1. セキュリティ対策ラボ
  2. インテリジェンス
  3. 国家 安全保障
  4. 中国国家安全部の「契約ハッカー」を米国に引き渡し Silk Typhoon(HAFNIUM)メンバーのXu Zewei、COVID-19研究も窃取

中国国家安全部の「契約ハッカー」を米国に引き渡し Silk Typhoon(HAFNIUM)メンバーのXu Zewei、COVID-19研究も窃取

インテリジェンス

投稿日時: 更新日時:

中国国家安全部の「契約ハッカー」を米国に引き渡し Silk Typhoon(HAFNIUM)メンバーのXu Zewei、COVID-19研究も窃取

2026年4月28日(現地時間)、米国司法省(DOJ)は中国国籍の許澤偉(Xu Zewei、34歳)がイタリアから身柄を引き渡され、ヒューストンの連邦地方裁判所に初出廷したと公式発表しました。

許は中国国家安全部(MSS)上海局(SSSB)の直接指揮のもと、2020年2月〜2021年6月にわたるサイバースパイ活動を行ったとされています。Microsoft Exchange Serverのゼロデイ脆弱性を悪用した大規模サイバー攻撃グループ「HAFNIUM」(現在のMicrosoftによる呼称:Silk Typhoon)の一員として、米国内の1万2,700以上の組織への侵害に関与したとして、9件の訴因で起訴されています。

この記事のサマリー

  • Xu Zewei(許澤偉)34歳が2026年4月の週末にイタリアから米国へ引き渡し。2025年7月にミラノ空港で逮捕されていました。
  • 9件の訴因に基づき初出廷。有罪の場合は最大62年の禁錮に直面します。
  • 中国国家安全部(MSS)上海局の直接指示のもと、COVID-19ワクチン・治療法研究を行う米国大学の免疫学者・ウイルス学者のメールボックスを窃取したとされています。
  • HAFNIUM/Silk TyphoonとしてMicrosoft Exchange ServerのProxyLogon脆弱性を悪用し、世界6万以上の組織を標的に、米国だけで1万2,700以上の組織を侵害したと訴追されています。
  • 許は表向きには民間IT企業「Shanghai Powerock Network(上海パワーロックネット)」に勤務し、国家の関与を隠蔽する「隠れ蓑企業」として機能させていたとされています。
  • 共犯者の張宇(Zhang Yu、44歳)は現在も逃走中です。

Silk Typhoon(HAFNIUM)とは

HAFNIUMは2021年3月にMicrosoftが初めて公表した中国政府系サイバースパイグループです。現在はSilk Typhoon(シルク・タイフーン)という名称で知られています。

Microsoft Exchange Serverの4つのゼロデイ脆弱性(ProxyLogon脆弱性群:CVE-2021-26855・CVE-2021-26857・CVE-2021-26858・CVE-2021-27065)を悪用した大規模侵害キャンペーンで知られており、防衛関連企業・法律事務所・感染症研究者・政策シンクタンク・大学・NGOを主な標的としています。

DOJ・FBIの発表によれば、HAFNIUMは米国内だけで6万以上の組織を標的とし、1万2,700以上の組織で侵害に成功しています。

事件の経緯 COVID-19研究の窃取からExchange大規模侵害まで

2020年2月:COVID-19研究者を標的に

事件の発端は2020年2月、パンデミック初期にさかのぼります。許はSSBの指示を受け、テキサス州の研究大学のネットワークへの侵入に成功。2020年2月22日、SSB担当官は同大学のウイルス学者・免疫学者が持つ特定のメールボックスを標的とするよう許に指示しました。許はその後、研究者のメールボックスの内容を取得したとSSB担当官に報告しています。

2020年後半〜2021年:Microsoft Exchange大規模侵害

2020年後半から許らはMicrosoft Exchange Serverの脆弱性悪用に着手します。これがHAFNIUMとして世界的に知られる大規模侵害キャンペーンへと発展し、Microsoftは2021年3月に公表。同時期にFBI・CISAも共同勧告を発表し、緊急パッチ適用を呼びかけました。

「隠れ蓑企業」という手口——中国の責任回避の仕組み

本件が示す最大の特徴は、中国国家安全部が民間IT企業を「隠れ蓑(enabling companies)」として利用することで国家関与を曖昧にするという手口の構造が裁判書類で詳細に示された点です。

許が勤務していたShanghai Powerock Network Co., Ltd.(上海パワーロックネット)はその典型例です。表向きはIT企業として機能しながら、実態は国家安全部のために侵害活動を実行する「請負ハッカー」のための会社でした。許はそのゼネラルマネージャーとして他のハッカーを監督し、もう一人の共犯者・張宇(第二の「隠れ蓑企業」Shanghai Firetechのディレクター)と連携していたとされています。

FBI副長官のBrett Leathermanは「彼は中国政府がサイバー作戦への関与を隠蔽するために利用している多くの請負業者の一人であり、同様のことをしている者も同じリスクに直面する」と声明しています。

逮捕後には興味深い事実も明らかになりました。許の配偶者がイタリア警察に、許がその後Shanghai GTA Semiconductor(中国の電気自動車向け車載チップ市場で約80%のシェアを持ち、BYDを主要顧客に持つ企業)のITマネージャーに転職していたと説明したとされています。犯行後もテクノロジー業界で重要な役割を担い続けていたという事実は、中国のサイバー作戦エコシステムの連続性を示しています。

