中国の「ウォールドガーデン」がサイバー脅威ランドスケープを再定義

Flashpointの最新ウェビナーでは、中国の脅威アクターが関与するサイバーエコシステムの仕組みを解き明かします。このオフェンシブスタックは、政府指令と雇われハッカー業界の2本柱で成り立っています。

長年にわたり、世界のサイバーセキュリティコミュニティは「レコードを公開することで技術情報が培われる」という前提の下で活動してきました。セキュリティ研究は常に、世界共通の文化である「透明性」を通じてオープンに議論・共有されてきたのです。しかし、その現実が根本から変貌を遂げつつあります。Flashpointで確認しているように、中国におけるデータを取り巻く不透明性の高まり、いわゆる「ウォールドガーデン（壁に囲まれた庭）」によって、同国の脅威アクターと高度持続的脅威（APT）グループの能力は産業規模にまで発展するに至りました。

Flashpointが先日開催したオンデマンドウェビナー「Mapping the Adversary: Inside the Chinese Pentesting Ecosystem（敵対者をマッピング：中国のペネトレーションテストエコシステムの内幕）」では、ゼロデイ脆弱性の研究を囲い込む中国の政策により、これまで同国の攻撃手口を探るための窓口だったサイバーコミュニティが事実上閉ざされた経緯を解説しています。ただし、これらのコミュニティは消滅したわけではありません。それどころか国家に吸収され、成熟した自立的オフェンシブスタックを構築したことにより、世界中のインフラを攻撃する能力を手に入れているのです。

*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事（2026年1月30日付）を翻訳したものです。

「ウォールドガーデン」を理解する：情報の共有から国有化へ

「ウォールドガーデン」は、中国で2021年に施行された規制の転換点、すなわち「ネットワーク製品セキュリティ脆弱性管理規定（RMSV、网络产品安全漏洞管理规定）」の直接的な成果です。中国はこれまで、規制や政策戦略を積み重ねることで段階的にデータを囲い込んできましたが、2021年のRMSVが同国の脆弱性研究能力を事実上国有化する重要な転機になりました。この国ではRMSVの下、新たな脆弱性を発見した個人や組織は、48時間以内に行政機関の工業・情報化部（MIIT）へ報告することが義務付けられています。とりわけ注目に値するのは、脆弱性の詳細を第三者（特に外国の組織や個人）と共有することや、パッチがリリースされる前に販売することを禁止している点です。

この義務化が適用されるのは、中国製のソフトウェアやハードウェアに限りません。発見者が中国に拠点を置く組織または中国国民である限り、発見されたあらゆる脆弱性に適用される点に留意することが重要です。中国は事実上、こうした脆弱性を国家戦略上の資源として取り扱っているのです。このデータを一元管理することにより、中国政府は世界中の企業や組織が防衛策を講じるに先立ってゼロデイ攻撃を実行する体制を整えました。

つまり情報が出回っている時点で、その脆弱性は中国国家機関による分析がすでに終わり、武器化されている可能性が高いことを意味します。

中国独自のキルチェーン：Shodanを凌ぐ偵察機能

Flashpointのアナリストが観察したところ、西側諸国がこれまで使用してきた偵察ツールは、この「ウォールドガーデン」の内部で有効性を失いつつあります。一方で、中国の脅威アクターは独自のサイバー空間検索エンジン群を利用しているため、他ツール利用者との間には危険なほどの情報の非対称性、すなわち得られる情報の質や量が不均衡な状態が生まれています。それゆえ、西側諸国の偵察から身を隠しつつ、敵対者のインフラを覗き見ることが可能になっています。

インターネットに接続されたデバイスを探せる検索エンジン「Shodan」は、セキュリティチームにとって今なお頼りになるリソースです。しかしFlashpointの調査により、中国の脅威アクターが以下のIoT検索エンジンを使用し、国内で大きな優位性を得ていることが明らかになりました。

• FOFA：ミドルウェアや中国独自のシグネチャの詳細なフィンガープリンティングを行っています。多くの事例において、西側諸国より数週間早く脆弱性がDorksにインデックスされています。
• ZoomEye：高速自動化を実現するよう構築され、AIシステムと統合したAPIを提供しています。これにより、ほんの数分でターゲットの検出から検証までを終わらせることができます。
• 360 Quake：複雑なアセットポートレート用のAIエンジンを備えたCLIによって、ネットワーク資産の詳細なマッピングをリアルタイムで行えます。

今回のウェビナーでは、中国の脅威アクターがこれらのツールをどう活用し、偵察と攻撃を一元化・自動化しているのかを具体的に説明します。今のところ、西側諸国が使うEDRの多くは、このような機能を検出できません。

中国が構築するオフェンシブスタック

中国の不法エコシステムは脆弱性とゼロデイ攻撃の知識を活用し、世界中の企業のデータセンターやビジネスハブを支える特定のテクノロジーを無効化するツールを設計・構築しています。

本ウェビナーでは、当社アナリストがLog4Shellなど脆弱性を悪用するサイバー兵器についても解説します。このサイバー兵器は、ワンクリックでシェルをアップロードできるVMware vCenterサーバーを狙うことに特化したものです。また、初期エクスプロイトの解説に加え、高度なWebシェル管理ツールであるBehinder（別名Ice Scorpion）の利用増加についても取り上げています。Behinderはコマンド＆コントロール（C2）トラフィックを暗号化し、従来の探査やディープパケット分析を回避できるため、中国系の攻撃者にとって欠かせないツールとなっています。

中国のオフェンシブスタックに対する防御をFlashpointで強化

「ウォールドガーデン」のアーキテクチャを理解することで、防御者は一般的なシグネチャのみならず、予測不可能なC2トラフィックや中国によるスキャン活動の特徴的なパターンなど、中国の脅威アクター特有の戦術・技術・手順（TTP）を探し始めることができます。

その詳細はオンデマンドウェビナーでご確認いただく、あるいは今すぐデモをお申し込みください。

日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。

また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス（MIS）」も提供しております。

FlashpointやVulnDBについて詳しくは、以下のフォームからお問い合わせください。