2025年7月3日、中国・上海出身の33歳男性Xu Zewei(徐澤偉)がミラノのマルペンサ空港でイタリア警察により逮捕された。
逮捕は米国テキサス州南部地区の逮捕状に基づくもので、産業スパイ活動への関与が疑われている。Xu Zeweiは中国政府支援のハッカーグループHafnium(別名Silk Typhoon)との関連が疑われており、2020年2月にテキサス大学を含む米国の大学からCOVID-19ワクチン研究を窃取したハッカーチームに関与していたとされる。
同グループは2021年3月にMicrosoft Exchange Serverを標的とした大規模攻撃を実行し、25万台以上のサーバーに侵入、主に中小企業の電子メールや連絡先情報を窃取した。
Xu Zeweiは電信詐欺、加重個人情報窃盗、共謀、保護されたコンピューターへの不正アクセスなどの罪状で起訴されており、最大77年の刑期に直面している。容疑者は上海のGTA Semiconductor Co Ltdの技術者として働いていたとされ、弁護士Enrico Giardaは身柄引き渡しに反対する方針を示している。
7月4日にミラノ第5刑事控訴部のVeronica Tallarida判事が逮捕を承認し、現在ブスト・アルシツィオ刑務所に拘留されている。
From: 
Suspected Hacker Linked to Silk Typhoon Arrested in Milan
【編集部解説】
今回のXu Zewei逮捕事件は、中国国家支援ハッカーの実際の逮捕という極めて稀な事例として、サイバーセキュリティ業界に大きな衝撃を与えています。米国司法省の発表によると、Xu Zeweiは「多産な中国国家支援契約ハッカー」として位置づけられており、これまで象徴的な起訴に留まっていた国家支援サイバー攻撃が実際の法廷闘争に発展する歴史的な転換点となる可能性があります。
この事件の技術的背景を理解するには、Hafnium(現Silk Typhoon)の攻撃手法の進化を把握することが重要です。2020年2月のCOVID-19研究窃取では、ウイルス学者、免疫学者、研究センターを標的とした精密な攻撃が実行されました。パンデミック初期という極めて重要な時期に、ワクチン開発の機密情報を狙った攻撃は、国家安全保障と公衆衛生の境界線を曖昧にする新たな脅威の形態を示しています。
2021年3月のMicrosoft Exchange Server攻撃では、4つの重要な脆弱性を連鎖的に悪用することで、世界中の25万台以上のサーバーに侵入を果たしました。この攻撃の特徴は、主に中小企業を標的としたことで、大企業に比べてセキュリティ対策が脆弱な組織を狙い撃ちする戦術の巧妙さを物語っています。
注目すべきは、容疑者の背景です。Xu Zeweiは上海のGTA Semiconductor Co Ltdで技術者として働いていたとされ、「Zavier Xu」「David Xu」という偽名を使用していました。これは国家支援攻撃における「契約ハッカー」の実態を浮き彫りにしており、政府機関の直接的な関与ではなく、民間企業の技術者を通じた間接的な攻撃手法の存在を示唆しています。
逮捕の経緯も興味深い点です。米国大使館からの通報により、Xu Zeweiの入国が事前に把握されていたことは、国際的な情報共有体制の強化を示しています。また、米国司法省が事前にイタリア当局に対し、ロシア人オリガルヒArtem Ussの逃亡事例を引用して逃亡リスクを警告していたことは、過去の失敗を踏まえた慎重な対応を物語っています。
この事件が示すサイバーセキュリティ業界への影響は多層的です。まず、国家支援ハッカーの実際の逮捕は、これまで「名前と恥」キャンペーンに留まっていた対策から、実効性のある法執行へと転換する可能性を示唆しています。最大77年という重い刑期は、サイバー犯罪に対する米国の強硬姿勢を明確に示しています。
地政学的な観点では、この逮捕がイタリア・米国間の司法協力の成功例として注目されます。特に、マッテオ・サルヴィーニ副首相の中国訪問が予定されている中での逮捕は、イタリアの外交バランスに微妙な影響を与える可能性があります。中国が過去に実施してきた「人質外交」の前例を考慮すると、今後の展開が注目されます。
