知道創宇(Knownsec)データ漏洩事件 - 中国国家支援サイバースパイ活動の全容解明

作成日: 2025年11月
分析対象: 中国サイバーセキュリティ企業・知道創宇の大規模データ漏洩事件

---

📋 目次

1. エグゼクティブサマリー
2. 事件の概要
3. 知道創宇について
4. 漏洩データの詳細分析
5. グローバル標的リスト「関基目標庫」
6. 中国政府・公安部との関係
7. グローバルな影響と意義
8. 推奨される対策
9. 結論
10. 情報源

---

エグゼクティブサマリー

2025年11月初旬、中国政府と密接な関係を持つ大手サイバーセキュリティ企業・知道創宇(Knownsec)から12,000件以上の機密文書が流出しました。この漏洩は、中国の技術セクターから発生した最も深刻なサイバーセキュリティ事件の一つであり、国家レベルのサイバー兵器、グローバル監視インフラ、外国標的リストの全容を暴露しました。

主要発見事項:

• 3.8億以上のIPアドレスと24,000以上の機関を標的化
• 26か国・地域にわたるグローバル監視ネットワーク
• GhostXフレームワークなどの高度な攻撃ツール群
• 日本、インド、ベトナム、台湾などへの詳細な標的化証拠
• テラバイト規模の外国データ窃取の証拠

この事件は、民間サイバーセキュリティ企業が防御者と攻撃者の両方の役割を果たす実態を明らかにし、中国の国家支援サイバースパイ活動の構造的理解における転換点となりました。

---

事件の概要

基本情報

項目	詳細
発生日	2025年11月2日(報道日)
漏洩規模	12,000件以上の機密文書
初期公開場所	GitHub(後に削除、現在ダークウェブで販売中)
影響範囲	グローバル - 26か国・地域
データ種類	サイバー兵器、標的リスト、内部ツール、窃取データ

漏洩の経緯

1. 2025年11月初旬: ハッカーが知道創宇のシステムに侵入し、12,000件以上の機密文書を窃取
2. GitHub公開: 漏洩データの一部がGitHubに投稿される
3. 迅速な削除: GitHubが利用規約違反として削除
4. 広範な拡散: サイバーセキュリティ研究コミュニティに既に拡散
5. ダークウェブへ移行: 完全なデータセットがダークウェブで販売中

この漏洩は、防衛関連企業の機密兵器設計図が盗まれて公開販売されることに匹敵する国家安全保障上の大失敗と評価されています。

---

知道創宇について

企業プロフィール

正式名称: 知道創宇信息技術有限公司(Knownsec Information Technology Co., Ltd.)

項目	詳細
設立	2007年8月
主要投資	2015年テンセントから戦略的投資
従業員数	900名以上(漏洩時点)
事業範囲	全国規模で複数のオフィスと支社
業界地位	中国最大級のサイバーセキュリティベンダー

企業の位置づけ

知道創宇は、中国で早期にクラウド監視とクラウド防御の概念を提唱したネットワークセキュリティ企業の一つです。公式には「サイバーセキュリティイノベーター」として位置づけられていますが、漏洩文書は、同社が防御者とデジタル偵察提供者の両方として機能していたことを示しています。

主要顧客

政府機関:

• 公安部
• 国務院中央政府調達ネットワーク
• 工信部(工業情報化部)
• CNCERT/CC(国家インターネット緊急対応センター)
• CCERT

金融機関:

• 中国人民銀行
• CFCA(中国金融認証センター)
• 中国証券登記決済(CSDC)
• 中信集団

インフラ・通信:

• 国家電網(国家電力網)
• 中国移動通信
• 中国電信

教育機関:

• 清華大学
• 北京大学

主要製品・サービス

1. ZoomEye - グローバルインターネット資産検索エンジン
2. GhostX - 統合攻撃フレームワーク
3. 創宇盾 - セキュリティ防御製品
4. 創宇雷達 - 監視・偵察ツール
5. WSL サイバーレンジ - トレーニング環境
6. 態勢感知平台 - 脅威検知プラットフォーム

