2026年1月20日、警視庁公安部は、首都圏の工作機械関連会社の営業秘密を漏らした疑いで、同社の元社員(30代)と在日ロシア通商代表部の元職員(30代、ロシア国籍)を不正競争防止法違反(営業秘密開示)の疑いで書類送検したと発表しました。報道によりますと、公安部は先端技術を狙ったスパイ事件の可能性を視野に捜査しているということです。
事件の概要
書類送検容疑は、2024年11月と2025年2月に、元社員が新商品開発に関する情報などを飲食店などで元職員に口頭で伝えた疑いです。元職員はすでに出国し、ロシアに帰国しているとされています。
また、元職員は路上で道を尋ねる名目で接触し、その後、飲食の接待などを通じて関係を深めたと報じられています。接触時に「自分はウクライナ人だ」と国籍を偽ったとの情報もあります。
元社員は見返りとして現金を受け取り、合計で数十万円〜70万円程度に上る可能性があるとされています。
警視庁は、外務省などを通じてロシア大使館側に出頭を要請したとも報じられました。
軍事転用 可能技術を段階的に要求
工作機械分野は、技術の性質上「軍事転用(デュアルユース)」が問題になりやすい領域です。今回の件では、軍事転用可能な技術情報の流出は確認されていないとされる一方、公開情報の範囲から始めて、接待や金銭で関係を作り、徐々に要求水準を引き上げるという手口が繰り返し指摘されています。
SVR(ロシア対外情報局)の概要
SVR(Sluzhba Vneshney Razvedki)は、かつてのソ連国家保安委員会(KGB)の「第1総局」の後継組織であり、ロシアの主要な対外諜報機関です。
主な任務は ロシア国外における政治、経済、科学技術情報の収集、および影響力工作(Active Measures)を担当します。
特徴として軍事情報を専門とするGRU(参謀本部情報総局)が攻撃的・破壊的な活動(暗殺や破壊工作)を行うのに対し、SVRは外交官身分を利用した「リーガル(合法的)」な活動や、身分を偽装して長期潜入する「イリーガル(非合法的)」なスパイ網を駆使し、より洗練された、目立たない形での諜報活動を得意とします。
ラインX(Line X)とは:科学技術情報の窃取部隊
「ラインX(Line X)」とは、KGB時代から使われている用語で、科学技術情報(S&T: Scientific and Technical Intelligence)の収集を担当する部門を指します。現在でもSVRの組織構造内(主に「T総局」と呼ばれる部門)で、その機能は維持・強化されています。
目的は西側の先端技術を盗み出し、ロシアの軍事産業および経済発展に寄与することです。これには、航空宇宙、原子力、暗号技術、AI、量子コンピューティングなどのデュアルユース(軍民両用)技術が含まれます。
手口としては今回の日本企業の手口と同様に外交官や通商代表部員を装ったSVR将校(ラインX担当者)が、ターゲット国の技術者や研究者に接近し、金銭や接待を通じて情報を提供させます
協力関係にあるロシア側の主要機関
米側資料では、ロシアの情報・治安機関は概ね次の役割分担で語られます。
SVR(対外情報庁):国外での情報収集、影響工作、(ケースによって)サイバー面での対外活動
FSB(連邦保安庁):国内治安・防諜が中心(旧KGBの国内部門に相当するとされる説明もあります)
GRU/GU(参謀本部情報総局):軍事情報を所管し、軍事作戦と結びついた情報活動で語られることが多い
実務上は、目的(軍事・外交・経済)に応じて複数機関が並行して動くことがあり、外部からは「競合と協調が混在する構造」とされています。
SVRのサイバー空間での活動
SVRはサイバー空間でも情報窃取、スパイキャンペーンを行っています。
セキュリティ業界では「APT29」「Cozy Bear」「The Dukes」、またはMicrosoftの呼称で「Midnight Blizzard(旧Nobelium)」として知られています。
彼らの最大の特徴は、GRU(ロシア軍参謀本部情報総局)のような「破壊」や「混乱」を目的とした攻撃ではなく、「長期間の潜伏」と「高度な諜報(スパイ活動)」に特化している点です。
