2026年4月23日、英国National Cyber Security Centre(NCSC-UK)はUK Cyber Leagueの支援のもと、中国関連サイバー攻撃者が用いる侵害デバイスの秘匿ネットワークに関する共同アドバイザリーを発出した。
共同発出機関には日本の国家サイバー統括室(NCO)、米国CISA・FBI・NSA・DC3、ドイツのBfV・BND・BSI、オランダのAIVD・MIVD、カナダCyber Centre、オーストラリアACSC、ニュージーランドNCSC-NZ、スペインCCN、スウェーデンNCSC-SEが名を連ねた。NCSCによれば、中国関連の脅威アクターの大多数が、侵害されたSOHOルーターやIoT機器で構成される秘匿ネットワークを利用している。
Raptor Trainは2024年に世界で20万台超のデバイスを感染させ、中国企業Integrity Technology Groupが管理していた。同社はFlax Typhoonへの関与もFBIが指摘している。Volt Typhoonが用いたKVボットネットは主にCisco製・NetGear製ルーターで構成されていた。NCSC運用担当ディレクターはポール・チチェスターである。
From: 
Defending against China-nexus covert networks of compromised devices
【編集部解説】
本アドバイザリーで最も注目すべきは、その発出主体の構成です。英国NCSCが主導しつつ、米国CISA・FBI・NSA・DC3、ドイツのBfV・BND・BSI、オランダのAIVD・MIVD、カナダ・オーストラリア・ニュージーランド・スペイン・スウェーデン、そして日本の国家サイバー統括室(NCO)を含むNCSC-UKと9カ国の15のパートナー機関、合計10カ国16機関が名を連ねています。これは単なる技術文書ではなく、自由主義陣営による中国関連サイバー活動への政治的メッセージの性格も帯びています。
特に日本のNCOの参加は、innovaTopia読者にとって重要な意味を持ちます。NCOは2025年7月1日、従来のNISC(内閣サイバーセキュリティセンター)を発展的に改組して内閣官房に新設された組織で、能動的サイバー防御(ACD)の司令塔として位置づけられています。発足から1年も経たないタイミングで、Five Eyesに日独蘭西スウェーデンを加えた拡大連携のアドバイザリーに名を連ねたことは、日本のサイバー安全保障体制が「国際的な作戦の一員」として運用フェーズに入りつつあることを示唆しています。
さて、本アドバイザリーが警告する「秘匿ネットワーク(covert networks)」とは、平たく言えば乗っ取られた家庭用ルーターやIoT機器を多段階に連結し、攻撃者が出元を隠す“迷彩用の中継網”のことです。攻撃者の通信は、複数の侵害デバイスを中継ノードとして経由したのち、標的と同じ地理的地域に置かれた出口ノードから送り出されます。そのため、防御側のログを見ても「ご近所のWi-Fiルーター」からの通信に見えてしまうのです。
この戦術がもたらす最も厄介な現象が、Mandiantが指摘する「IOC Extinction(侵害指標の枯渇)」と呼ばれる問題です。従来の防御は「悪意あるIPアドレスのブロックリスト」が基本でしたが、ノードが数十万単位で動的に入れ替わり、しかも複数の攻撃グループが同じネットワークを共用する状況下では、静的なブロックリストは機能しません。これは、サイバー防御のパラダイムシフトを迫る構造的変化です。
本アドバイザリーで具体例として挙げられたRaptor Trainは、2024年9月にFBIによってテイクダウンされた巨大ボットネットで、NCSCによれば2024年に世界で20万台超のSOHOルーター・IoT機器を侵害しました(Lumen Black Lotus Labsの累計値では26万台超とされています)。背後にいたとされる中国の上場企業Integrity Technology Groupは、Flax Typhoonというサイバースパイ活動グループへの関与もFBIに指摘されており、英国政府は2025年12月に同社を制裁対象に指定しています。
