1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 個人情報漏洩のニュース
  4. 自衛隊、機密端末50台以上に中国 製 マルウェアが混入したUSBへ約1年間接続

自衛隊、機密端末50台以上に中国 製 マルウェアが混入したUSBへ約1年間接続

セキュリティニュース

投稿日時: 更新日時:

自衛隊、機密端末50台以上にマルウェアが混入したUSBへ約1年間接続

陸上自衛隊中部方面総監部(兵庫県伊丹市)において、2024年3月頃から2025年2月までの約1年間にわたって、中国系マルウェアに感染したUSBメモリーが機密システム(クローズ系)の端末に接続され続けていたことが明らかになりました。

日本経済新聞が2026年6月25日、陸上自衛隊の内部文書を入手して報じたもので、防衛省・陸上幕僚監部広報室も「2025年2月にマルウェアが含まれていることを検知した事例があった」と事実を認めています。

総監部内のPC約480台のうち50台以上に感染が確認されており、調達時のウイルスチェック不実施・ウイルス対策ソフトのスキャン対象からのUSB除外設定・複数のチェック体制の全不機能という重複した管理ミスが重なりました。尾崎正直官房副長官は同日の記者会見で「情報の窃取や接続したシステムへのマルウェアの拡散は確認されず、陸自のシステムへの影響はなかったと報告を受けている」と述べましたが、この事案が2025年2月の把握から2026年6月の日経報道まで国民に対して公表されなかったことも問題となっています。

サマリー

  • 報道日:2026年6月25日(日本経済新聞「テック社会の罠」第1弾、編集委員 須藤龍也・網嶋亨)
  • 出典:陸上自衛隊内部文書(日経新聞が入手)
  • 発生場所:陸上自衛隊中部方面総監部(兵庫県伊丹市)
  • 感染期間:2024年3月頃〜2025年2月(約1年間)
  • 感染端末:総監部内のPC約480台のうち50台以上
  • 対象システム:機密システム(クローズ系 ─ インターネット非接続)
  • USBの性質:中国製偽装USBメモリー(容量表示を詐称・安価なマイクロSDカードを内部に搭載)
  • マルウェアの性格:陸自サイバー防護隊が「中国系ハッカー集団が過去に使用したタイプ」と分析
  • 発覚経緯:2025年2月、隊員がPCの動作遅延に気づきUSBを調査
  • 政府の見解:情報窃取・システムへの影響は確認されず(尾崎官房副長官)
  • 非公表期間:2025年2月把握から2026年6月の日経報道まで非公表
  • 民間への波及:同様の偽装USBの混入報告が日米のECサイト口コミで少なくとも25件
項目 内容
発生場所 陸上自衛隊中部方面総監部(兵庫県伊丹市)
感染期間 2024年3月頃〜2025年2月(約1年間)
感染PC台数 約480台中50台以上
対象システム 機密システム(インターネット非接続のクローズ系)
発覚きっかけ 隊員がPCの動作遅延に気づいてUSBを調査
マルウェアの性格 中国系ハッカー集団が過去使用したタイプ(陸自サイバー防護隊の分析)
把握日 2025年2月
公表日 2026年6月25日(日経報道まで非公表)
政府見解 情報窃取・システム影響は確認されず

何が起きたか

中部方面総監部は近畿・中国・四国地方の防衛を担当する陸上自衛隊の地方司令部です。この司令部において、2024年3月頃に調達・使用が始まったとみられるUSBメモリーが、機密情報を扱うクローズ系のシステム端末に接続されていました。そのUSBが中国系のマルウェアに感染した偽装品だったことが、約1年後の2025年2月に発覚しました。

発覚のきっかけは2025年2月、当該端末を使用していた隊員がパソコンの動作が「妙に遅くなった」と気づいたことです。異変を感じて接続されていたUSBメモリーを調査したところ、マルウェアの存在が確認されました。陸自サイバー防護隊が回収・分析した結果、中国系ハッカー集団が過去に使用したと指摘されるタイプのマルウェアと判明しています。