関連記事:ロシアのスパイが2024年初めに英国政府のシステムをハッキング データとメールを盗む|不正アクセス 事例
SolarWindsサプライチェーン攻撃(2020年)
SVRの名を世界に轟かせた、史上最大規模のサイバー諜報作戦です。
概要: SVRは米IT管理ソフト大手SolarWinds社のビルドシステムに侵入し、正規のソフトウェアアップデートファイルにバックドア(Sunburst)を混入させました。この汚染されたアップデートは世界中の18,000以上の組織に配布されました。
戦術の特徴: 彼らは感染した全組織を攻撃するのではなく、本当に価値のあるターゲット(米国の財務省、商務省、国土安全保障省、Microsoft、FireEyeなど)を選別し、そこでのみ「第2段階」の攻撃を実行しました。正規の署名済みソフトウェアを隠れ蓑にするサプライチェーン攻撃の極致であり、検知されるまで数ヶ月間、誰にも気づかれずに活動を続けました。
クラウド環境とIDへの執拗な攻撃(Midnight Blizzard)
近年、SVRはオンプレミスのサーバーへの攻撃から、クラウド認証基盤(Microsoft 365 / Azure ADなど)への攻撃へとシフトしています。
概要: 2023年から2024年にかけ、SVRはMicrosoftやHPE(ヒューレット・パッカード・エンタープライズ)の企業メールシステムに侵入しました。彼らは経営幹部やサイバーセキュリティ担当者のメールを盗み見て、自らの活動が露見していないかを監視していました。
戦術の特徴: 高度なマルウェアを使うのではなく、「パスワードスプレー攻撃」(安易なパスワードを使っている古いテスト用アカウントなどを総当たりで突破する)や、**「OAuthトークンの悪用」**を多用します。一度侵入すると、正規の認証トークンを発行したり、MFA(多要素認証)を回避する設定を行ったりして、正規ユーザーになりすましてクラウド内を移動します。
新型コロナウイルスワクチン開発情報の窃取(2020年)
パンデミック下において、SVRは各国の製薬会社や研究所を標的としました。
概要: 英米およびカナダのセキュリティ機関は、APT29がワクチン開発を行う組織に対して攻撃を行ったと共同で告発しました。目的は、西側のワクチン研究データや知的財産を盗み出し、ロシア製ワクチン(スプートニクV)の開発を加速させることにあったと見られています。
戦術の特徴: このキャンペーンでは、「WellMess」や「WellMail」と呼ばれるカスタムマルウェアが使用されました。これらはSVRが独自に開発したツールであり、通信を暗号化して検知を逃れながらデータを外部へ持ち出す機能を持っていました。
外交・政府機関へのフィッシング(GraphicalNeutrino)
SVRは伝統的なフィッシング攻撃や標的型攻撃メールによる潜入も継続して行っていますが、その手口は非常に洗練されています。
概要: 各国の外交官や大使館職員をターゲットに、BMWの販売広告や外交イベントの招待状などを装ったメールを送信します。
戦術の特徴: 彼らはターゲットの興味を引く内容を徹底的に調査(ソーシャルエンジニアリング)します。また、添付ファイルを開かせた後に、正規のサービス(DropboxやGoogle Driveなど)や、正規の通信プロトコルを悪用してC2サーバー(指令サーバー)と通信を行うことで、セキュリティ製品の検知を回避します。
一部参照
ロシア元職員ら書類送検 メーカー機密情報漏洩疑い、スパイ活動か
この記事をシェアする
メールマガジン
最新のセキュリティ情報やセキュリティ対策に関する情報をお届けします。
投稿者:三村
セキュリティ対策Labのダークウェブの調査からセキュリティニュース、セキュリティ対策の執筆まで対応しています。
セキュリティ製品を販売する上場企業でSOC(セキュリティオペレーションセンター)やWebサイトやアプリの脆弱性診断 営業8年、その後一念発起しシステムエンジニアに転職。MDMや人事系のSaaS開発を行う。
WACOCA: People, Life, Style.