2020年中国サイバーセキュリティ報告
前回の記事でも簡単に触れましたが、CNCERTが中国サイバーセキュリティの最新状況報告ともいえる『2020年中国インターネット サイバーセキュリティ報告(中国語原文: 2020 年中国互联网网络安全报告)』を公開しました。
同報告の前身は2004年に公開された『CNCERT/CCサイバーセキュリティ作業報告』になり、2008年から『2020年中国インターネット サイバーセキュリティ』と今のタイトルに変更され、以降毎年サイバーセキュリティの状況や、トレンド、重大事件、翌年度の見通しなどを掲載してきました。
今回のレポートの内容は以下11の大項目に分かれています。
1. 2020年サイバーセキュリティ概要
2. サイバーセキュリティのテーマ別分析
3. PC上の悪意のあるプログラムの伝播と活動状況
4. モバイル端末の悪意あるプログラムの伝播と活動状況
5. Webサイトのセキュリティモニタリング状況
6. DDoS攻撃観測状況
7. セキュリティホールの通報情報と処置状況
8. サイバーセキュリティインシデントの受領と処理状況
9. サイバーセキュリティ団体の発展状況
10. CNCERT/CCが開催する主要なサイバーセキュリティ会議とイベント
11. 2021年サイバーセキュリティトレンド予測
ページ数にして、実に248ページにも及んでいるので、そのすべてを紹介するのは難しいのですが、上記から重要事項をかいつまんで説明していきたいと思います。
まず、各章の内容に入る前に「2020年中国サイバーセキュリティ関連重要事項」というのが紹介されているのですが、その中で目を引くのはやはり「アプリの個人情報収集に関する規則強化」の動きと、「サイバーセキュリティ審査弁法の施行」かと思います。
「アプリの個人情報収集の規制強化」は、今年5月にTiktokなど105のアプリが個人情報を違法収集しているとして、日本でもニュースになっていたのでご存じの方も多いかと思いますが、こちらは2020年4月ころから動きが始まっていました(関連記事)。
また、「サイバーセキュリティ審査弁法」はサイバーセキュリティ審査の申請手続を明らかにするもので、2017年6月施行の「サイバーセキュリティ法」でネットワーク製品・サービスを調達する場合に、国家の安全に影響を及ぼす可能性がある場合、国が実施するサイバーセキュリティ審査に合格しなければならないと規定されていましたが、正式にサイバーセキュリティ審査弁公室に審査を申請する必要が出てきました(関連記事)。
サイバーセキュリティ法やこのサイバーセキュリティ審査弁法は中国に進出した日系企業にとって抑えておくべきポイントと思いますので、どこかで当ブログでも取り上げたいと思いますが、ここはいったんレポートの説明を続けます。
CNCERTが2020年に報告を受けたサイバーセキュリティの件数は103,109件だったそうです(2019年は107,801件)。
月別の件数は下のグラフの通りになります。
12月が12,999件と頭一つ抜け出す件数の多さになっています。
また、そのCNCERTへの報告の種類としては、セキュリティホール(35.0%、中国語原文:安全漏洞、)、悪意のあるプログラム(32.8%、中国語原文:恶意程序)、フィッシング(18.2%、中国語原文:网页仿冒)、バックドア(7.4%、中国語原文:网站后门)、ウェブページの改竄(2.3%、中国語原文:网页篡改)、その他(4.8%、中国語原文:其他)という構成になっています。
その悪意のあるプログラムに関し、出どころがどこかという統計があるのですが、
「美国」というのは中国語でアメリカの意味なのですが、そのアメリカが出どころになっているのが、53.1%と圧倒的な数値であったことが報告されています。
最近、中国のサイバー攻撃を欧米が一斉批判するというニュースがありましたが(関連記事)、中国は中国で攻撃を受けている、との政治的な内容も含んだメッセージにも見えます。
続いては、セキュリティホールに関する統計を紹介します。
通常のアプリとWebアプリのセキュリティホールで77.4%と大多数を占め、OSのセキュリティホールは10.0%でした。個人的な感触ではOSのセキュリティホールはもっと多い気がしていたのですが、様々なアプリが使われていることを考えるとこの数値も妥当なのかもしれません。
また、クラウドサービスへの攻撃が増えているようで、1Gbit/sを超える大規模なDDoS攻撃では、クラウドサービスが対象となる割合が74%にもなったそうです。
そのDDoS攻撃はTCP SYN Flood、UDP Flood、NTP Amplifi cation、DNS Amplifi cationとSSDP Amplificationの5種類が攻撃手法としては大半を占め、攻撃を受けた地域としては、山東省、江蘇省、広東省、北京市、上海市、福建省の7か所が多かったそうです。
また、ブロックチェーンは中国では「区块链」と表記されるのですが、そのブロックチェーンへの攻撃も増え始めており、年間を通じて555件報告されたが、9月が最も多く69件の報告があったとのことでした。
攻撃対象としては、DeFi(Decentralized Finance)、デジタルウォレット(中国語原文:数字钱包)、資産取引プラットフォーム(中国語原文:资产交易平台)などが多かったようです。
最後に同レポートに記載されている2021年のサイバーセキュリティの傾向予測をご紹介します。
(1)社会的な重要拠点へのAPT攻撃は続く。
(2)Appの違法・違反による個人情報の収集利用状況はさらに厳格になる。
(3)ネットワーク製品とサービスのサプライチェーンのセキュリティ問題はなお様々な課題が残る。
(4)重要な情報インフラのセキュリティ保護を強化することが社会の共通認識となる
(5)遠隔連携におけるセキュリティリスクの問題がより重視される(※リモートワークにおけるセキュリティリスク)
(6)社会全体がデジタル化転換を加速するというバッググラウンドもあり、データの防護能力の向上により力を入れていくことになる。
上記(1)から(6)に関しては、どれも注視していくべき内容ですが、(2)、(5)、(6)などは重点注視していくべきですし、(6)は前回も軽く触れた9月1日より施行される「データセキュリティ法」があるので、「データセキュリティ」に関しては特に注視していく必要がありそうです。
情報元: CNNIC『2020年中国互联网网络安全报告』(中国語)
※中国を中心としたSDGsや再生可能エネルギーについて綴っている姉妹ブログの方もぜひ!