台湾の法務部調査局(法務省調査局に相当)は2026年7月7日、中国政府系のサイバー部隊による諜報活動を幇助したとして、台湾の業者2名を起訴したと発表しました。当局によれば、この業者は台湾の携帯電話番号で登録されたLINEアカウントを収集し、中国のサイバー部隊に関連するとされる企業へ転貸しており、これらのアカウントは国際調査報道ジャーナリスト連合(ICIJ)に所属する記者になりすまして台湾の政治家・学者へ接触するために使われていたとされています。この摘発は、ICIJおよびトロント大学Citizen Labが2026年に入って公表していたジャーナリスト・人権活動家を標的にした大規模フィッシングキャンペーンの調査結果を、台湾の捜査当局が公式に裏付ける形となりました。
サマリー
- 台湾の法務部調査局(台北市調査処)は2026年7月7日、中国政府系のサイバー部隊による社会工学(ソーシャルエンジニアリング)攻撃を幇助したとして、台湾の業者「愛比(仮名表記、原文伏字)」社の経営者ら2名(李華倫氏、陳孟森氏)に緩起訴処分(条件付き不起訴)を下したと発表した。容疑は台湾の個人情報保護法違反等
- 調査によれば、同社の経営者は台湾の携帯電話番号で登録されたLINEアカウントを収集し、中国のサイバー部隊に関連するとされる企業「厦門市女(伏字)息科技有限公司」(英語表記:Xiamen Empress Information Technology Co., Ltd.)へ、1アカウントあたり約1,100元(約162米ドル)で転貸していたとされる
- これらのアカウントは、中国側のオペレーターが台湾の政治家・学者・NGO関係者らに対し、記者を装ってインタビュー依頼や寄稿依頼を持ちかける形で接触するために使われた。特に国際調査報道ジャーナリスト連合(ICIJ)に所属する記者になりすましたケースが確認されている
- 目的は標的との信頼関係を築いたうえで、最終的にマルウェアを標的の端末に感染させることだったとされる。ジャーナリストが機密情報源を保護するために暗号化通信ツールを日常的に使用している点を悪用し、偽装した暗号化ソフトウエアをダウンロード・インストールさせる手口が使われた
- 今回の摘発は、ICIJとトロント大学Citizen Labが2026年に入り公表していた、ジャーナリスト・民主化活動家、ウイグル・チベット・香港・台湾出身の海外コミュニティ関係者を標的にした、北京と関連するとみられる大規模フィッシングキャンペーンの調査結果を、公式に裏付けるものとなった
- Citizen Labの分析によれば、このキャンペーンは9カ月間で100以上の悪性ドメインを使用しており、認証情報の窃取とさらなる諜報活動の足がかりを狙ったものとみられる。フィッシングメールに含まれていた誤りから、攻撃者が生成AIを使ってメッセージの作成や標的選定を自動化していた可能性も指摘されている
- 中国政府はこれまで、外国政府や市民社会組織に対するサイバースパイ活動への関与を繰り返し否定している
| 項目 | 内容 |
|---|---|
| 発表日 | 2026年7月7日(台湾法務部調査局) |
| 摘発対象 | 台湾の業者「愛比」社の経営者2名(緩起訴処分) |
| 容疑 | 個人情報保護法違反等 |
| 手口の中核 | 台湾人名義のLINEアカウントを収集・中国側企業へ転貸 |
| 転貸先 | 厦門市の企業(中国のサイバー部隊に関連するとされる) |
| 転貸価格 | 1アカウントあたり約1,100元(約162米ドル) |
| なりすましの標的 | ICIJ所属記者を含む国際調査報道記者 |
| 実際の標的 | 台湾の政治家・学者・NGO関係者 |
| 最終目的 | 偽装した暗号化通信ソフトを装ったマルウエアの感染 |
| 関連する先行調査 | ICIJ・Citizen Lab(トロント大学)による2026年公表の調査 |
| 先行調査の規模 | 9カ月間で100以上の悪性ドメインを使用したキャンペーン |
| AI悪用の可能性 | フィッシングメールの誤りからAIによる自動化の可能性が指摘されている |
目次
何が起きたか-台湾調査局の摘発内容
台湾の法務部調査局傘下の台北市調査処は、2025年4月ごろから、国際記者を装った不審な人物が台湾の政治界・学術界の人物に対し頻繁に社会工学的な接触を行っているとの通報を相次いで受けていました。これらの接触では、機密性の高い情報の聞き出しが試みられていたほか、マルウエアを添付した電子メールが送られ、受信者の端末を乗っ取ろうとする意図がうかがえたとされています。調査局はこの事案を個人情報保護法違反等の容疑で台湾士林地方検察署へ報告し、検察官の指揮のもとで2026年中に2度の捜査を実施、業者の事務所等を捜索したうえで容疑者2名を検察へ送致しました。検察官は2026年7月7日、この2名に対し緩起訴処分(一定の条件のもとで起訴を見送る処分)を下しています。
調査の結果、業者の経営者は台湾の携帯電話番号で登録されたLINEアカウントを収集し、中国のサイバー部隊の指示を受けて活動していたとされる中国企業へ、1アカウントあたり約1,100元(約162米ドル)で転貸していたことが判明しました。台湾当局は、この容疑者らが「中国共産党のサイバー部隊の指揮下で行動していた」と説明しています。
具体的な手口-LINEアカウントの転貸と記者へのなりすまし
台湾当局の説明によれば、転貸されたLINEアカウントは、中国側のオペレーターが台湾の政治家・学者・その他著名人に接触するために使われました。オペレーターは記者を名乗り、インタビューへの協力依頼や、記事への寄稿依頼といった名目で標的に接触し、信頼関係の構築を図りました。特に、国際調査報道ジャーナリスト連合(ICIJ)に所属する記者になりすましたケースが確認されています。
信頼関係の構築後、攻撃者は最終的にマルウエアの感染を狙いました。台湾当局の報告書は、この手口について「国際的なジャーナリストが機密性の高い情報源を保護するために暗号化通信ツールを日常的に使用しているという口実を用い、悪意のある暗号化ソフトウエアを含む電子メールを送りつけ、受信者にダウンロード・インストールさせることで、機器への侵入とデータの窃取を可能にする」という趣旨の説明をしています。ジャーナリストという職業的な習慣そのものを逆手に取った、的を絞ったソーシャルエンジニアリングの手口だといえます。
ICIJ・Citizen Labの先行調査との符合
今回の台湾当局の摘発は、ICIJとトロント大学のCitizen Lab(市民社会に対するデジタル脅威を調査する研究機関)が2026年に入って公表していた調査結果を、公式に裏付けるものとなりました。この調査は、ICIJ記者になりすました人物やニセの中国人内部告発者を名乗る人物からの不審なメールを特定したもので、中国政府の関心対象に関する私的な情報を窃取することを狙った、洗練された攻撃戦略の一環と位置づけられています。標的には、ウイグル・チベット・台湾・香港出身の海外コミュニティの活動家、そしてこれらのコミュニティに関連する活動を報じるICIJをはじめとするジャーナリストが含まれていたとされます。
Citizen Labの分析によれば、このキャンペーンは9カ月間にわたって100以上の悪性インターネットドメインを使用しており、認証情報の窃取とさらなる諜報活動の実行を狙って設計されていたとみられています。研究者らはまた、一部のフィッシングメールに見られた誤りから、攻撃者が人工知能(AI)を用いてメッセージの生成や標的の選定を自動化していた可能性を指摘しています。今回の台湾当局の報告書は、この暗号化ソフトウエアを騙る手口についてICIJとCitizen Labの調査結果と一致する説明をしており、双方の調査が同一の攻撃キャンペーンを異なる角度から捉えていたことを裏付けています。
なお、ICIJの記者らはこれとは別に、貿易・防衛など中国政府の関心事項に関する記事の執筆に金銭を払うと持ちかけるコンサルティング会社を名乗る人物から、LinkedIn経由のメッセージや「協力依頼状」を受け取っていたことも報告されています。米国をはじめとする西側の情報機関は、こうした偽装企業が、機密情報にアクセスできる立場の外国人を誘い込もうとする中国の軍事情報機関に関連していると指摘しています。
中国政府は、外国政府や市民社会組織に対するサイバースパイ活動への関与についてこれまで繰り返し否定しています。
情報システム部門・企業への示唆
今回の事案は国家間の諜報活動を巡るものですが、示唆する構造は一般企業にとっても無縁ではありません。1つ目は、正規のメッセージングアプリのアカウントそのものが、国内の協力者を経由して調達・転売される「アカウント調達サプライチェーン」が実在するという点です。SNS・メッセージングアプリ上で接触してきた相手が本人確認済みの正規アカウントを使っていたとしても、そのアカウント自体が第三者から転貸されたものである可能性は排除できません。当サイトで以前紹介した中国政府がChatGPTを高市早苗首相の信用失墜を狙う影響力工作に活用していたとするOpenAIのレポートでも指摘した通り、こうした情報操作・スパイ活動においてAIが文面生成や標的選定の自動化に活用される傾向は今後さらに広がるとみられ、フィッシングメールの文面が流暢であることをもって安全と判断することはできなくなりつつあります。
2つ目は、「セキュリティ意識の高い層」ほど、その意識を逆手に取られるリスクがあるという点です。今回の手口は、ジャーナリストが情報源保護のために暗号化ツールを使う習慣を逆手に取ったものであり、報道機関・法務部門・研究機関など機密情報を扱う専門職ほど、その職業的な習慣そのものが攻撃の切り口にされうることを示しています。自組織で機密性の高い情報を扱う従業員が、業務上使用するツールについて外部から「新しい暗号化ソフト」「セキュアな通信ツール」等の紹介・インストール依頼を受けた場合には、公式な配布経路以外からの入手を避け、情報システム部門を通じた正式な承認プロセスを経るよう、あらためて周知しておくことをお勧めします。当サイトで以前紹介した中国国家安全部の契約ハッカーの米国への身柄引き渡し事案ともあわせて、国家が関与するとされるサイバー諜報活動が、技術的な脆弱性の悪用だけでなく、地域の協力者を介した人的な調達網によっても支えられている実態を、経済安全保障の観点から把握しておくことが重要です。
出典
- 調查局破獲中共網軍「廈門市女○○息科技有限公司」偽冒國際記者對我國政、學界人士進行社交工程攻擊案 – 法務部調查局(台湾、一次ソース)
- Taiwanese authorities charge executives who helped China’s cyber spies target ICIJ network – ICIJ
- Phony whistleblowers, fake journalists and cyber spies: ICIJ network targeted after China Targets probe – ICIJ
- 中国政府がChatGPTを高市早苗首相の信用失墜狙う影響力工作に活用-OpenAIレポート – セキュリティ対策Lab
- 中国国家安全部の「契約ハッカー」を米国に引き渡し Silk Typhoon(HAFNIUM)メンバーのXu Zewei、COVID-19研究も窃取 – セキュリティ対策Lab