感染したUSBは、その後の調査で総監部内のPC約480台のうち50台以上で使用痕跡が確認されました。1本のUSBが端末から端末へと人の手で移動することから、実際にUSBが経由した端末の全容を追い切ることは容易ではないとされています。

3つのチェックが全て機能しなかった理由

陸上自衛隊には本来、こうした事態を防ぐための多重のチェック体制が制度として存在していました。それにもかかわらず、今回はいずれも有効に機能しませんでした。

第1のチェックは調達時のウイルスチェックです。

物品を組織に取り入れる入り口の段階で安全性を確認する仕組みがあります。しかし今回は、このUSBの調達記録そのものが残っていませんでした。通常の調達ルートではない経路でUSBが現場に持ち込まれたとみられ、入り口での確認がそもそも行われなかった可能性があります。

第2のチェックは端末上のウイルス対策ソフトによるスキャンです。

ここに致命的な設定ミスがありました。当該端末のウイルスチェック対象から、なぜかUSBメモリーが除外されていたというのです。陸自幹部も取材に対して「複数のチェック体制が機能しなかった。なぜ外していたのか、詳細な経緯はわかっていない」と認めています。つまりUSBを接続しても自動スキャンがかからない設定が放置されていました。

第3のチェック体制についても同様に機能せず、約1年間、誰も問題を検知できませんでした。

このケースが示す構造的な問題は「エアギャップへの過信」です。インターネットと物理的に切り離されたクローズ系のシステムは「ネットワーク経由の攻撃は届かない」という前提で設計されています。しかし物理的なUSBという媒体を通じれば、エアギャップはひとたまりもなく突破されます。ネットワーク非接続を「絶対的な安全」と思い込んでいた運用が、1本のUSBによって完全に崩された形です。

偽装USBの正体

今回問題になったUSBメモリーは中国製の偽装品とみられています。

外見は一般的なUSBメモリーと変わりません。しかし内部には本来のフラッシュメモリーチップではなく、安価なマイクロSDカードが仕込まれており、容量の表示も偽装されています。例えば1テラバイトと表示されていても実際は240ギガバイト程度という事例が確認されています。

こうした偽装USBはAmazonや楽天市場などのネット通販で、正規品の相場の半値近くという安価な価格で販売されていました。コスト削減の意識から「安くて容量が大きい」USBを購入した結果として、マルウェアを取り込んでしまうリスクがあります。

2025年2月把握から1年以上非公表だったという問題

この事案で追加的に問題となるのは、陸上自衛隊が2025年2月に事案を把握しながら、2026年6月25日の日経新聞の報道まで約1年4か月もの間、国民への公表を行わなかった点です。

政府は2025年成立の「能動的サイバー防御」関連法によって、民間事業者を含む官民での情報共有と迅速な被害把握体制の強化を掲げています。同一の偽装USBが民間のEC通販で広く流通し、企業や研究機関にも感染リスクが及んでいると内部文書で把握しながら、その事実を民間企業や一般ユーザーに伝えなかったことは、能動的サイバー防御が目指す官民連携の理念と矛盾します。

尾崎正直官房副長官は6月25日の記者会見で「情報の窃取や接続したシステムへのマルウェアの拡散は確認されず、陸自のシステムへの影響はなかった」としつつ、「ウイルスチェックを実施する規則が順守されていなかったため改めて徹底した」と述べ、能動的サイバー防御関連法に基づく被害報告の迅速な集約・分析に努めると強調しました。

民間への示唆 ─ 「安いUSBを使わない」だけでは足りない理由

今回の事案は自衛隊の問題にとどまらず、USB管理という基本的な情報セキュリティ対策を組織として見直す機会を提供しています。

偽装USB対策の基本として、信頼できる流通経路からのUSBのみを使用することが第1の原則ですがウイルス対策ソフトのスキャン対象にUSBが含まれているかどうかを確認することが必須です。組織で使用するUSBは登録済みのデバイスのみに限定するホワイトリスト方式の導入も有効です。

