あなたの企業にも中国のスパイがいるかもしれない。／クリストファー・レイ（FBI長官）、翻訳・布施 哲

レイ氏

「中国政府こそが最大の脅威」

7月6日、ロンドンで米連邦捜査局（FBI）長官、英情報局保安部（MI5）長官による企業経営者向け合同講演会が開かれた。以下は、その際のレイFBI長官の講演録。FBIの許可を得て掲載します（編集部）。

ありがとう、ケン（・マッカラム、MI5長官）。今週ここに来て我々が直面している共通の脅威と我々の2つの機関の素晴らしい協力について話せることはとても光栄です。

FBIにとってMI5ほど親密なパートナーはいません。テロ対策からサイバー攻撃を使った知的財産の窃取、国際的な弾圧から諜報活動まで、私たちの機関が直面するほとんどすべての任務において連携しています。私たちが共に取り組む課題に共通項があることにお気づきでしょう。そしてどれも困難な課題ばかりです。

私たちの世界はさまざまな困難な課題であふれています。ロシアによるウクライナへの侵攻、民間人に対する無慈悲な殺害行為、民間インフラの破壊はその最たるものです。

我々両機関は目下、ロシアの脅威に取り組んでいますが、その一方で本日は、ここにいるビジネスパーソンの皆さんにとっても脅威となる、複雑かつ広範な問題について話したいと思います。私たちは一貫して、中国政府こそが私たちの経済と国家安全保障に対する、長期的かつ最大の脅威であると認識してきました。「私たち」とは、米英両国と欧州やその他の地域の同盟国という意味です。

FBIは中国と戦っている

中国政府はあらゆる手段を使って盗む

ここで明確にしておきたいのは、中国政府と中国共産党こそが、私たちが対抗しようとしている脅威であることです。中国国民でもなければ、中国政府による弾圧の犠牲者ともいえる、わが国に住む中国系移民でもありません。中国でのビジネス、中国とのビジネスが魅力的であることはわかっています。私は公職に戻る前は12年間、民間において世界有数の企業に助言をする仕事をしていました。FBIでは日々、さまざまな規模の企業と関わっています。中国市場に目を向け、競争力を維持しようとする企業の考え方も理解しているつもりです。しかし、今日皆さんにお伝えしたいのは、賢明なるビジネスパーソンの皆さんが認識している以上に、中国が欧米の企業にとって深刻な脅威だという事実です。その脅威を見極め、それに対処するための計画を立てるには長期的視点が不可欠です。

その脅威とはどのようなものか。

中国政府は貴社の技術を盗むこと、つまり貴社の事業を成り立たせているものが何であれ、それを利用して貴社のビジネスを弱体化させ、市場を支配することを目指しているのです。そして、そのためにあらゆる手段を使おうとしています。例えば、狙った民間企業の情報を諜報員を使って入手しています。諜報機関の動きを支援しているのが協力者の存在です。厳密には中国政府の関係者ではないですが、諜報活動を支援し、リクルートするべき情報源の発見と評価を行い、偽装工作や連絡手段を提供し、さまざまな手段を通じて機密を盗むことを支援しているのが協力者です。

中国の諜報機関、国家安全部（MSS）が持つ数々の地方支局が欧米企業の技術情報を狙った工作を展開しています。狙われている欧米企業は大都市から小さな町にまで至り、企業規模もフォーチュン上位100社からベンチャーまで、所属セクターも航空、AI、製薬などあらゆる分野にわたっています。

中国企業のために働いている協力者がアメリカ国内のある畑に忍び込み、独自に開発した遺伝子組み換え種子を掘り出したのを逮捕したこともあります。この種子は、開発するのに10年近くの期間と、数十億ドルの研究費がかかったものでした。そうした長年の企業努力も、すべての主要国の予算を足した額を大幅に超える資金を使った中国のサイバー攻撃工作にかかったらひとたまりもないのです。

中国政府は、サイバー攻撃を大規模な不正行為や窃盗を行うための有力な手段だと考えています。例えば、昨年の春、マイクロソフト社はExchange Serverソフトウェアにかかわる、これまで知られていなかった脆弱性をいくつか公表しました。中国のハッカーはこの脆弱性を利用して、米国のネットワークに1万以上のバックドアをインストールし、これらのシステム上のデータへの継続的なアクセスを可能にしていました。これは中国政府が脆弱性を悪用した一例に過ぎません。

ここ数年、中国政府の支援を受けたハッカーが、脆弱性を修正するパッチが適用されていないネットワーク機器やインフラへの侵入方法を執拗に探し出そうとしているのを私たちは注視してきました。中国のハッカーは、防御策を回避する戦術を常に進化させています。彼らは、ネットワーク・ディフェンダー（セキュリティ担当者）のアカウントを監視し、検知されないように必要に応じて戦術を変えることすらします。カスタマイズしたハッキング・ツールと、通常のネットワーク環境に存在するツールを組み合わせることで、ネットワークの「ノイズ」や通常のネットワーク環境に紛れ込ませて、自分たちの動きをカムフラージュしています。重要なのはその規模の大きさだけではありません。それらの戦術が効果的でもあることです。