もう一つの事例であるVolt Typhoonが利用したKVボットネットは、主にライフサイクル終了(end of life、EOL)を迎えたCisco製・NetGear製の家庭用ルーターで構成されていました。注意すべきは、Volt Typhoonの目的が情報窃取ではなく「重要インフラへの事前展開(pre-positioning)」であった点です。米FBIのクリストファー・レイ前長官は、これを「将来の有事における物理的攻撃の準備」と位置づけており、エネルギー・通信・水道・運輸といった生活基盤への破壊的攻撃の布石と読まれています。NCSC運用担当ディレクターのポール・チチェスター氏も、ボットネット運用が日常的なインターネット接続デバイスの脆弱性を悪用し、英国にとって重大な脅威となっていると警鐘を鳴らしています。
ここで読者の皆さまに認識していただきたいのは、この問題が「他人事ではない」という点です。攻撃の踏み台にされるのは企業のサーバーではなく、家庭や中小オフィスのルーター、ネットワークカメラ、NAS、スマート家電です。つまり、自分のデバイスが知らぬ間に国家規模のサイバー作戦に組み込まれ、隣国への攻撃の一部に使われる可能性があるということです。
ポジティブな側面に目を向ければ、本アドバイザリーは「EOLデバイスの放置こそが国家安全保障リスクである」という認識を、家庭ユーザー・中小企業レベルにまで明示的に降ろした点で画期的です。これまで業界や政府機関の議論にとどまっていたこの認識が、エンドユーザーへの注意喚起へと拡張された意義は小さくありません。
規制面では、IoT機器メーカーの責任が今後さらに問われることになるでしょう。日本ではすでにJC-STAR(IoT製品セキュリティ適合性評価制度)が動き出しており、欧州ではCyber Resilience Act(CRA)が2027年にかけて段階的に発効します。「売って終わり」ではなく、製品ライフサイクル全体での脆弱性対応とアップデート提供が、法的義務として課される時代に入っています。
長期的な視点では、攻撃者と防御者のいたちごっこは続きます。ただし、本アドバイザリーが推奨するゼロトラスト・地理的フィルタリング・機械学習ベースの異常検知・NetFlow活用といった対策は、いずれも「IPアドレスの善悪二元論」から脱却するアプローチです。これは、AIによる挙動ベースの脅威検知が今後の標準になることを示唆しており、セキュリティ業界の地殻変動を伴うトレンドだと言えます。
innovaTopiaが「Tech for Human Evolution」を掲げる立場から見れば、この事案は「便利さの裏側で見過ごされてきた家庭のテクノロジーが、国家間の対立構造に組み込まれる時代」の到来を象徴しています。私たち一人ひとりが選ぶルーター、買い替えのタイミング、ファームウェア更新の習慣が、もはや個人のITリテラシーの問題ではなく、社会全体のレジリエンスを構成する要素となっているのです。
【用語解説】
秘匿ネットワーク(covert network)
攻撃者が侵害した家庭用ルーターやIoT機器を多段階に連結し、自らの通信元を隠して攻撃の発信源を偽装する中継網のこと。本アドバイザリーの中心概念だ。
SOHOルーター
Small Office / Home Officeの略。家庭や小規模事務所向けに販売される廉価なルーターを指す。管理が個人任せで脆弱性が放置されやすく、攻撃の温床になっている。
TTPs(Tactics, Techniques and Procedures)
攻撃者の戦術・技術・手順を指すサイバーセキュリティ用語。攻撃者の特徴を体系的に分析するための枠組みである。
Volt Typhoon(ヴォルト・タイフーン)
中国の国家支援アクターとされる脅威グループ。米国の通信・エネルギー・運輸・水道インフラへの「事前展開」を行っていたとされ、米Microsoftが2023年5月に存在を公表した。
Flax Typhoon(フラックス・タイフーン)
中国関連のサイバースパイ活動グループ。台湾、東南アジア、北米、アフリカの組織を標的としてきた。Ethereal Panda、RedJulietteとも呼ばれる。
Raptor Train(ラプター・トレイン)
Lumen Black Lotus Labsが命名した大規模ボットネット。中国企業Integrity Technology Groupが運用し、NCSCの記述によれば2024年に世界で20万台超のデバイスを感染させた。同年9月にFBIが解体作戦を実施した。