また今回のような設定ミスの温床となりやすい「誰がいつUSBスキャン設定を変更したか分からない」という状況を防ぐために、セキュリティ設定の変更ログを記録・定期監査する仕組みも重要です。調達記録が残っていなかったという問題についても、USBをはじめとする物理的なデバイスの調達・登録・廃棄を記録する台帳管理の徹底を確認してください。

FAQ

Q. 「クローズ系(エアギャップ環境)」は安全ではないのですか?

A. ネットワーク経由の攻撃に対してはクローズ系は有効な防御ですが、物理的な媒体(USBメモリー・ハードディスク等)を通じた感染には無力です。2010年にイランの核施設を攻撃したStuxnetも、インターネット非接続の産業制御システムをUSB経由で感染させたことが明らかにされています。クローズ系の安全はネットワーク攻撃だけを防ぐものであり、物理媒体の管理が厳格でなければ意味を持ちません。

Q. 機密情報は窃取されましたか?

A. 尾崎正直官房副長官は「情報の窃取や接続したシステムへのマルウェアの拡散は確認されず、陸自のシステムへの影響はなかった」と述べています。ただしこれは2025年2月時点の調査結果に基づく政府の見解であり、実際に何が行われていたかの完全な検証結果は公表されていません。

Q. 同様の偽装USBを購入してしまった可能性がある場合は?

A. 使用を直ちに停止し、最新の定義ファイルで複数のウイルス対策ソフトでスキャンすることが基本対応です。容量表示と実際の容量が一致しないUSB(例:1TB表示なのに実際は数百GBしか認識されない)は偽装品の可能性があります。機密性の高い業務で使用した場合は、情報システム部門に報告してフォレンジック調査を検討してください。

Q. 陸上自衛隊はなぜ1年以上公表しなかったのですか?

A. 公式な説明は現時点では十分にされていません。尾崎官房副長官は能動的サイバー防御関連法に基づいて今後は迅速な集約・分析に努めるとしましたが、今回の非公表判断の経緯についての詳しい説明はありませんでした。

出典

当サイト関連記事

関連記事

メール配信システム める配くん、不正アクセスで情報漏洩の恐れ-プリマハム・東京書籍・NPO法人など10社超に影響メール配信システム める配くん、不正アクセスで情報漏洩の恐れ-プリマハム・東京書籍・NPO法人など10社超に影響 金融機関を取り巻くAIとサイバーセキュリティの動向-金融庁が36団体の官民作業部会を初開催・3メガバンクがミュトスのアクセス権取得へ金融機関を取り巻くAIとサイバー セキュリティの動向-金融庁が36団体の官民作業部会を初開催・3メガバンクがミュトスのアクセス権取得へ 苫小牧民報社、記者による道警発表文書の個人情報含む内容を私的SNSアカウントへ投稿していたと公表苫小牧民報社、記者による道警発表文書の個人情報含む内容を私的SNSアカウントへ投稿していたと公表 メットライフ生命、出向先代理店36社から2,476件の内部情報を無断持ち出し—国内生保業界で最多規模メットライフ生命、出向先代理店36社から2,476件の内部情報を無断持ち出し—国内生保業界で最多規模 山口地検岩国支部が検察審査員11人のフルネームを秘匿処理せず外部送付し個人情報流出山口地検岩国支部が検察審査員11人のフルネームを秘匿処理せず外部送付し個人情報流出の恐れ 中国労働金庫、職員による暗号資産投資案件の不適切な勧誘を確認-ビットコインマイニング 投資への勧誘中国労働金庫、職員による暗号資産投資案件の不適切な勧誘を確認-ビットコインマイニング 投資への勧誘 2025年 病院・クリニックへのサイバー攻撃・情報漏洩事例と セキュリティ対策2025年 病院・クリニックへのサイバー攻撃やインシデントによる情報漏洩 事例と対策 セキュリティインシデントとは その種類と事例などを解説セキュリティインシデントとは その種類と事例などを解説 The Gentlemenがイースト・マルタケ・オリエンタルダイヤモンドへのサイバー攻撃を主張The Gentlemenがイースト・マルタケ・オリエンタルダイヤモンドへのサイバー攻撃を主張