エグゼクティブサマリー
2025年11月、中国のサイバーセキュリティ企業・知道創宇(Knownsec)から12,000件以上の機密文書が流出した。この事件は、国家が民間企業に授権し、越境的なサイバー作戦を実施させる「授権型サイバー活動」の実態を白日の下に晒した。本稿では、中国が主張する「国内法による授権は国際的にも合法」という法理論を検討し、国際法上の反論と実務的帰結(起訴・制裁)を整理する。結論として、国内授権は国内免責の根拠にはなり得ても、越境時の国際違法性を自動的に阻却するものではなく、米国・G7・EUは一貫してこれを「悪性サイバー活動」として執行措置で対処していることを示す。
キーワード: サイバー主権、国家責任、帰属、民軍融合、デュアルユース技術
1. 問題の所在: Knownsec事件が提起した構造的問題
1.1 事件の概要
2025年11月初旬、中国のサイバーセキュリティ大手・知道創宇(Knownsec)から大規模なデータ漏洩が発生した[1]。流出した12,000件以上の文書には、以下が含まれていた:
- 攻撃ツール群: GhostXフレームワーク、Un-Mailメール傍受システム、Windowsトロイの木馬
- グローバル標的リスト: 「関基目標庫(重要インフラ標的ライブラリ)」として、26か国・地域の24,241機関、3.8億以上のIPアドレス、348万ドメインをマッピング
- 窃取データ: インド95GB移民記録、韓国3TB通話記録、台湾459GB道路計画データ等
- 公安部との連携: 公安部「特偵支隊」「網監局」への攻撃ツール提供を示す組織図
1.2 構造的矛盾の顕在化
Knownsecは表向き「サイバーセキュリティ企業」として、創宇盾(防御製品)、ZoomEye(脆弱性検索エンジン)等を提供し、中国内外の政府・金融機関・大学等を顧客としていた。しかし漏洩文書は、同社が同時に国家サイバー作戦の実行部隊として機能していたことを実証した。
言い換えれば、警備会社が泥棒を兼ねていると言える構造である。この「デュアルユース(二重用途)」の実態は、以下の問いを提起する:
- 法的正当性: 中国国内法による授権は、越境的サイバー活動を国際法上も合法化するのか?
- 企業責任: 民間企業が国家作戦に関与する場合、帰属(attribution)と責任はどう評価されるのか?
- 国際秩序: 米国・G7は中国の「合法作戦」主張をどう評価し、どのような執行措置を講じているのか?
本稿はこれら三点を、国際法と実務の両面から検討する。
2. 中国の法的主張: 五つの正当化理論
中国は、越境的サイバー活動を以下の五つの法理論で正当化している。
2.1 サイバー主権論
主張: サイバー空間にも国家主権が及び、各国は自国のサイバー空間の秩序と安全を管理する主権的権利を有する[2]。
「サイバー主権は国家主権の重要な構成要素である。各国は自国のサイバー空間における主権・安全・発展利益を保護する権利を有し、他国はこれを尊重すべきである。」
(出典: 国際サイバー空間協力戦略、2017年)
この論理の延長として、国家安全維持のためのサイバー活動は「主権の行使」として正当化される。
2.2 国内法の域外効力
主張: 国家安全保護法(2015)、サイバーセキュリティ法(2017)、データ安全法(2021)等の国内法により、企業は国家安全維持に協力する義務を負い、授権された活動は合法である。
具体例:
- 国家安全保護法第14条: 「中国の公民と組織は、国家安全保障活動に協力し、国家機密を保持する義務を負う」
- サイバーセキュリティ法第28条: 「ネットワーク運営者は公安機関・国家安全機関の法執行活動に技術支援と協力を提供しなければならない」
この法的枠組みにより、Knownsecのような企業が公安部に攻撃ツールを提供する行為は、国内法上「義務の履行」として位置づけられる。
2.3 自己防衛・必要性
主張: 外国からのサイバー脅威に対する防御的措置として、脆弱性調査や情報収集は正当化される。
ZoomEyeのようなグローバルIPスキャンツールは、「防御的監視」のために外国の脆弱性を把握する必要性から正当化される。しかし、実際には攻撃標的の選定に使用されていた証拠が漏洩文書に含まれていた。
2.4 法執行フレーミング
主張: サイバー活動は刑事犯罪の捜査・取締の延長であり、国内法執行権限の行使である。
公安部の「特偵支隊(特別捜査支隊)」へのGhostXフレームワーク提供は、この論理で正当化される。ただし、越境的な「法執行」が相手国の同意なしに実施される場合、国際法上の問題が生じる。
2.5 規範創設(ノーム・シェーピング)
主張: 上海協力機構(SCO)「情報安全行動規範」(2015改訂)[3]やグローバル・データ安全保障イニシアティブ(GDSI, 2020)[4]により、独自のサイバー規範を国際的に提唱し、西側の「覇権的規範」に対抗する。