---

漏洩データの詳細分析

1. GhostXフレームワーク - 統合攻撃プラットフォーム

GhostXは、知道創宇が開発したモジュール式攻撃システムの統合フレームワークです。

主要機能

機能	説明
密碼攻撃	パスワード総当たり攻撃、辞書攻撃
挂馬攻撃	マルウェア配布、ドライブバイダウンロード
在線攻撃	リアルタイムシステム侵入
郵件転発設置	メール転送・傍受設定
信息刺探	情報収集・スパイ活動
COOKIE攻撃	セッションハイジャック、認証情報窃取

Un-Mailシステム - 高度なメール傍受ツール

技術仕様:

• 攻撃手法: XSS(クロスサイトスクリプティング)技術を利用
• 収集対象: ログイン情報、通信ログ、メールボックス全データ
• 対応プロトコル: IMAP、POP3、Webメール
• 特殊機能:
  • リアルタイムキーワードフィルタリング
  • メッセージ自動転送
  • 24時間継続的なステルス収集
  • メールボックス状態の無変更収集

対応メールサービス(数十種類):

• 国際: Gmail、AOL、Yahoo!
• 中国: 163.com、126.com、QQメール、新浪メール、中国移動メールなど

運用特性:

• 既知のアカウント/パスワード、Cookie情報がある場合、完全な無痕跡収集が可能
• ターゲット対象の地理的位置の制限を受けない
• メール状態を変更しない

2. Windowsトロイの木馬 - リモートコントロールシステム

技術仕様

対応OS: Windows NT カーネル(Windows 2000以降)

主要機能(10以上):

1. ファイルブラウズ
2. プロセス管理
3. 画面監視(リアルタイムスクリーンキャプチャ)
4. キーボード記録(キーロガー)
5. パスワード抽出
6. オフライン操作
7. オンライン/オフラインバインディング
8. リモートコマンド実行
9. ファイルアップロード/ダウンロード
10. システム情報収集

回避能力(極めて高度)

アンチウイルス回避:

• 360、Avira(小紅傘)を含む40以上の主流アンチウイルスソフトウェアの検出を回避
• Kasperskyを含む複数の能動的防御ソフトウェアを回避

システム保護回避:

• 各種主流ファイアウォールを突破
• SAFプロキシファイアウォールも突破可能
• UAC(ユーザーアカウント制御)を真正に回避

通信プロトコル:

• UDP、DNSプロトコル通信をカスタマイズ可能
• DNSおよびUDPベースのコールバックチャネル

サービス期間: 1年間

3. Wi-Fi攻撃ツール - ネットワーク侵入システム

KRACK攻撃(Key Reinstallation Attack)

悪用する脆弱性:

• CVE-2017-13077: 4ウェイハンドシェイクでのペアワイズ鍵(PTK-TK)の再インストール
• CVE-2017-13078〜13088: 各種ハンドシェイクプロセスの脆弱性

攻撃フロー:

1. 偽装アクセスポイント(偽AP)の設置
2. 正常な通信の傍受
3. 開始攻撃
4. CSA Beacon pairs送信
5. Deauth/Disassociation攻撃
6. 四方向ハンドシェイクの操作
7. 暗号化PTKの入手
8. 攻撃成功

その他のWi-Fi攻撃手法

APターゲット攻撃:

• PIN爆破(PIN総当たり攻撃)
• 洪水攻撃(フラッド攻撃)
• 雲端解密(クラウド解読)
• 密碼解密(パスワード解読)
• WiFi万能鑰匙(WiFiマスターキー)
• 内網ARP欺騙(内部ネットワークARP詐欺)
• MITM攻撃(中間者攻撃)
• DNS欺騙(DNSスプーフィング)
• Krack攻撃
• ルーターバックドアと0day悪用

クライアントターゲット攻撃:

• Karma攻撃(MACアドレス、特徴情報の傍受)
• ARP欺騙による流量劫持(トラフィックハイジャック)
• MITM攻撃(DNS欺騙、フィッシング、隔馬)
• WiFi 0day悪用