長期的な視点では、この事件は国家支援サイバー攻撃に対する抑止効果の検証機会となります。従来、物理的な報復が困難だったサイバー空間における攻撃に対し、実際の逮捕・起訴という形での対応が可能であることが実証されれば、今後の国家間サイバー戦略に大きな影響を与える可能性があります。
【用語解説】
Hafnium(ハフニウム)
中国政府支援のハッカーグループの旧称。現在はSilk Typhoonとして知られ、Microsoft Exchange Serverを標的とした大規模攻撃で世界的に注目を集めた。
契約ハッカー
政府機関に直接雇用されるのではなく、民間企業や個人として活動しながら国家支援攻撃に関与するハッカー。今回のXu Zeweiもこの形態とされる。
CVE(Common Vulnerabilities and Exposures)
情報セキュリティの脆弱性に対して割り当てられる識別番号システム。CVE-2021-26855のような形式で表記され、セキュリティ研究者や開発者が脆弱性を特定・共有するための国際標準である。
身柄引き渡し(Extradition)
犯罪容疑者を他国に引き渡す国際的な法的手続き。今回の事件では、イタリアで逮捕されたXu Zeweiを米国に引き渡すかどうかが焦点となっている。
産業スパイ活動(Industrial Espionage)
企業や国家の機密情報、技術情報、研究開発データなどを不正に取得する活動。国家支援ハッカーグループの主要な目的の一つである。
人質外交(Hostage Diplomacy)
外交的圧力をかけるために、相手国の国民を恣意的に拘束する手法。中国が過去に実施した事例が複数報告されている。
【参考リンク】
米国司法省 – Xu Zewei逮捕発表(外部)
米国司法省による公式発表。Xu Zeweiの逮捕経緯、起訴内容、最大32年の刑期について詳細に説明
Microsoft Security – Silk Typhoon脅威分析(外部)
Microsoftが提供するSilk Typhoon(旧Hafnium)に関する公式脅威インテリジェンス情報
【参考記事】
Silk Typhoon targeting IT supply chain | Microsoft Security Blog(外部)
Microsoftの脅威インテリジェンスチームによる公式分析。Silk TyphoonがITサプライチェーンを標的とした新たな戦術に転換していることを詳細に解説。2024年後半からの戦術変化と、盗まれたAPIキーを悪用した攻撃手法について技術的な分析を提供している。
Hafnium (group) – Wikipedia(外部)
Silk Typhoon(旧Hafnium)の活動履歴と攻撃手法を包括的にまとめた百科事典記事。2021年のMicrosoft Exchange Server攻撃の詳細、使用ツール、中国政府との関連性について客観的な情報を提供している。
US arrests Chinese hacker Xu Zewei for stealing COVID-19 research and hacking Microsoft servers(外部)
Economic Timesによる今回の逮捕事件の詳細報道。Xu Zeweiの逮捕経緯、COVID-19研究窃取の詳細、Microsoft Exchange Server攻撃との関連性について包括的に報じている。
【編集部後記】
今回のXu Zewei事件は、私たちが日常的に使用しているテクノロジーの裏側で展開される「見えない戦争」の現実を浮き彫りにしました。皆さんの職場では、COVID-19のような緊急事態下でのセキュリティ対策はどのように変化したでしょうか?
特に興味深いのは、容疑者が「普通の半導体企業の技術者」だった可能性があることです。もし皆さんが同じ立場で、知らないうちに国家支援攻撃に巻き込まれていたとしたら、どのように対処しますか?また、中小企業を狙い撃ちした25万台規模の攻撃について、皆さんの組織ではどのような対策を講じていますか?
この歴史的な逮捕が今後のサイバー空間にどのような変化をもたらすか、ぜひ皆さんのご意見をお聞かせください。