さらに伝統的なサイバー攻撃によるデータ窃取に加えて、彼らはもっと陰湿な手口で表玄関から侵入し、お金を奪おうともしています。中国政府は技術を盗み取ることを目的とする投資や提携を好む傾向があります。中国企業の多くは、中国政府、つまり実質的には中国共産党に支配されています。その所有権は間接的でわかりにくく、対外的に公表されることもありません。そうでない中国企業についても実際は政府の統制下にあるといえます。なぜなら中国企業は、その規模にかかわらず、共産党の下部組織を組織することが義務付けられているからです。つまり、中国企業と付き合うということは、中国政府、つまり国家安全部と人民解放軍という影のパートナーと付き合うことを意味します。

また、海外において中国は、外国企業やCFIUS（米国の対米外国投資委員会）といった外国からの投資を審査するプログラムを欺くため、より手の込んだ偽装工作を展開しています。例えば、SPAC（特別買収目的会社）のような特殊な企業形態を利用し、過大な議決権をもたらす株数を購入することで、出資額とは釣り合わないほどの支配力を行使できるようにしています。また、中国政府は正確なデューデリジェンス（投資先企業の調査）を可能にするデータの多くを遮断しており、例えば、取引先の企業が中国国有企業の子会社であるかどうかを中国国外の企業が見極めることは非常に難しい。私たちは、MI5やその他のパートナーと協力して、この種の秘密の投資を特定しようとしています。米国では何百もの不自然な取引を特定し、CFIUSの投資審査にかけました。

中国政府指定の税務ソフトを使うと……

中国国内になると、同じような問題はさらにあります。中国政府が米国や英国の企業に対して、中国企業との合弁を義務づけていることは、皆さんもご存知でしょう。その合弁相手は往々にして競合相手にその後変貌するのです。それだけではなく、中国政府はあなたがた企業が持つ知的財産やデータの扱いについて、中国のやり方を求める立法措置をとっています。

2015年以降、中国政府は中国で事業を行う企業の権利とセキュリティを侵害する法律を次々と可決させています。例えば、2017年の法律では、中国政府によって「重要情報インフラ」と指定された場合、その企業は中国国内にデータを保存しなければならないと定めており、当然ながら、中国政府はデータに容易にアクセスできるようになりました。

2017年の別の法律では、中国にいる中国人従業員に中国の諜報活動を支援するよう強制することができるようになりました。そして、2021年に可決された法律では、中国で収集されたデータを集中管理し、そのデータへのアクセス権とコントロール権が中国政府に与えられています。その他の新しい法律では、中国に対する国際的な制裁の実施に参加した場合、中国政府が罰則を科すことが可能になり、外国企業は制裁参加か、中国政府の側に立つかの板挟みの状態に置かれます。また、中国株式を保有する企業に対して、自社ネットワーク製品の脆弱性情報を報告するよう求める規定もあり、中国当局がその脆弱性を悪用することができるようになりました。

そうした法律があっても中国政府が信頼に足る存在であれば問題はないのですが、残念ながら中国政府が法律や規制を悪用して外国企業の知的財産やデータを盗む実例を、私たちはこれまでにも見てきました。

例えば2020年には、中国に進出している多くの米国企業が、中国政府が使用を義務化した税務ソフトによって標的にされていることがわかりました。中国の法律を遵守するために、これらの企業は政府公認の特定のソフトウェアを使用する必要がありましたが、米国企業はこのソフトウェアを通じて、マルウェア（悪意あるソフトウェア）がネットワークに移植されていることを発見しました。

つまり、中国でビジネスを行うために中国の法律を遵守することで、知らず知らずのうちにシステムにバックドアが設置され、プライベートであるはずのネットワークにハッカーがアクセスできるようになってしまったのです。これはすべてほんの一例であり、このほかにもいくらでも例を挙げられます。

中国政府の戦略が非常に陰湿なのは、複数の手段を一度に活用する点にあります。彼らは、「中国製造2025」計画にあるような、市場を支配できるコアな技術をまず特定します。次にあらゆる手段を駆使してその技術を窃取して、欧米企業の雇用を奪う打撃を与えるのです。例えば、最先端のジェット・エンジン技術を盗むために、米GEと事業提携している企業内に協力者を獲得して中国にいるハッカーがアクセスできるように仕向けました。このほかにもスパイとハッキングを組み合わせて、アメリカの研究機関から新型コロナに関する研究成果を盗み出そうともしています。