4. ZoomEye - グローバルサイバーマッピングエンジン

技術能力

項目	詳細
スキャン範囲	全IPv4アドレス空間(42億アドレス)完全カバー
スキャン速度	7〜10日で全IPv4空間を巡回
識別能力	10,000以上のコンポーネント指紋を正確に識別
探査速度	3秒以内の精密探査
IPv4巡回率	2〜10%で全IPv4アドレス空間を遍歴

軍事部門での配置

組織図によると、ZoomEyeは**「軍工産品部ZoomEye組」**として軍事産業製品ライン内に配置されています。これは、商用製品が軍事目的で直接運用されていたことを示す決定的な証拠です。

「関基目標庫」との統合

ZoomEyeのデータを「重要インフラ標的ライブラリ(関基目標庫)」と組み合わせることで:

1. IPアドレスの所属機関を迅速に特定
2. 重要組織のネットワーク資産を優先選別
3. 標的型攻撃の効率化

実用例:

• ある商社のVPN設備が1day脆弱性を持つ場合
• ZoomEyeで100,000個のVPN設備を検索
• 「関基目標庫」で重要組織に属する設備を特定
• 優先的に攻撃対象として選定

---

グローバル標的リスト「関基目標庫」

概要

「関基目標庫(重要インフラ標的ライブラリ)」は、知道創宇が構築したグローバル重要インフラのマッピングデータベースです。この文書(関基目標库说明文档_V202309.pdf)は、同社が外国の重要インフラをどのように追跡・標的化しているかを詳細に説明しています。

統計データ(2023年9月12日時点)

カバー範囲

対象国・地域(26か国):

アジア:

• 中国大陸、中国台湾、中国香港、中国澳門
• 日本、韓国
• インド、パキスタン、バングラデシュ
• ベトナム、インドネシア、シンガポール、タイ、マレーシア、フィリピン、ミャンマー、ブルネイ

オセアニア:

• オーストラリア、ニュージーランド

欧米:

• 米国、英国、カナダ
• ロシア、ウクライナ、ポーランド

その他:

• グアム、モンゴル

数値統計

項目	数値
追跡機関総数	24,241機関
特定IPアドレス総数	378,942,040(約3.8億)
特定ドメイン総数	3,482,468(約348万)

標的業界

備考に明記された重要インフラセクター:

• 軍事
• 軍事工業
• 政府
• 政党
• エネルギー
• 交通
• 電信
• 放送テレビ
• 金融
• 水利
• 医療(衛生医療)
• メディア
• 教育

インドの詳細データ

業界別統計

業界	機関数	IPアドレス数	ドメイン数
軍事工業	15	1,448	189
政府	142	5,979	10,554
政党	53	113	587
エネルギー	63	24,062	1,713
交通	48	3,507	842
電信	31	3,026	3,594
放送テレビ	1	2	4
金融	67	20,250	2,274
水利	12	27	48
医療	56	384	1,178
メディア	54	3,674	2,323
教育	52	728	1,857

合計: インドだけで500以上の重要機関が標的化されています。

インドの重要インフラ資産

漏洩文書には、インドの以下のような詳細情報が含まれています:

• 金融機関のネットワーク構成
• 軍事産業施設のデジタル資産
• 政党のインフラ情報
• 電力網の脆弱性情報

台湾の詳細データ

重要インフラ機関のネットワーク資産例

漏洩した表には、数十の台湾の重要機関のネットワークインフラ情報が詳細にリスト化されています:

含まれる情報:

• 機関名称(銀行、電力会社、政府機関など)
• 組織名
• 業界分類
• IPアドレス
• ポート情報
• 技術詳細(Fortinet FortiGate、Check Point、Sophos等のファイアウォール製品情報)
• デバイスタイプ(firewall等)

例:

• 国泰人寿保険有限公司 - 金融 - FortiGate 50B/60C/80C firewall
• 中華電信股份有限公司 - 電信 - Sophos XG Firewall
• 華南商業銀行有限公司 - 金融 - Check Point SVN foundation
• 台湾電力公司 - 政府/エネルギー - 複数のファイアウォール

この情報により、特定の脆弱性を持つデバイスを瞬時に特定し、標的型攻撃を実行できます。

データ収集の実態

既知の大規模データ窃取

標的国	データ種類	データ量
インド	移民記録	95GB
韓国	LG U Plus通話記録	3TB
台湾	道路計画データ	459GB

データベースファイルの例

漏洩したHiveディレクトリには以下のようなデータベースが含まれています:

LinkedIn収集データ:

/user/hive/warehouse/temp.db/linkedin_brazil
/user/hive/warehouse/temp.db/linkedin_brazil_202305
/user/hive/warehouse/temp.db/linkedin_southafrica_202305
/user/hive/warehouse/temp.db/linkedin_json

国別データ:

/user/hive/warehouse/temp.db/o_data_rovalenfied_india
/user/hive/warehouse/temp.db/o_data_telecom_info_india
/user/hive/warehouse/temp.db/o_data_shopping_order_vietnam
/user/hive/warehouse/temp.db/o_data_shopping_vip_vietnam
/user/hive/warehouse/temp.db/o_data_skolkovo (ロシア)

通信・ソーシャルメディアデータ:

/user/hive/warehouse/temp.db/o_data_telegram_data
/user/hive/warehouse/temp.db/o_data_telegram_user_info
/user/hive/warehouse/temp.db/taiwanyahooemailpwd_tw

中国国内データ:
数百の中国ウェブサイトから収集された個人情報データベース:

• p_chinesebidding_com_cn: 254,928件
• p_xinbaopeizi_com: 250,862件
• o_data_pre_commom_member_archive: 149,183件

含まれるフィールド:

• all_data, password, data_id, batch_id, source, email, username
• 一部には: id_card, mobile, real_name, sex なども含む

データの用途

文書内で説明されている用途:

1. IPアドレスの所属機関把握

   • 大量のIPアドレスから重要組織に属するIPを迅速に選別
   • 次の業務工作を効率的に展開

2. 機関のネットワーク資産暴露面の把握

   • 組織のインターネット上の資産暴露面を特定
   • ネットワーク資産データを収集
   • 脆弱性スキャンと組み合わせて次の業務工作を実施

---

中国政府・公安部との関係

組織的連携の証拠

知道創宇は中国の法執行機関および軍事エコシステムと密接に連携していることが、複数の漏洩文書から明らかになっています。

公安部の組織構造と知道創宇の役割

1. 指揮センター

機能:

• 県(市、区)以上一級公安機関の総合指揮部門
• 接警処警、情報研判、決策参謀、指揮調度を担当
• 迅速な対応と統合作戦を実現

構成要素:

• 110報警服務台: 24時間体制で接警員が値守、公民の通報を随時受理
• 応急指揮室(首長指揮室)
• 参謀室
• 計算機房

知道創宇の提供サービス:

• デジタル指揮センターの構築
• 大データ警務プラットフォーム(合成作戦プラットフォーム)

2. 信通局(情報化通信局) - 23局

主要業務:

• 内外網専用ネットワーク建設
• 公安網等級保護建設
• 大データ製品

知道創宇の製品:

• 創宇盾
• 大データ産品
• 各種ネットワークインフラ

3. 網監局(ネットワークセキュリティ保衛局) - 11局

管理支隊:

• 態勢感知プラットフォーム
• 安全検査
• 通報(創宇盾との協力)

特偵支隊(特別捜査支隊):

特偵の主要業務は、ウェブサイトへの攻撃、防護、監視等です。

知道創宇の提供ツール:

• ネットワーク攻防プラットフォーム
• 特偵公工具(GhostXフレームワークを含む)
• 雷達(レーダー)
• gx(GhostXの略称)
• 小工具

訓練実績:

• 江蘇省公安庁での訓練
• 浙江省公安庁雷達プロジェクト

情報分析:

• 追跡難度が高く、大量の人材・物資を投入
• 未来の公安ネットワークセキュリティ業務発展の趨勢

知道創宇の「ビジネスチャンス」

漏洩した組織図には、知道創宇が「機会(opportunities)」を見出している公安部の各部門が明示されています:

提供サービス:

• インターネット監視
• 指揮センター構築
• ビッグデータ分析プラットフォーム
• 各部門向けのネットワーク構築
• 公安局の専用ネットワーク建設

知道創宇インターネット安全生態体系

漏洩文書には、知道創宇の製品エコシステムを示す図が含まれています:

3つのカバー範囲:

1. 態勢感知平台覆蓋範囲(脅威検知プラットフォーム範囲)

   • 創宇雷達
   • ZoomEye
   • 創宇雲図
   • 超級安全体検
   • 浸透測試

2. 雲安全平台覆蓋範囲(クラウドセキュリティプラットフォーム範囲)

   • 抗D保(DDoS対策)
   • 創宇盾
   • 云監控
   • 雲服務ESC
   • 夏浴剣

3. 互聯網信任体系覆蓋範囲(インターネット信頼体系範囲)

   • 安全聯盟
   • PPB品牌宝
   • 企業&個人驗真

開発・研究コンポーネント:

• Seebug(脆弱性データベース)
• WSL漏洞靶場(脆弱性演習場)
• 404Team(研究チーム)

---

グローバルな影響と意義

1. 高度なサイバー兵器の拡散

脅威の性質

12,000件の漏洩文書には、以下が含まれています:

• 国家開発のマルウェア
• ゼロデイエクスプロイト
• C&C(Command and Control)システム
• 攻撃フレームワークのソースコード

予想される影響

これらのツールが販売され、分析されると:

1. 敵対国家による複製と再利用

   • 技術の逆解析
   • 自国のサイバー兵器への統合
   • 改良版の開発

2. 洗練された犯罪グループへの拡散

   • ダークウェブでの販売
   • ランサムウェアへの統合
   • 標的型攻撃への利用

3. 世界規模での新たなサイバー攻撃の波

   • 以前は未知だったエクスプロイトの悪用
   • 重要インフラへの攻撃
   • 企業・政府への大規模侵入

2. 中国の国家作戦の暴露

戦略的意義

この漏洩は、中国のサイバースパイ活動の構造と優先順位を前例のないレベルで暴露しました。

暴露された情報:

1. 標的化の明確な証拠

   • 日本、ベトナム、インドなど26か国を名指し
   • 特定のセクターと組織への標的化
   • 詳細なネットワーク資産情報

2. 作戦手法の詳細

   • データ収集方法
   • 侵入技術
   • 持続的アクセスの維持方法

3. 民間企業と軍事の統合

   • 商用セキュリティ企業が国家作戦を直接支援
   • 「防御」製品が「攻撃」目的でも使用
   • 政府契約の実態

中国にとっての影響

これは中国国家安全部(MSS)にとって壊滅的な情報漏洩を意味します:

• 何年にもわたる情報作戦が危険に晒される
• 外国標的に対する手法が明らかになる
• 防諜活動の強化が必要になる

3. サプライチェーンリスク

潜在的な侵害経路

知道創宇は中国内外の数千の組織にサイバーセキュリティサービスを提供しています。攻撃者が完全な管理者アクセスを得た場合:

1. ソフトウェア更新メカニズムの悪用

   • SolarWinds攻撃と同様の手法
   • 正規の更新を装ったマルウェア配布
   • クライアント組織の大規模侵害

2. ネットワークリンクの悪用

   • 監視・管理用のバックドアアクセス
   • クライアントネットワークへの直接侵入
   • 横展開による被害拡大

3. クラウドサービスの侵害

   • 共有インフラの悪用
   • 複数クライアントへの同時攻撃
   • データ窃取の大規模化

グローバルな影響

潜在的被害組織:

• 知道創宇のクライアント企業
• ZoomEye APIを使用する組織
• 知道創宇製品を導入した組織
• 中国のサイバーセキュリティエコシステムに依存する企業

4. 地政学的緊張の激化

報復的サイバー作戦の可能性

データに外国標的への言及が含まれているため、以下の可能性が高まっています:

1. 標的国による防諜調査

   • 日本、ベトナム、インドによる徹底的な調査
   • 既存の侵害の検出と除去
   • 将来の攻撃への備え

2. 報復的サイバー作戦

   • 外交的対応だけでなく、サイバー空間での報復
   • 中国の重要インフラへの調査
   • 対抗的な情報収集活動

3. 国際的な非難と制裁

   • 国連などの国際機関での議題化
   • 経済制裁の可能性
   • サイバー規範に関する議論の加速

アジア地域の安全保障

この漏洩は、アジア太平洋地域のサイバーセキュリティ環境を根本的に変える可能性があります:

• 中国に対する警戒感の強化
• サイバー防衛協力の深化
• 新たな同盟関係の形成

---

推奨される対策

日本政府および関連機関向け

1. 緊急対応(即時実施)

国家レベルの脅威ハンティング:

• 知道創宇の既知のツールとマルウェアファミリーに焦点を当てた全国的サイバー脅威ハンティング作戦
• GhostXフレームワーク、Un-Mail、Windowsトロイの木馬のシグネチャ検出
• ネットワークトラフィックの異常パターン分析

重要インフラの緊急点検:

• 政府機関のネットワーク監査
• 防衛関連施設のセキュリティ評価
• 金融機関のシステム点検
• エネルギーインフラの脆弱性調査
• 通信事業者のネットワーク検査

2. 中期対策(3〜6ヶ月)

情報収集と分析:

• 漏洩データセットの入手または購入
• 日本の機関への事前標的化の証拠分析
• 既存侵害の有無の徹底調査

システム強化:

• ゼロトラストアーキテクチャの導入
• 多要素認証の全面実施
• ネットワーク セグメンテーションの強化
• 侵入検知システムの高度化

人材育成:

• サイバーセキュリティ専門家の緊急育成
• 脅威インテリジェンス分析能力の強化
• インシデント対応チームの拡充

3. 長期戦略(1年以上)

国際協力の強化:

• 日米サイバー防衛協力の深化
• インド、ベトナムなど標的国との情報共有
• 多国間サイバーセキュリティ枠組みの構築

法制度の整備:

• サイバー攻撃に対する抑止力強化
• 重要インフラ保護法の改正
• サイバー防衛予算の大幅増額

ベトナム・インド政府向け

ベトナム特有の対策

既知の侵害への対応:

• ショッピングデータ(o_data_shopping_order_vietnam)の漏洩範囲特定
• VIP顧客データ(o_data_shopping_vip_vietnam)の保護強化
• 電子商取引プラットフォームのセキュリティ監査

インド特有の対策

大規模データ漏洩への対応:

• 95GBの移民記録漏洩の影響評価
• 通信情報(o_data_telecom_info_india)の保護強化
• 金融セクター(67機関、20,250 IP)の緊急監査
• エネルギーセクター(63機関、24,062 IP)の脆弱性調査

台湾向け

特に重要な対策

重要インフラの全面見直し:

• 459GBの道路計画データ漏洩の影響評価
• 銀行、電力会社の詳細なネットワーク資産情報が流出しているため、全システムの再構築を検討
• ファイアウォール設定の総点検
• 既知の脆弱性の緊急パッチ適用

知道創宇のクライアント組織向け

即時実施すべき対策

1. 接続の即時遮断:

   • 知道創宇のクラウドサービスとの全接続を切断
   • API接続の停止
   • 監視システムの切断

2. 全面的な侵害調査:

   • フォレンジック調査の実施
   • 不正なネットワーク活動の検出
   • 知道創宇の更新経由で注入された可能性のあるコードの検査
   • バックドアの有無の確認

3. 認証情報の全面ローテーション:

   • 知道創宇のシステムと共有したすべての認証情報を変更
   • ユーザー名、パスワード、APIトークンの更新
   • 証明書の再発行
   • 暗号鍵の更新

4. 代替ソリューションの検討:

   • 信頼できる他のベンダーへの移行計画
   • 独自のセキュリティソリューションの構築
   • 複数ベンダーによるリスク分散

グローバルなセキュリティ研究者・ベンダー向け

脅威インテリジェンスの強化

1. 新マルウェア株の監視:

   • GhostXフレームワーク派生ツールの検出
   • Un-Mail類似ツールのシグネチャ作成
   • Windowsトロイの木馬亜種の追跡

2. 情報共有の促進:

   • 国家CERT間の情報交換強化
   • ISAC(Information Sharing and Analysis Centers)との協力
   • セキュリティベンダー間のコラボレーション
   • 漏洩データに基づく脅威インテリジェンスの共有