これらの文書は、「情報空間における主権尊重」「情報技術製品のバックドア禁止(ただし自国は例外)」等を掲げるが、実質的には中国型のサイバー統制を国際規範化する試みと評価される。
3. 国際法の反論: なぜ「国内授権」は国際的免責にならないのか
3.1 国際法の基本原則
中国の主張に対し、国際法は以下の反論を提示する。
3.1.1 既存国際法のサイバー空間への適用
国連政府専門家会合(UN GGE, 2021)[5]及びオープンエンド作業部会(OEWG)は、「既存の国際法はサイバー空間にも適用される」との合意を繰り返し確認している。これには以下が含まれる:
- 主権平等原則(国連憲章第2条1項): 各国の主権は平等であり、一国の国内法が他国の主権を侵害することは許されない
- 内政不干渉原則(国連憲章第2条7項): 他国の国内管轄事項への強制的干渉は禁止される
3.1.2 国内法は国際義務違反の弁明にならない
条約法に関するウィーン条約(VCLT)第27条は、「当事国は、条約の不履行を正当化する根拠として自国の国内法を援用することができない」と規定する。これは慣習国際法としても確立している。
適用: 中国が国内法(国家安全保護法等)により企業に授権しても、その行為が他国の主権を侵害する場合、国際法上の違法性は阻却されない。
3.2 タリン・マニュアル2.0の整理
NATO協力サイバー防衛センター(CCDCOE)が編纂したタリン・マニュアル2.0[6]は、平時のサイバー作戦について以下を整理している:
| 行為類型 | 国際法評価 | 根拠 |
|---|---|---|
| 外国の重要インフラへの無許可スキャン | 主権侵害の可能性 | 規則4: 領域主権 |
| 外国政府・企業からのデータ窃取 | 主権侵害・不干渉違反 | 規則10: 政府機能への干渉禁止 |
| 選挙システムへの侵入 | 不干渉違反 | 規則66: 政治的独立の尊重 |
| 民間企業の知的財産窃取 | 国際違法(ただし武力行使未満) | 規則6: デューディリジェンス義務 |
Knownsec事件で暴露された活動は、これらの複数項目に該当する。
3.3 国際人道法(IHL)の制約的適用
中国が「サイバー作戦」という軍事的用語を使用することで、武力紛争法(IHL)下の交戦権を暗示する戦略が見られる。しかし、国際赤十字委員会(ICRC)は、「IHLの適用は、戦争行為を正当化するのではなく、制約するためのものである」と明確に述べている[7]。
重要な区別:
| 状況 | 適用法 | 交戦権の有無 |
|---|---|---|
| 武力紛争中 | IHL(ジュネーブ条約等) | あり(ただし文民保護義務あり) |
| 平時 | 主権・不干渉原則 | なし |
Knownsec事件の活動は平時に実施されており、IHLの適用はない。したがって「サイバー作戦」というラベルは、法的正当化にはならない。
3.4 国内授権と国際違法性の二層構造
以下の図式が成立する:
【中国の論理】
国内法(国家安全保護法等)
↓ 授権
企業(Knownsec)のサイバー活動
↓ 結論
「合法的作戦」
【国際法の評価】
企業のサイバー活動(越境)
↓ 評価基準
相手国主権・不干渉原則・タリン2.0
↓ 結論
「主権侵害・不干渉違反」(国際違法)
国内授権は、国内刑法上の免責(中国国内で訴追されない)の根拠にはなり得るが、国際法上の違法性評価には影響しない。これは、法の階層性(国際法 > 国内法)の帰結である。
4. 実務的帰結: G7の起訴・制裁という「執行」
4.1 帰属特定と公開
中国の「合法作戦」主張に対し、米国・英国・EU・G7は以下の実務的対応を取っている。
4.1.1 APT31事件(2024年3月)
米司法省(DOJ): 中国国家安全省(MSS)系のAPT31グループの7名を、米国議員・企業・市民への不正アクセス等で起訴[8]。
英国: APT31関連の企業・個人に制裁を実施。英国家サイバーセキュリティセンター(NCSC)は、英議会議員が標的化された技術的証拠を公表[9]。
米財務省: 外国資産管理局(OFAC)により、APT31関連企業・個人を制裁対象に指定[10]。
4.1.2 G7の共同声明
アプリア首脳コミュニケ(2024年6月)[11]:
「我々は、中国発の悪性(malicious)サイバー活動に対する無力化(disrupt)と抑止(deter)の努力を継続する。」
カプリ外相コミュニケ(2024年4月)[12]:
「悪性サイバー活動に対する説明責任(accountability)を強化する。」
4.2 制裁・起訴の法的根拠
西側諸国は、以下の法的枠組みで執行している:
| 国/地域 | 法的根拠 | 措置内容 |
|---|---|---|
| 米国 | 18 USC §1030 (コンピュータ詐欺・濫用防止法) IEEPA (国際緊急経済権限法) |
刑事起訴 資産凍結・渡航禁止 |
