中国政府はあらゆる手段を使って盗む
ここで明確にしておきたいのは、中国政府と中国共産党こそが、私たちが対抗しようとしている脅威であることです。中国国民でもなければ、中国政府による弾圧の犠牲者ともいえる、わが国に住む中国系移民でもありません。中国でのビジネス、中国とのビジネスが魅力的であることはわかっています。私は公職に戻る前は12年間、民間において世界有数の企業に助言をする仕事をしていました。FBIでは日々、さまざまな規模の企業と関わっています。中国市場に目を向け、競争力を維持しようとする企業の考え方も理解しているつもりです。しかし、今日皆さんにお伝えしたいのは、賢明なるビジネスパーソンの皆さんが認識している以上に、中国が欧米の企業にとって深刻な脅威だという事実です。その脅威を見極め、それに対処するための計画を立てるには長期的視点が不可欠です。
その脅威とはどのようなものか。
中国政府は貴社の技術を盗むこと、つまり貴社の事業を成り立たせているものが何であれ、それを利用して貴社のビジネスを弱体化させ、市場を支配することを目指しているのです。そして、そのためにあらゆる手段を使おうとしています。例えば、狙った民間企業の情報を諜報員を使って入手しています。諜報機関の動きを支援しているのが協力者の存在です。厳密には中国政府の関係者ではないですが、諜報活動を支援し、リクルートするべき情報源の発見と評価を行い、偽装工作や連絡手段を提供し、さまざまな手段を通じて機密を盗むことを支援しているのが協力者です。
中国の諜報機関、国家安全部(MSS)が持つ数々の地方支局が欧米企業の技術情報を狙った工作を展開しています。狙われている欧米企業は大都市から小さな町にまで至り、企業規模もフォーチュン上位100社からベンチャーまで、所属セクターも航空、AI、製薬などあらゆる分野にわたっています。
中国企業のために働いている協力者がアメリカ国内のある畑に忍び込み、独自に開発した遺伝子組み換え種子を掘り出したのを逮捕したこともあります。この種子は、開発するのに10年近くの期間と、数十億ドルの研究費がかかったものでした。そうした長年の企業努力も、すべての主要国の予算を足した額を大幅に超える資金を使った中国のサイバー攻撃工作にかかったらひとたまりもないのです。
中国政府は、サイバー攻撃を大規模な不正行為や窃盗を行うための有力な手段だと考えています。例えば、昨年の春、マイクロソフト社はExchange Serverソフトウェアにかかわる、これまで知られていなかった脆弱性をいくつか公表しました。中国のハッカーはこの脆弱性を利用して、米国のネットワークに1万以上のバックドアをインストールし、これらのシステム上のデータへの継続的なアクセスを可能にしていました。これは中国政府が脆弱性を悪用した一例に過ぎません。
ここ数年、中国政府の支援を受けたハッカーが、脆弱性を修正するパッチが適用されていないネットワーク機器やインフラへの侵入方法を執拗に探し出そうとしているのを私たちは注視してきました。中国のハッカーは、防御策を回避する戦術を常に進化させています。彼らは、ネットワーク・ディフェンダー(セキュリティ担当者)のアカウントを監視し、検知されないように必要に応じて戦術を変えることすらします。カスタマイズしたハッキング・ツールと、通常のネットワーク環境に存在するツールを組み合わせることで、ネットワークの「ノイズ」や通常のネットワーク環境に紛れ込ませて、自分たちの動きをカムフラージュしています。重要なのはその規模の大きさだけではありません。それらの戦術が効果的でもあることです。
さらに伝統的なサイバー攻撃によるデータ窃取に加えて、彼らはもっと陰湿な手口で表玄関から侵入し、お金を奪おうともしています。中国政府は技術を盗み取ることを目的とする投資や提携を好む傾向があります。中国企業の多くは、中国政府、つまり実質的には中国共産党に支配されています。その所有権は間接的でわかりにくく、対外的に公表されることもありません。そうでない中国企業についても実際は政府の統制下にあるといえます。なぜなら中国企業は、その規模にかかわらず、共産党の下部組織を組織することが義務付けられているからです。つまり、中国企業と付き合うということは、中国政府、つまり国家安全部と人民解放軍という影のパートナーと付き合うことを意味します。
また、海外において中国は、外国企業やCFIUS(米国の対米外国投資委員会)といった外国からの投資を審査するプログラムを欺くため、より手の込んだ偽装工作を展開しています。例えば、SPAC(特別買収目的会社)のような特殊な企業形態を利用し、過大な議決権をもたらす株数を購入することで、出資額とは釣り合わないほどの支配力を行使できるようにしています。また、中国政府は正確なデューデリジェンス(投資先企業の調査)を可能にするデータの多くを遮断しており、例えば、取引先の企業が中国国有企業の子会社であるかどうかを中国国外の企業が見極めることは非常に難しい。私たちは、MI5やその他のパートナーと協力して、この種の秘密の投資を特定しようとしています。米国では何百もの不自然な取引を特定し、CFIUSの投資審査にかけました。