3. 検出能力の向上:

   • 知道創宇関連のIOC(侵害の痕跡)のデータベース構築
   • YARA ルールの作成
   • SIEM ルールの更新
   • エンドポイント検出製品の強化

企業向けベストプラクティス

サプライチェーンセキュリティ

1. ベンダーリスク評価:

   • 中国製セキュリティ製品の使用状況調査
   • サードパーティリスク評価の実施
   • ベンダーのセキュリティ体制の監査

2. ゼロトラスト原則の適用:

   • 「信頼して検証」から「決して信頼せず、常に検証」へ
   • マイクロセグメンテーションの実装
   • 最小権限の原則の徹底

3. 継続的監視:

   • SIEM(Security Information and Event Management)の導入
   • 24時間365日のセキュリティ監視
   • 異常検知システムの高度化

---

結論

事件の歴史的意義

知道創宇のデータ漏洩は、単なる企業のセキュリティ侵害ではなく、地政学的規模の国家安全保障上の大失敗です。この事件は、現代のサイバー諜報史において最も重大な暴露の一つとなりました。

主要な発見事項のまとめ

1. 中国のサイバー兵器庫の全景

この漏洩により、以下が明らかになりました:

• 国家レベルの攻撃ツールの技術詳細
• 高度なマルウェアとエクスプロイトのソースコード
• 統合攻撃フレームワーク(GhostX)の運用方法
• 40以上のアンチウイルスを回避する技術

2. グローバル監視ネットワークの実態

驚異的な規模:

• 26か国・地域をカバー
• 24,241機関を追跡
• 3.8億以上のIPアドレスをマッピング
• 348万のドメインを特定

この「関基目標庫」は、世界で最も包括的な重要インフラマッピングデータベースの一つである可能性があります。

3. 民間企業と軍事の完全な融合

知道創宇の事例は、中国におけるサイバーセキュリティ企業が以下の両方の役割を果たしていることを実証しました:

• 防御者: 商用セキュリティ製品の提供
• 攻撃者: 国家支援のサイバー作戦への直接参加

この「デュアルユース」の実態は、サイバーセキュリティ業界の倫理的境界の曖昧さを浮き彫りにしています。

4. 大規模データ窃取の証拠

テラバイト規模の外国データ窃取:

• インド: 95GBの移民記録
• 韓国: 3TBの通話記録
• 台湾: 459GBの道路計画データ
• LinkedInデータ: ブラジル、南アフリカなど複数国
• Telegramユーザー情報

これは、組織的で長期的なデータ収集作戦が実行されていたことを示しています。

5. 技術的高度性の実証

漏洩文書は、知道創宇のツールが以下の能力を持つことを示しています:

• 全IPv4空間を7〜10日でスキャン
• 10,000以上のコンポーネント指紋を識別
• 24時間継続的なステルスメール収集
• UAC回避を含む高度なトロイの木馬機能
• KRACK攻撃を含む多様なWi-Fi侵入手法

国際社会への影響

サイバーセキュリティパラダイムの転換

この漏洩は、国家と連携した技術企業の見方における転換点を表しています:

1. 信頼の崩壊

   • 中国製セキュリティ製品への信頼性の問題
   • サプライチェーンセキュリティの重要性の再認識
   • ベンダー選択における地政学的考慮の必要性

2. 透明性の欠如

   • 商用製品と軍事利用の境界が不明確
   • デュアルユース技術の規制の必要性
   • 国際的なサイバー規範の策定の緊急性

3. グローバルなサイバー軍拡競争

   • 各国のサイバー防衛予算の増加
   • 攻撃的サイバー能力の開発競争
   • サイバー空間における緊張の高まり

今後の展望

短期的影響(1年以内)

1. 漏洩ツールの悪用

   • ダークウェブでの販売と拡散
   • 犯罪グループによる悪用
   • 新たなサイバー攻撃の波

2. 地政学的緊張

   • 標的国による外交的抗議
   • 報復的サイバー作戦の可能性
   • 国際関係の悪化

3. 中国の対応

   • 国内のサイバーセキュリティ規制の強化
   • 知道創宇への行政処分の可能性
   • 情報統制の強化

中長期的影響(1〜5年)