| 英国 | Computer Misuse Act 1990 Sanctions and Anti-Money Laundering Act 2018 |
刑事訴追 制裁(資産凍結等) |
| EU | EU Decision 2019/797 (サイバー制裁枠組み)[13] | 渡航禁止・資産凍結 |
4.3 「合法作戦」主張の国際的不承認
重要な点は、G7のいずれも中国の「国内授権=国際合法」主張を承認していないことである。各国の声明は一貫して以下を述べる:
- 帰属特定: 技術的証拠に基づき、中国政府・軍・MSS等への帰属を公開
- 違法性認定: "malicious cyber activity"(悪性サイバー活動)と明示
- 執行措置: 刑事訴追・制裁により「コスト賦課(impose costs)」
この実務的対応は、国際法の「執行(enforcement)」を通じた規範形成の試みと評価できる。国際刑事裁判所のような中央集権的執行機関が存在しないサイバー空間において、個別国家・同盟による執行が規範の実効性を担保している。
5. 授権型サイバー活動の法的主張と国際的反論・実務帰結(対照表)
以下は、中国の主張・国際法の反論・実務帰結を一覧化した図表である[14]:
| ①中国側の主張(要旨) | ②国際法上の反論(基準/論点) | ③実務帰結(制裁・起訴・声明) |
|---|---|---|
|
サイバー主権: 主権・安全・発展利益を最上位。サイバー空間にも主権適用、秩序ある情報流通を確保すべき。 出典: 2017年「国際サイバー空間協力戦略」/GSI文書等 |
既存国際法はサイバー空間にも適用。平時でも主権侵害・不干渉違反が成立し得る(タリン2.0の整理)。 出典: UN GGE 2021報告/タリン・マニュアル2.0 |
G7/英米は「悪性サイバー活動」と認定し非難・制裁・起訴へ(APT31等)。 出典: 米DOJ起訴(2024/3)/英NCSC・英政府声明/米財務省制裁 |
|
法執行フレーミング: 国内法に基づく取締・監視の延長で正当、自国法秩序の維持。 出典: MFA関連公表・白書群 |
越境すれば他国の管轄・主権を侵害。国内授権は国際違法性の阻却にならない。OEWG合意も国際法適用を再確認。 出典: UN GGE/OEWG文書 |
被害国は国内刑法・制裁枠組で執行(起訴・資産凍結)、同盟帰属を公表。 出典: 米・英の同時発表(2024/3) |
|
自己防衛/必要性: 重要利益が脅威に曝される際の対抗措置としての作戦能力強化。 出典: 国防・安全保障イニシアチブ文書 |
武力行使/自衛の要件を満たさない平時の諜報・窃取は正当化困難。IHLは"適用されるときは制約するが、戦争の正当化ではない"。 出典: タリン2.0、ICRC見解 |
平時活動はスパイ・不正アクセス扱いで法執行/制裁へ。 出典: 米DOJ起訴・各国声明 |
|
規範創設(ノーム・シェーピング): SCO「情報安全行動規範」やGDSIで"覇権的技術介入の抑制"を国際規範化。 出典: GDSI全文/SCO規範草案・更新 |
西側はUN 11規範の実装と主権・不干渉・デューディリジェンスの解釈を基準化。SCO案は表現の自由や越境監督濫用の懸念が指摘。 出典: UN 11規範実装資料・各種解説 |
直近の多国間運用はUN合意+各国制裁レジームが主流。中国提案は影響力を持つが"合法性の包括承認"には未到達。 出典: 英米制裁・共同公表の運用 |
使い方の示唆
事案を評価する際の判定順序:
- 越境性: 相手国主権下の資産へのアクセスの有無
- 目的: 防御的監視か、窃取・影響工作か
- 法的根拠: 国連安保理決議・自衛権・相手国同意の有無
- 被害国の執行: 帰属特定・制裁・起訴の有無
国際法上の外向き正当化が欠ける場合、「国内授権=国際合法」の主張は維持困難となる。
6. 技術者・法務担当者への示唆
6.1 サプライチェーンリスクの現実
Knownsec事件は、サイバーセキュリティ製品自体が攻撃の起点となり得ることを実証した。技術者・法務担当者は以下を考慮すべきである。
6.1.1 デュアルユース技術の評価
| 技術/製品 | 正当な用途 | 悪用の可能性 | リスク評価 |
|---|---|---|---|
| 脆弱性スキャナ | 自社システムの脆弱性診断 | 外国システムの偵察・攻撃標的選定 | 高 |
| ログ監視ツール | セキュリティ監視 | 顧客情報の窃取・転送 | 高 |
| クラウド管理コンソール | システム管理 | バックドアアクセス | 中〜高 |
推奨事項:
- ベンダーのデュアルユース技術使用に関する透明性評価
- 製品のソースコード監査(可能な場合)
- ゼロトラスト原則の適用(ベンダーを含む全てのアクセスを検証)
6.1.2 地政学的リスクの統合
従来のセキュリティリスク評価に、地政学的リスクを統合する必要がある:
技術リスク評価 =
脆弱性リスク +
実装リスク +
サプライチェーンリスク +
地政学リスク ← 新たに追加
地政学リスクの評価項目:
- ベンダーの所在国と自社の地政学的関係
- ベンダーの国家安全法令への服従義務
- 製品の「民軍融合」プログラムへの関与可能性
- 制裁対象リスト(米OFAC、EUリスト等)への掲載
6.2 法務部門の対応
6.2.1 契約条項の見直し
サイバーセキュリティ製品・サービスの契約に、以下を追加すべきである:
- データ主権条項: 顧客データの保管場所・アクセス権限の制限
- バックドア禁止条項: ベンダーによる無許可アクセスの禁止
- 監査権: 定期的なセキュリティ監査の実施権
- 国家要請への対応: ベンダーが国家機関から顧客データ提供要請を受けた場合の通知義務
6.2.2 コンプライアンス体制
以下の国際的制裁・規制への対応体制を整備:
- 米国: OFAC制裁リスト、Export Administration Regulations (EAR)
- EU: EU制裁リスト、Dual-Use Regulation
- 日本: 外為法(外国為替及び外国貿易法)、不正競争防止法(営業秘密侵害)
6.3 組織的対応策
6.3.1 脅威インテリジェンス共有
業界団体・ISAC(Information Sharing and Analysis Centers)への参加により:
- Knownsec関連のIOC(Indicators of Compromise)の共有
- 類似事案の早期警戒
- ベストプラクティスの共有
6.3.2 インシデント対応計画
「信頼されたベンダーが実は攻撃者だった」シナリオを含むインシデント対応計画の策定:
- 検知: 異常なベンダーアクセスの監視
- 封じ込め: ベンダーアクセスの即時遮断手順
- 根絶: ベンダー提供コンポーネントの全面検査
- 復旧: 代替ベンダーへの移行計画
- 事後対応: 法執行機関・規制当局への報告
7. 結論
7.1 核心的矛盾の不可解消性
本稿の分析により、以下の構造的矛盾が明らかになった:
中国の主張: 「中国法で授権されたサイバー活動は合法である」
国際法の原則: 「国内法は国際義務違反の弁明にならない(VCLT第27条)」
この矛盾は論理的に解消不可能である。中国は、以下の多層的戦略により自国の主張を推進している:
- 法理論レイヤー: サイバー主権・国内授権による正当化
- 実力行使レイヤー: 経済力・技術力による既成事実の積み重ね
- 規範競争レイヤー: SCO・GDSI等による対抗規範の提唱
- 否認レイヤー: 民間企業を隠れ蓑とした帰属回避
しかし、西側諸国は以下の実務的執行により対抗規範を形成している:
- 帰属特定の公開: 技術的証拠に基づく国家帰属の明示
- 刑事訴追: 個人・企業への起訴
- 経済制裁: 資産凍結・渡航禁止
- 同盟協調: G7共同声明による継続的圧力
7.2 規範競争の現状
現在のサイバー空間は、「UN GGE/OEWG合意」と「中国提唱規範(SCO/GDSI)」の規範競争状態にある。
| 規範体系 | 支持国 | 核心価値 | 執行メカニズム |
|---|---|---|---|
| UN GGE/OEWG | 米・EU・日本等 | 主権平等、不干渉、人権 | 個別国家による刑事訴追・制裁 |
| SCO/GDSI | 中国・ロシア等 | サイバー主権、情報統制 | 国家間協力(実効性は限定的) |
Knownsec事件は、中国提唱規範の信頼性を大きく損なう結果となった。「民間企業の裏で国家が攻撃作戦を実施している」実態の暴露は、中国のサイバー規範提唱に対する国際的懐疑を深めた。
7.3 技術者・法務担当者への最終メッセージ
サイバーセキュリティは、もはや単なる技術問題ではなく、地政学的・法的リスクを内包した複合的課題である。
技術者は、実装する技術のデュアルユース可能性とサプライチェーンリスクを常に意識すべきである。
法務担当者は、国際法の基本原則(国内法 < 国際法)と、各国の制裁枠組みを理解し、契約・コンプライアンス体制を整備すべきである。
組織全体として、「信頼されたベンダーが攻撃者となり得る」シナリオを含むインシデント対応計画を策定し、継続的に更新すべきである。
Knownsec事件は、理論上の可能性が現実となった事例である。同様の事態は、今後も繰り返される可能性が高い。本稿の分析が、実務家の皆様の対応策策定の一助となれば幸いである。
参考文献
[1] Botcrawl, "Knownsec Data Breach Exposes State-Level Cyber Weapons and Global Target Lists," 2025. https://botcrawl.com/knownsec-data-breach-exposes-state-level-cyber-weapons-and-global-target-lists/
[2] Xinhua, "International Strategy of Cooperation on Cyberspace," 2017. https://www.xinhuanet.com/english/china/2017-03/01/c_136094371.htm
[3] Dig Watch, "International Code of Conduct for Information Security (Updated Proposal)," 2015. https://dig.watch/resource/international-code-conduct-information-security-updated-proposal
[4] China State Council, "Global Initiative on Data Security," 2020. https://english.www.gov.cn/news/topnews/202009/08/content_WS5f573805c6d0f7257693bb01.html
[5] Digital Watch Observatory, "UN GGE Report 2021." https://dig.watch/wp-content/uploads/2022/08/UN-GGE-Report-2021.pdf
[6] M. N. Schmitt (ed.), "Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations," Cambridge University Press, 2017. https://ccdcoe.org/research/tallinn-manual/
[7] ICRC, "Towards common understandings: the application of established IHL principles to cyber operations," 2023. https://blogs.icrc.org/law-and-policy/2023/03/07/towards-common-understandings-the-application-of-established-ihl-principles-to-cyber-operations/
[8] U.S. Department of Justice, "Seven Hackers Associated with Chinese Government Charged," March 25, 2024. https://www.justice.gov/archives/opa/pr/seven-hackers-associated-chinese-government-charged-computer-intrusions-targeting-perceived
[9] UK NCSC, "China state-affiliated actors target UK democratic institutions and parliamentarians," 2024. https://www.ncsc.gov.uk/news/china-state-affiliated-actors-target-uk-democratic-institutions-parliamentarians
[10] U.S. Department of the Treasury, "Treasury Sanctions China-Linked Hackers," March 25, 2024. https://home.treasury.gov/news/press-releases/jy2205
[11] G7, "Apulia Leaders' Communiqué," June 2024. https://www.consilium.europa.eu/media/fttjqncg/apulia-g7-leaders-communique.pdf
[12] 日本外務省, "G7外相コミュニケ(カプリ)," 2024年4月. https://www.mofa.go.jp/files/100657557.pdf
[13] European Union, "Council Decision (CFSP) 2019/797," 2019. https://eur-lex.europa.eu/eli/dec/2019/797/oj/eng
[14] 本図表は、ChatGPT/Claudeとの議論において作成された対照表(2025年11月)に基づく。
執筆日: 2025年11月
執筆者: 清風情報工科学院 AI研究所 所長 平岡憲人
専門分野: 国際教育・サイバーセキュリティ政策・憲法
謝辞: 本稿の作成にあたり、AI(Claude/ChatGPT)との対話を通じた論点整理を活用した。