセキュリティ企業センチネルワンのアナリスト、ダコタ・キャリー氏とアレクサンダル・ミレンコスキ氏はブログ投稿で、「今回のリークは、国家と関係のあるハッキング請負業者の内部活動を初めて明らかにするものだ」と書いている。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
また、ESETのマルウェア研究者マシュー・タルタール氏は、この漏洩は「脅威情報アナリストが観察したいくつかの侵害をI-Soonに関連付けるのに役立つ可能性がある」と述べた。
リークされた情報を最初に確認した人物の一人は、台湾出身の脅威インテリジェンス研究者で、通称Azaka氏です。Azaka氏は日曜日、X(旧Twitter)に長文のスレッドを投稿し、2022年という最新の日付と思われる文書やファイルの一部を分析しました。Azaka氏は、I-Soon社がWindows、Mac、iPhone、Androidデバイス向けに開発したスパイソフトウェアに加え、実社会での使用を想定して設計されたハードウェアハッキングデバイスについても言及しました。これらのデバイスは、Wi-Fiパスワードの解読、Wi-Fiデバイスの追跡、Wi-Fi信号の妨害などが可能です。
「私たち研究者は、ついに、あそこでの実態がまさにこれであり、APTグループは私たち一般労働者とほぼ同じように働いている(ただし、彼らの報酬はひどいものだ)ことを確信しました」とアザカ氏はTechCrunchに語った。「規模はかなり大きく、大規模な政府ネットワークへの侵入には儲かる市場があるということです」APT(Advanced Persistent Threat)とは、通常、政府の支援を受けているハッカー集団のことである。
研究者の分析によると、文書にはI-Soonが中国公安部、国家安全部、中国陸軍、海軍に勤務していたことが示されている。また、I-Soonは中国全土の地元法執行機関に自社のサービスを売り込み、チベット人や、中国西部の新疆ウイグル自治区に住むイスラム教徒のウイグル族などの少数民族をターゲットにすることを支援してもらえるよう販売していた。
文書はI-SoonをAPT41と結びつけている。APT41は2012年から活動しているとされ、世界中の医療、通信、テクノロジー、ビデオゲーム業界などさまざまな業界の組織を標的にしている中国政府のハッキング集団である。
また、I-Soonの漏洩で発見されたIPアドレスは、デジタル著作権団体Citizen Labが2019年のハッキングキャンペーンでチベット人に対して使用されたことを確認したフィッシングサイトをホストしていました。当時、Citizen Labの研究者はこのハッキンググループを「Poison Carp」と名付けました。
アザカ氏や他の研究者らは、I-Soon社の従業員と経営陣の間のチャットログも発見した。その中には、従業員がギャンブルについて話したり、中国で人気の牌を使ったゲームである麻雀をしたりといった、極めて平凡なものもあった。
ケアリー氏は、I-Soon の従業員の給与がいくらか、あるいはいくら少ないかを示す文書やチャットを強調した。
お問い合わせ
I-Soonや中国政府によるハッキングについて、もっとご存知ですか?仕事用ではないデバイスから、ロレンツォ・フランチェスキ=ビッキエライ氏にSignal(+1 917 257 1382)、Telegram、Keybase、Wire(@lorenzofb)、またはメールで安全に連絡できます。また、SecureDrop経由でTechCrunchに連絡することも可能です。
「彼らはベトナム経済省へのハッキングで5万5000ドル(2024年時点の価値)を受け取っています。このような標的へのハッキングとしては、それほど高額ではありません」とキャリー氏はTechCrunchに語った。「中国にとって、高価値な標的へのハッキング作戦がいかに安価であるかを考えさせられます。そして、これは組織のセキュリティの本質について何を物語っているのでしょうか。」
ケアリー氏によると、この漏洩はまた、研究者やサイバーセキュリティ企業が傭兵ハッカー集団の過去の活動に基づいて、彼らの将来の行動を慎重に考慮する必要があることを示している。
「これは、脅威アクターの過去の標的行動、特に中国政府の請負業者である場合の行動が、将来の標的を示唆するものではないことを示しています」とキャリー氏は述べています。「ですから、この組織を見て、『ああ、彼らは医療業界だけをハッキングしている、あるいはX、Y、Z業界をハッキングしている、そしてこれらの国々をハッキングしている』と考えるのは無意味です。彼らは、それらの(政府)機関の要請に応えているだけです。そして、それらの機関は異なるものを要求するかもしれません。新しい部署や新しい場所から仕事を得るかもしれません。」
ワシントンDCの中国大使館はコメント要請に応じなかった。
I-Soonのサポート受信箱に送ったメールは返信がなかった。匿名のI-Soon従業員2人がAP通信に対し、同社は水曜日に会議を開き、漏洩は業務に影響はなく「通常通り業務を続ける」よう従業員に伝えたと語った。
現時点では、漏洩した文書やファイルを誰が投稿したのかに関する情報はなく、GitHubは最近、漏洩したキャッシュをプラットフォームから削除しました。しかし、複数の研究者は、不満を抱えた現従業員または元従業員による犯行である可能性が高いと考えています。
「このリークをまとめた人たちは、目次を作成した。そして、その目次とは、従業員が低賃金や会社の財務状況について不満を述べていることだ」とキャリー氏は述べた。「このリークは、会社に恥をかかせるように構成されている」
米国、米国のインフラへの脅威を警告する中、中国が支援するハッキング作戦を阻止