KVボットネット
Volt Typhoonが運用していたボットネット。主にライフサイクル終了したCisco製・NetGear製の家庭用ルーターで構成されていた。2024年1月末にFBIが解体作戦を実施した。
IOC Extinction(侵害指標の枯渇)
Mandiantが2024年5月のブログで提起した概念。動的に変化する大規模ボットネットの登場により、悪意あるIPアドレスをブロックする従来型の防御手法が機能しなくなる現象を指す。
end of life(EOL/製品ライフサイクル終了)
メーカーがサポートとセキュリティ更新の提供を停止した状態。EOL機器は新たな脆弱性が発見されても放置され、攻撃者の格好の標的となる。
pre-positioning(事前展開)
有事の発動に備え、平時のうちから標的システム内に潜伏アクセスを確保しておく軍事的な戦術概念。Volt Typhoonの活動を特徴づけるキーワードだ。
Five Eyes(ファイブアイズ)
米英加豪NZの5カ国による機密情報共有の枠組み。本アドバイザリーは、これに日独蘭西スウェーデンを加えた拡大連携の体制で発出された。
ゼロトラスト
社内ネットワークを含むすべての通信を信用せず、毎回認証・検証する設計思想。境界型防御に代わる新しいセキュリティモデルとして本アドバイザリーでも推奨されている。
マルチホップ・プロキシ
複数の中継サーバーを経由させて通信元を追跡困難にする技術。MITRE ATT&CKフレームワークでT1090.003として分類されている。
APT(Advanced Persistent Threat/持続的標的型脅威)
特定の標的に対して高度な技術と長期的な視点で継続的に攻撃を仕掛ける脅威の総称。多くは国家支援の脅威アクターを指す。
JC-STAR
日本政府が2025年から運用を開始したIoT製品向けのセキュリティ適合性評価・ラベリング制度。Japan Cyber-Security Technical Assessment Requirementsの略。
【参考リンク】
National Cyber Security Centre(NCSC-UK)(外部)
本アドバイザリーを主導した英国の国家サイバーセキュリティ機関。GCHQ傘下で重要インフラ防護を担う。
Cybersecurity and Infrastructure Security Agency(CISA)(外部)
米国土安全保障省傘下の国家サイバーセキュリティ機関。本アドバイザリーで米国側の取りまとめ役を担った。
Federal Bureau of Investigation(FBI)(外部)
米連邦捜査局。Raptor TrainおよびKVボットネット双方の解体作戦を実行した実働組織として知られる。
National Security Agency(NSA)(外部)
米国家安全保障局。シグナルインテリジェンスを担当する米国防総省傘下の機関で、共同発出機関の一つだ。
国家サイバー統括室(NCO)(外部)
2025年7月1日に内閣官房に設置された日本のサイバーセキュリティ司令塔組織。NISCを発展的に改組した。
Lumen Black Lotus Labs(外部)
通信事業者Lumen Technologies傘下の脅威研究部門。Raptor Trainボットネットを発見・命名した。
MITRE ATT&CK®(外部)
攻撃者の戦術・技術を体系化した、世界的に参照されるサイバー脅威ナレッジベースである。
Cisco(外部)
KVボットネットで悪用された家庭用ルーターのメーカー。2025年12月にNCOと協力合意書を再締結した。
NETGEAR(外部)
KVボットネットで悪用された主要ルーターメーカー。EOL機器の放置リスクの代表例として言及された。
JC-STAR(IPA)(外部)
独立行政法人IPAが運用する、日本のIoT製品セキュリティ適合性評価制度の公式情報ページである。
【参考記事】
Compromised everyday devices power Chinese cyber espionage operations(外部)
本アドバイザリー発表翌日の解説記事。Integrity Technology GroupがEU加盟6カ国で6万5,000台超を侵害したとして、EU理事会から制裁を受けた経緯にも触れている。