「FBIのリーチは国境を超える」——イタリア・米国の国際連携

許の逮捕・引き渡しは、米国が国家支援型サイバー攻撃者を訴追する上での最大の課題である「容疑者が中国に滞在している限り逮捕は不可能」という壁を、旅行中に突破した事例です。

イタリアのサイバー犯罪捜査機関・ポリツィア・ポスターレが米国の要請に基づきマルペンサ空港での逮捕を実施し、その後イタリアが引き渡しに応じました。DOJの逮捕令状は2023年11月に取得されており、2年近い追跡の末に実現した引き渡しです。

起訴の内容——9件の訴因

許が直面している訴因は以下の通りです。

訴因 最大刑期
ワイヤー詐欺の共謀 最大20年
ワイヤー詐欺(2件) 各最大20年
保護されたコンピュータへの不正アクセス等の共謀
保護されたコンピュータからの情報取得(2件)
保護されたコンピュータへの意図的な損害(2件)
加重個人情報窃取 義務的付加刑2年
合計(最大) 最大62年

共犯者の張宇(44歳)については現在も逃走中であり、DOJは引き続き追跡中です。

日本のセキュリティ担当者へのポイント

ProxyLogon脆弱性はパッチ適用済みか再確認を

Silk Typhoon(HAFNIUM)はその攻撃対象を米国に限定しておらず、日本のExchangeオンプレミスサーバーを利用する組織も侵害が確認されています。ProxyLogon脆弱性(CVE-2021-26855等)のパッチが適用済みか、またWebシェルが設置されていないかを改めて確認することを推奨します。

「隠れ蓑企業」モデルは現在も継続中

本件の訴追では2020〜2021年の行為が対象ですが、中国のサイバー作戦における「民間企業への委託」という手口は現在も継続・拡大しています。Silk Typhoon以外にもVolt Typhoon・Salt Typhoon等の中国政府系グループが各種境界機器の脆弱性を利用しており、パッチ管理と侵害指標の継続的な監視が重要です。

▶ 関連記事:サイバー攻撃とは——定義・種類・対策を専門家が解説【2026年最新】

よくある質問(FAQ)

Q. Silk TyphoonとHAFNIUMは同じグループですか? はい。HAFNIUMは2021年3月にMicrosoftが公表した際の名称であり、Silk Typhoonは現在のMicrosoftの命名規則(地政学的なタイフーン名)に基づいた現在の呼称です。同一の中国国家安全部系のサイバースパイグループです。

Q. 今回の引き渡しはなぜ重要なのですか? 中国国籍の国家支援型ハッカーが第三国で逮捕され米国に引き渡された事例は極めて稀です。通常、中国は米国との引き渡し条約がないため、容疑者が中国国内に留まる限り逮捕は困難です。本件は許がイタリアへ渡航したことで逮捕の機会が生まれた「例外的なケース」であり、「国境の外に出れば逮捕されうる」という抑止のシグナルを発しています。

Q. ProxyLogon脆弱性への対策はどうすればいいですか? 2021年3月にMicrosoftが緊急パッチを公開しています。現在もExchangeオンプレミスを運用している場合は最新の累積更新プログラム(CU)を適用してください。また、2021年前後の侵害が疑われる場合はWebシェルの設置がないかをフォレンジック調査で確認することが推奨されます。

Q. COVID-19研究の窃取はなぜ重要なのですか? パンデミック初期に世界が治療法・ワクチン開発を急いでいた時期に、研究大学のウイルス学者・免疫学者のメールボックスが組織的に窃取されていたことが法廷で示されました。国家安全保障上の情報収集だけでなく、医学研究という人道的な分野への侵害という点でも本件の悪質性が示されています。

参考情報

関連記事

中国サイバー諜報組織「Silk Typhoon」の構成員、イタリアで逮捕 - COVID-19研究機関を狙った長期サイバー攻撃の一端中国サイバー諜報組織「Silk Typhoon」の構成員、イタリアで逮捕 – COVID-19研究機関を狙った長期 サイバー攻撃の一端 Microsoft Exchange Serverのゼロデイ脆弱性 CVE-2026-42897がサイバー攻撃へ悪用Microsoft Exchange Serverのゼロデイ脆弱性 CVE-2026-42897がサイバー攻撃へ悪用 中国系ハッカーがDellのゼロデイ脆弱性を悪用しサイバー攻撃(CVE-2026-22769)中国系ハッカーがDellのゼロデイ脆弱性を悪用しサイバー攻撃(CVE-2026-22769) 中国系ハッカーグループ「シルク・タイフーン」とは?中国系ハッカーグループ「シルク・タイフーン」とは? イランのスパイがシリコンバレーに潜入、Googleから企業秘密を窃取した事件もイランのスパイがシリコンバレーに潜入、Googleから企業秘密を窃取した事件も イランのハーグ島とは-イラン原油輸出の心臓部が中東危機とホルムズ海峡封鎖リスクを左右する理由イランのハーグ島とは-イラン原油輸出の心臓部が中東危機とホルムズ海峡封鎖リスクを左右する理由 自衛隊員の中国大使館侵入事件が移す地政学リスク-局地的事象から波及する認知戦自衛隊 員の中国大使館 侵入 事件が映す地政学リスク-局地的事象から波及する認知戦 ハッカーグループがUdemyへのサイバー攻撃を主張、Salesforceへ不正アクセスかハッカー グループがUdemyへのサイバー攻撃を主張、Salesforceへ不正アクセスか ランサムウェア攻撃グループ「Phobos」管理者を逮捕ランサムウェア 攻撃 グループ「Phobos」管理者を逮捕