脅威情報
RSS

中国のサイバーパワーインテリジェンスまとめ 2021:技術の取り締まり、規制の嵐、電力の拡張

2.21.2022Cyber Threat Intelligence
Share:

この記事を読んでおきたい理由

中国は、アジア太平洋地域のサイバー脅威の状況に大きな影響を及ぼしています。中国のサイバースペースと規制状況を分析することで、サイバーエコシステムの根本的な変化を知り、脅威アクターのTTPや動機を垣間見ることができます。本記事では、2021年の中国のサイバースペースを形成した重要なインシデントをまとめており、今後の展開についてもいくつかの展望を提案しています。

重要な事項

  1. 2021年は、中国の第14次5カ年計画(2021~2025年)が開始する年でもあり、中国のサイバースペースにとって重要な年でした。2021年、中国はグレートファイアウオール(GFW)の中にすべてをおさめるため、徹底的な技術取り締まりを実施し、権力をさらに強化させました。
  2. 中国の規制当局は、大手ハイテク企業、特にソーシャルメディアやコマースプラットフォームを運営する企業に対して、注目度の高い措置を取りました。Alibaba、ByteDance、Tencent、Didi Chuxing、Meituanなどの企業が、記録的な罰金とサイバーセキュリティの調査に直面しました。それに対して、HuaweiやSMICなどの戦略的に重要な分野に属する「ハードテック」企業の多くは、規制当局の監視から免除されました。
  3. 中国サイバースペース管理局(CAC)を中心とした中国の規制当局は、データの管理と流れの管理を強化すべく、一連の規制を導入し、修正を行いました。新しい規則は、プライバシー保護やデータ転送、脆弱性の開示など多岐にわたるものです。
  4. また、国際的なテクノロジー企業も中国の規制当局からの圧力や検閲に直面しました。Clubhouse、Signal、Quran Majeedなどの有名なアプリが中国でブロックされたことが繰り返し報じられました。その他にも、LinkedInやYahooなどの企業が、厳しい環境を理由に中国から撤退しています。
  5. 中国のサイバースペースにおける力が拡大する中、関係者やサイバーセキュリティ専門家は、中国の司法権にさらされるネットワークや資産を慎重に扱う必要があります。それだけではなく、中国の規制キャンペーンの後には、秘密のサイバー作戦が後続する傾向にあることもわかっています。2022年も、中国や世界のハイテク企業にとって厳しい年になることは間違いない兆候にあります。

概要:技術取り締まりが多発した年

2021年は、中国の第14次5カ年計画(2021~2025年)が開始する年でもあり、中国のサイバースペースにとって重要な年でした。この戦略の目的の1つが、独占事業への取り組みとデジタル経済に関連した規制の見直しです。この1年にわたって、中国の規制当局は、大手ハイテク企業、特にソーシャルメディアやコマースプラットフォームを運営する企業に対して、注目度の高い措置を取りました。2021年までは、中国当局と同国の技術系最大手企業との関係は複雑で流動的なものでした。長年にわたり、規制当局はこういった企業の違法なビジネス行為、反競争的行為、脱税などの行為に対して目をつぶってきました。なぜなら、技術系企業が中国に強固な経済成長をもたらしていたからです。しかしながら、2021年、中国の規制当局は、Alibaba、ByteDance、Tencent、Didi Chuxing、Meituanなどの企業に対して、過去最高額の罰金を課すとともに、サイバーセキュリティの調査や6ヶ月の是正プログラムを課すなど、注目を集める措置をとりました。オンラインゲーム、家庭教師、暗号通貨などを運営する企業も犠牲となりました。
注目すべきは、すべての規制や調査が、半導体、新素材、新エネルギー、航空などの中国が戦略的に重要と考える「ハードテック」企業ではなく、消費者向け技術分野に向けられている点です。そのため、HuaweiやSemiconductor Manufacturing International Corporation(SMIC)といった企業は、規制当局の監視対象からほとんど除外されています。
一方で、中国サイバースペース管理局(CAC)を中心とした中国の規制当局は、データの管理と流れの管理を強化すべく、一連の規制を導入し、修正を行いました。例えば、CACは、国境を越えたデータ転送を制限するデータセキュリティ法や、データプライバシー保護を規定する個人情報保護法を執行しました。個人情報保護法は、EUの一般データ保護規則(GDPR)の中国版とも位置づけられています。それと同時に、CACはベンダーに対して2日以内に脆弱性レポートを州当局と共有することを義務付ける、新しい脆弱性開示規制も発表しました。この新しい法律により、Alibaba Cloudは、近年で最も深刻な脆弱性であるLog4Shellを第一に中国当局に報告しなかったことで処分されました。

国内外の技術系企業にとって環境が厳格化

また、国際的なテクノロジー企業も中国の規制当局からの圧力や検閲に直面しました。ClubhouseやSignalなどの有名なアプリが中国で繰り返しブロックされています。これらのサービスでは、中国政府や中国のソーシャルメディアプラットフォームの検閲を受けることなく、オンラインユーザーが意見を交換することができるからです。イスラム教徒の間で人気のアプリであるQuran Majeedも中国で禁止され、中国のウイグル人に対する弾圧がさらに強まる兆候にあります。その他にも、LinkedInやYahooなどの企業が、厳しい環境を理由に中国から撤退しています。上述のようなインシデントから、2022年も国内外の技術系企業にとって厳しい年となる可能性が非常に高いことがわかります。
以下の年表は、2021年度に中国がサイバースペースに影響を及ぼした行動をまとめたものです。