International cyber agencies share fresh advice to defend against China-linked covert networks(外部)
NCSCがCYBERUK 2026の2日目に発表した公式プレスリリース。9カ国15機関の国際パートナーと連携し、英国政府が2025年12月に同社を制裁指定した事実にも言及している。
New “Raptor Train” IoT Botnet Compromises Over 200,000 Devices Worldwide(外部)
Lumen Black Lotus Labsの81ページレポートに基づく解説。2023年6月にピーク6万台、2024年6月には26万台超に達したとし、地域別の感染状況を詳述している。
US Disrupts ‘Raptor Train’ Botnet of Chinese APT Flax Typhoon(外部)
2024年9月のFBI解体作戦の報道。Raptor Trainが過去4年で26万台のルーター・NAS・IPカメラを取り込んでいたことを伝えている。
U.S. government disrupts botnet People’s Republic of China used to conceal hacking of critical infrastructure(外部)
2024年1月末のKVボットネット解体作戦の一次情報源。FBI長官による事前展開戦略への警告コメントを含む。
CISA, NCSC UK, and Global Partners Issue Advisory on Chinese Government-Linked Covert Cyber Networks(外部)
CISAの米国側公式リリース。代行長官による「中国国家支援アクターが進化する複数の秘匿ネットワークを大規模に運用」とのコメントを掲載している。
FBI forced Flax Typhoon to abandon its botnet(外部)
2024年9月の解体作戦報道。Integrity Technology Group会長の発言や、Tier 1〜Tier 3階層型C2構造の詳細を伝えている。
【関連記事】
中国のハッキンググループ『Volt Typhoon』、米国小規模電力会社を攻撃:古いファイアウォールの脆弱性が原因
中国国家支援アクターVolt Typhoonがマサチューセッツ州の小規模電力会社を侵害した事案。本記事のpre-positioning戦略の具体例として参考になる。
BadBazaar/Moonshine:中国政府関連スパイウェアがチベット・ウイグル・台湾系コミュニティを標的に監視活動、国際サイバー機関が警告
NCSCが米英加豪独NZと共同で発した中国関連スパイウェア警告。本記事と同じ国際共同アドバイザリーの先行事例である。
IoTボットネット解体:米国・オランダ当局が7,000台規模のTheMoonマルウェア感染デバイスを摘発
EOLルーターを悪用した犯罪プロキシネットワークOperation Moonlanderの解体事例。秘匿ネットワーク同様の構造を持つ別グループの動向だ。
国家サイバー統括室|政府が233人体制で能動的防御へ、国立病院・防衛産業も対象に
本記事に共同発出機関として登場する日本のNCO設立背景を詳述した記事。能動的サイバー防御の制度設計を理解する上で必読である。
Salt Typhoon攻撃:米国通信大手を標的にした中国のサイバースパイ活動と対応策
Volt・Flax Typhoonと並ぶ中国系APT「Salt Typhoon」の通信インフラ侵害事案。中国系サイバー作戦の全体像を補完する記事である。
【編集部後記】
みなさんが最後にファームウェアを確認したのはいつだったでしょうか。ご自宅やオフィスのルーター、ネットワークカメラ、NASを思い浮かべてみてください。今回のニュースが投げかけているのは、「あなたの機器が知らないうちに国家規模のサイバー作戦の中継地点にされているかもしれない」という現実です。買い替えのタイミング、メーカーのサポート期限、自動更新の設定。こうした地味な選択の積み重ねが、自分自身と社会のレジリエンスを支える時代に入っています。私たちも、未来のテクノロジーを追いかけながら足元の安全についても一緒に考えていきたいと思っています。