1. サイバーセキュリティ業界の再編

   • 中国製品からの脱却
   • 信頼できるベンダーへの集約
   • オープンソースソリューションの台頭

2. 国際的なサイバー規範の形成

   • サイバー空間における行動規範の策定
   • 重要インフラへの攻撃の禁止
   • 国際的な執行メカニズムの構築

3. 技術の民主化と分散化

   • 単一ベンダー依存からの脱却
   • 多様なセキュリティエコシステムの構築
   • 国産セキュリティ技術の育成

最終的な教訓

この知道創宇データ漏洩事件から得られる最も重要な教訓は:

1. サイバーセキュリティは国家安全保障の中核

   • もはや技術的な問題だけではない
   • 地政学的・戦略的重要性の認識
   • 国家レベルでの投資と取り組みの必要性

2. サプライチェーンは攻撃の起点

   • 信頼されたベンダーが最大のリスク
   • ゼロトラストの原則の徹底
   • 継続的な監視と検証の重要性

3. 国際協力の不可欠性

   • 単独での対応は不可能
   • 脅威インテリジェンスの共有
   • 多国間協力の枠組み構築

4. 透明性と説明責任の必要性

   • デュアルユース技術の明確な規制
   • サイバーセキュリティ企業の行動規範
   • 国際的な監視メカニズム

結びに

知道創宇のデータ漏洩は、中国の国家支援サイバースパイ活動の構造的理解における転換点となりました。この事件が暴露した情報の深さと広さは、今後数年間にわたってグローバルなサイバーセキュリティ環境を形成し続けるでしょう。

世界各国の政府、企業、研究者は、この事件を深刻に受け止め、サイバーセキュリティ戦略の根本的な見直しを行う必要があります。サイバー空間の安全は、もはや一国だけでは実現できません。国際社会全体が協力し、新たなサイバー規範を構築していくことが求められています。

この漏洩によって明らかになった脅威に対処するためには、技術的対策だけでなく、政治的、外交的、法的なアプローチを統合した包括的な戦略が不可欠です。

---

情報源

主要分析記事

1. Botcrawl - Knownsec Leak Reveals China's Global Cyber Mapping Operations and Surveillance Tools

   • URL: https://botcrawl.com/knownsec-leak-reveals-chinas-global-cyber-mapping-operations-and-surveillance-tools/
   • 概要: GhostXフレームワーク、ZoomEye、LinkedInデータ収集の詳細分析

2. Botcrawl - Knownsec Data Breach Exposes State-Level Cyber Weapons and Global Target Lists

   • URL: https://botcrawl.com/knownsec-data-breach-exposes-state-level-cyber-weapons-and-global-target-lists/
   • 概要: 漏洩の概要、グローバルな影響、推奨対策

3. NetAskari - KnownSec breach: What we know so far

   • URL: https://netaskari.substack.com/p/knownsec-breach-what-we-know-so-far
   • 概要: 流出文書のスクリーンショット分析、ZoomEye、Un-Mail、Windows Trojan、関基目標庫の詳細

4. GitHub - net4people/bbs - Issue #541: Another leak: Knownsec

   • URL: https://github.com/net4people/bbs/issues/541
   • 概要: コミュニティによる初期報告とディスカッション

5. Mrxn's Blog - 知道创宇(Knownsec)大规模数据泄露

   • URL: https://mrxn.net/news/Knownsec-data-leak.html
   • 概要: 中国語での詳細な分析、漏洩データの概要

その他の参考情報源

• CyberSecurityNews: https://cybersecuritynews.com/chinese-cybersecurity-firm-data-breach/
• The Register: https://www.theregister.com/2025/11/09/asia_tech_news_roundup/
• GBHackers: https://gbhackers.com/data-leak/
• CyberPress: https://cyberpress.org/chinese-data-breach/

---

免責事項: 本レポートは公開情報源に基づいて作成されており、分析内容は執筆時点での情報に基づいています。状況は継続的に変化する可能性があります。

作成日: 2025年11月
文書バージョン: 1.0