略語

CCP: 中国共産党

CAC: 中国サイバースペース管理局

MIIT: 中華人民共和国工業情報化部

SAMR: 国家市場監督管理総局

年表

2021Q1

1月
  • SAMRがAlibabaへの独占禁止法調査を開始
  • CACが偽情報と偽トラフィックに対抗するため、公会計を規制する新法を発表
2月
  • SAMRが独占禁止法ガイドラインを成立
  • MIITがモバイルアプリによる過度なデータ収集に対処するための新たな規制を立案
  • 米国のオーディオチャットアプリ「Clubhouse」が中国でブロックされたと報道あり
3月
  • CCPのTwo Sessions 2021
  • SAMRが買収を報告しなかった大手技術系企業10社に罰金の支払いを命令
  • CACが、大手ハイテク企業によるデータ収集への監督を強化するため新規則を発表
  • 暗号化メッセージアプリ「Signal」が中国でブロックされたと報道あり

2021Q2

4月
  • SAMRがAlibabaに過去最高の28億ドルの罰金の支払いを命令
  • CACはネットユーザーが「違法な」履歴コメントを報告することができるホットラインを開設
  • SAMRが宅配大手企業「Meituan」に対する調査を発表
  • CCPが「データセキュリティ法」と「個人情報保護法」の見直しを実施
  • CACがモバイルアプリ利用者のプライバシー保護に対する規則の草案を発表
5月
  • CACはTencent、Alibaba、Baiduなどの84個のアプリがユーザーのプライバシーを侵害しているとして摘発
6月
  • CCPが「データセキュリティ法」と「反外国人制裁法」を可決
  • 中国が暗号通貨の取り締まりを拡大。マイニングプロジェクトが閉鎖され、銀行に取締りを強化するよう要請

2021Q3

7月
  • CACが米国IPO後にDidiChuxingのアプリを禁止IPO
  • CACが「サイバーセキュリティ審査規則」を改正し、外国上場企業に対する規制を強化
  • CACが脆弱性開示に関する新規則を発表
  • MIITが6か月の修正プログラムを開始し、技術系企業に反競争的なセキュリティの問題を修正するように命令
  • 7つの中国の機関が、Didi Chuxingでサイバーセキュリティ検査を実施するために職員を派遣
8月
  • 中国の国営メディアがオンラインゲームを「精神面に影響するアヘン」と名付け、Tencentを非難
  • CACが「個人情報保護法」を起草
  • CACが重要な情報インフラストラクチャを保護するための規制を制定
  • 中国が国営企業に政府のクラウドサービスへの移行を命令
9月
  • CACが脆弱性を報告するための「セキュリティ脅威情報共有プラットフォーム」を発表
  • CACがすべての暗号関連の取引を違法と判断

2021Q4

10月
  • LinkedInがコンプライアンスの課題が増えたことを理由に中国での事業を停止
  • CACが主要な産業や電気通信データの国境を越えた転送を禁止
  • 中国は、世界で最も人気のあるコーランアプリの1つであるQuran Majeedを禁止
11月
  • 「個人情報保護法」(PIPL)の施行を開始
  • Yahooが「困難な」環境を理由に中国から撤退
  • 中国がTencentアプリの更新を一時停止し、国営企業のみでの使用に制限
  • 中国がビジネスでのWeChatとAlipayの個人決済QRコードの使用を禁止
  • 中国が、CCPの高官に対する性的暴行の主張をめぐってテニススターの彭帥を検閲
12月
  • CACが外国からの宗教的なオンラインコンテンツをブロックするための規則を発表
  • MIITは、Log4j2の脆弱性の報告が遅れたことを理由に、Alibaba Cloudとの提携を停止
  • Didi Globalがニューヨーク証券取引所から上場廃止
  • CACが違法な情報を公開したとしてWeiboに罰金の支払いを命令

展望:中国はサイバーパワーと規制管理を際限なく追求

今のところ、中国政府が技術系企業への管理を緩和させる気配はありません。中国のサイバースペースにおける力が拡大する中、関係者やサイバーセキュリティ専門家は、中国の司法権にさらされるネットワークや資産を慎重に扱う必要があります。またその一方で、中国の規制キャンペーンの後には、秘密のサイバー作戦が後続する傾向にあることもわかっています。例えば、当社のテレメトリーは、中国関連のAPT(Advanced Persistent Threat)グループが、中国の腐敗防止キャンペーンのリストに載っている企業や組織を標的にしていることを以前に検出しています。
中国の政治状況は、サイバースペースを支配する中国の戦略に大きく影響します。2022年8月には、中国共産党(CCP)が第20回党大会を開催します。ここで、今後5年間の党指導部と政策アジェンダが発表される予定です。中国当局が取締りを継続し、「共同繁栄」の名の下に技術取り締まりをさらに強化して、国内最強のサイバープレイヤーとしての国家の地位を固めたとしても驚くにはあたらないでしょう。
*画像のソース: Pixabay
2.21.2022Cyber Threat Intelligence
Share: