自衛隊の中国製 マルウェア 混入 USB 問題を受け総務省が全自治体調査へ-ドローン・監視カメラも対象に

インテリジェンス

投稿日時: 更新日時:

自衛隊の中国製 マルウェア USB問題を受け総務省が全自治体調査へ-ドローン・監視カメラも対象に

総務省は2026年7月上旬にも、全国の都道府県・市区町村を対象にUSBメモリーの利用実態調査を実施する方向で検討を進めていることが明らかになりました。陸上自衛隊がウイルスに感染したUSBメモリーを使用していた事実が判明したことを受けた措置で、調査対象はUSBメモリーにとどまらず、ドローン・インターネット接続型の監視カメラ・パソコン・ルーターにも広がる見通しです。自衛隊の一事案から始まったこの動きは、自治体という広範な組織群を巻き込む全国規模の点検へと発展しつつあります。奇しくも同じタイミングで、米国では中国製通信・監視機器に対する規制がさらに強化されており、サプライチェーンに潜む安全保障リスクへの向き合い方について、日米で共通した問題意識が浮かび上がっています。

サマリー

  • 総務省が2026年7月上旬にも全国の自治体を対象にUSBメモリーの利用実態調査を実施する方向で検討。ドローン・ネット接続型監視カメラ・パソコン・ルーターも一斉調査の対象に含まれる見通し
  • 発端は陸上自衛隊中部方面総監部(兵庫県伊丹市)で、機密情報を扱うクローズ系システムの端末約480台のうち50台以上が、ウイルスに感染した偽装USBメモリーに接続されていた事案。感染は2024年3月頃から約1年間続き、2025年2月に隊員が動作の遅延に気づいたことで発覚した
  • 当該USBメモリーは能登半島地震への対応の際に自衛隊が登録・利用したとされるが、調達経路は本稿執筆時点で明らかになっていない
  • 日本経済新聞の報道では、同種の偽装USBが自衛隊以外にもネット通販・工場・研究所など社会の広い範囲に流通していることが確認されている
  • 発覚から日本経済新聞による報道までの間、約1年4か月にわたり事案が公表されてこなかった点も課題として指摘されている
  • 米国では2026年6月26日、FCCがHuawei・ZTE・Hikvision等の中国製通信・監視機器について、旧型機器を含む輸入・販売を全面禁止する新規則を発表しており、サプライチェーン経由のリスクを断つという方向性は日米で軌を一にしている
項目 内容
総務省の調査検討時期 2026年7月上旬
調査対象 全都道府県・市区町村のUSBメモリー、ドローン、ネット接続型監視カメラ、パソコン、ルーター
発端となった事案 陸上自衛隊中部方面総監部の機密システム端末への偽装USB接続
感染期間 2024年3月頃〜2025年2月頃(約1年間)
感染が確認された端末数 総監部内PC約480台のうち50台以上
発覚のきっかけ 隊員がPCの動作遅延に気づき調査
USBの調達経路 現時点で不明(能登半島地震対応時に登録・利用)
公表までの期間 把握(2025年2月)から報道(2026年6月)まで約1年4か月
米国の関連動向 FCCが2026年6月26日、Covered List掲載企業の機器認証を遡及的に無効化する新規則を発表

何が起きたか

今回総務省が動き出した背景には、陸上自衛隊中部方面総監部で起きた深刻なセキュリティインシデントがあります。防衛省は2026年6月26日、兵庫県伊丹市に所在する同総監部において、中国製のマルウェアが混入された USBメモリーが利用されていたことを明らかにしました。このUSBメモリーは能登半島地震への対応の際に自衛隊が登録・使用を始めたとされていますが、どのような経路で調達されたのかについては、本稿執筆時点でも明らかになっていません。

関連:なぜ企業や公的機関は中国製 Webカメラやルーターなどの通信機器を排除する必要があるのか

問題が発生していた期間は2024年3月頃から2025年2月にかけての約1年間に及びます。この間、機密情報を扱うインターネットに接続していないクローズ系のシステム端末、総監部内のPC約480台のうち50台以上が、このウイルス感染USBに接続されていたことが後の調査で確認されました。発覚のきっかけは特別な監視システムによる検知ではなく、現場の隊員がパソコンの動作が遅くなっていることに気づき、USBを調査したことでした。陸自サイバー防護隊による分析では、このマルウェアは中国系ハッカー集団が過去に使用したタイプに類似しているとされています。

尾崎正直官房副長官は事案公表時の記者会見で、情報の窃取や接続先システムへのマルウェアの拡散は確認されておらず、陸自のシステムへの影響はなかったと報告を受けていると説明しています。しかし、この事案は2025年2月の把握から2026年6月の日本経済新聞による報道まで、約1年4か月にわたり国民に公表されてきませんでした。この非公表の期間の長さそのものが、情報公開のあり方として大きな論点になっています。

日本経済新聞はこの調査報道を「テック社会の罠」というシリーズの第1弾として位置づけており、続報では自衛隊以外にもネット通販サイト・工場・研究所など、社会の広い範囲に同種の偽装USBメモリーが流通していることを確認したと報じています。安価で容量詐称された怪しいUSBメモリーが、防衛組織という最も機密性の高い環境にまで入り込んでいたという事実は、サプライチェーン全体のリスクの根深さを物語っています。

総務省による全自治体調査の内容

こうした事態を受け、総務省は都道府県・市区町村などすべての自治体を対象に、USBメモリーの利用実態調査を実施する方向で検討を進めています。TBSの報道によれば、調査は2026年7月上旬にも開始される見通しです。

注目すべきは、調査対象がUSBメモリーだけにとどまらない点です。総務省はドローン・インターネットに接続する監視カメラ・パソコン・ルーターについても、一斉に調査を行う方針とされています。これは今回の自衛隊の事案が単なるUSBメモリー固有の問題ではなく、外部から調達するIT機器全般に共通する調達プロセスの脆弱性を象徴する事案として捉えられていることを示しています。

自治体は住民の個人情報をはじめとする機密性の高いデータを大量に保有しており、その調達ルートに安全性の検証が行き届いていない機器が紛れ込んでいた場合の影響は、防衛組織の事案以上に広範囲に及ぶ可能性があります。全国の自治体という母数の大きさを考えると、この調査は相当な規模の点検作業になることが予想されます。

米国における中国製通信・監視機器の排除強化

同じタイミングで、米国では中国製の通信・監視機器に対する規制がさらに強化されています。当サイトで既報のとおり、米連邦通信委員会(FCC)は2026年6月26日、Covered List(要注意機器・サービスリスト)に掲載されている企業が製造した通信・監視機器について、輸入および販売のための機器認証をすべて無効化する新規則を発表しました。

これまでの規制では、Covered Listに指定される以前にすでに認証を取得していた旧型機器の販売継続が例外的に認められていましたが、今回の措置によりこの抜け道は閉じられ、Huawei・ZTE・Hikvision・Dahua・Hytera(いずれも中国企業)およびKaspersky(ロシア企業)といった企業の機器は、旧型機器であっても輸入・販売・マーケティングが一律禁止されることになりました。研究者からは、老朽化した通信機器はファームウェアに未修正の脆弱性を抱えていることが多く、こうした機器がAPT(高度持続的脅威)グループの侵入・横展開の足がかりになるリスクが指摘されています。

日本の自衛隊USB問題と米国のFCC規制は、直接の関連はないものの、根底にある問題意識は共通しています。どちらも、調達段階での安全性検証が不十分なまま、出所の不透明な機器・製品が組織内部やインフラに入り込んでしまうリスクへの対応です。特に日本の場合、今回のUSB問題を機に総務省が調達プロセス全般の点検に乗り出したことは、総務省が自治体のIT機器調達において進めている中国製品排除の方針とも軌を一にする動きといえます。

繰り返されてきた自衛隊の情報管理インシデント

今回の事案は、自衛隊における情報管理上の課題という、より長期的な文脈の中でも捉える必要があります。当サイトではこれまでにも、自衛隊員が無許可のパソコンで秘密指定データを扱い送信していた事案や、中部方面総監部所属の1等陸尉が業務データを私用スマートフォンに保存していた事案陸上自衛隊弘前駐屯地や第3水陸機動連隊での秘密データの不適切な取り扱いなど、複数の情報管理インシデントを取り上げてきました。

今回のUSB事案が特に深刻なのは、これまでの多くの事案が個人の判断ミスや規則違反によるものだったのに対し、今回は組織としての多重チェック体制そのものが機能しなかった点にあります。調達時のウイルスチェック、ウイルス対策ソフトによるUSBのスキャン、複数のチェック体制といった防御層がすべて有効に働かなかったことが明らかになっています。とりわけ、このUSBメモリーの調達記録そのものが残っていなかったという事実は、通常の調達ルートを経由していない経路で現場に持ち込まれた可能性を示唆しており、組織の物品管理プロセスに構造的な穴があったことをうかがわせます。

情報システム部門への示唆

サーバサイド・ネットワークエンジニアとして複数の組織のIT基盤に携わってきた経験から見ると、今回の事案は自衛隊や自治体に限った特殊な問題ではなく、あらゆる組織が直面し得るリスクです。USBメモリーのような安価で調達しやすい周辺機器は、正規の情報システム部門による承認プロセスを経ずに現場レベルで調達・使用されるケースが少なくありません。

対策として優先度が高いのは、まず組織として承認済みのUSBメモリー・周辺機器以外の使用を技術的に制限する仕組みの導入です。Windowsのグループポリシーやエンドポイント管理ツールを使い、未承認のUSBデバイスの接続自体をブロックする設定は、今回のような感染経路を根本から遮断する有効な手段です。次に、調達プロセスにおいて出所の不明な安価な製品を避け、信頼できるサプライヤーからの調達を徹底することです。今回の事案のように容量を詐称した偽装品が流通している以上、価格の安さだけを理由に調達先を選定するリスクは以前にも増して高まっています。

さらに、クローズ系システム(インターネットに接続されていない環境)であっても、USBメモリー経由のマルウェア感染は現実に起こり得るという前提でセキュリティ対策を設計する必要があります。今回の事案では、まさにインターネットに接続されていない機密システムがUSB経由で約1年間にわたり感染し続けていました。エアギャップ環境だからといって安全とは限らないという教訓は、防衛組織に限らず製造業の工場ネットワークや研究機関など、同様のクローズ系環境を運用するすべての組織にとって重要な示唆です。

自治体・企業ともに、総務省による今回の調査要請が来る前に、自組織内でのUSBメモリーをはじめとする周辺機器の利用実態を自主的に棚卸ししておくことをお勧めします。どのような機器がいつ、どこから調達され、誰が使用しているのかを可視化しておくことが、今後同種の問題が発生した際の迅速な対応につながります。

出典

当サイト関連記事: