中国スパイUNC5221、MS365に18カ月潜伏
1年半もの間、覗かれ続けたビジネスの裏側。中国関連スパイ「UNC5221」によるMicrosoft 365ネットワークへの長期潜伏という衝撃
暴かれた「18カ月間」の静かなる侵略。判明している事実の要約
2026年6月8日に公開されたデイリーサイバーアラートによると、中国を背景に持つスパイ活動グループ「UNC5221」が、標的企業のMicrosoft 365ネットワークの内部に侵入。そこから1年半にわたり、セキュリティシステムに見つかることなくアクセスを維持し続けていたという、戦慄のインシデントの全貌が公開されました。
今回の初期報道において、被害に遭った具体的な組織の国籍、業種、企業規模などは伏せられています。また、ハッカー集団がこの18カ月間でどのような情報(経営戦略、メール、顧客データ、インフラの設計図など)にアクセスし、どれほどの規模のデータを外部へ持ち出したかといった、具体的な被害の詳細については現時点では明らかにされていません。
クラウド環境を舞台にした「長期潜伏」がもたらす最大の盲点
今回の事例がセキュリティ業界に強い衝撃を与えている理由は、攻撃者がMicrosoft 365という多くの企業が業務の根幹として利用しているクラウドインフラに、長期間居座り続けた点にあります。
多くの企業が「一度強固な認証を突破されてしまえば、その後のクラウド内での攻撃者の挙動は正規ユーザーと見分けがつきにくくなる」という課題を抱えています。UNC5221はこうしたクラウドの運用仕様を完全に熟知し、足跡を残さない極めて高度な手口で隠蔽工作を行っていたとみられています。
「ランサムウェア」とは180度異なる、国家系ハッカーによるスパイ活動の本質
私たちがニュースでよく目にするランサムウェア攻撃の目的は「金銭」であり、データを暗号化して大派手に自己主張をします。しかし、今回のUNC5221のような国家背景を持つAPT(持続的標的型脅威)ハッカー集団の目的は「諜報(スパイ活動)」です。彼らにとって、被害者に侵入を気づかれ、システムを破壊して騒ぎになることは「最大の失敗」を意味します。
彼らが狙うのは、気配を完全に消し、取引先とのメール、組織図、開発中の技術情報、財務状況といった企業の生々しい日常のやり取りを「リアルタイムで長期間、後ろから覗き見し続けること」です。18カ月という期間は、経営陣の交代や重要なプロジェクトの発足から完了までを、ハッカー側がすべて把握するのに十分すぎる時間です。
さらに企業の防衛の観点から深刻なのは、多くの企業におけるMicrosoft 365の「監査ログの保持期間」が、標準では90日間や180日間に設定されている点です。今回のケースのように「18カ月(540日間)潜伏」されていた場合、最初の侵入経路や、初期段階で何を盗まれたのかを記録したログは**すでに社内システムのどこにも残っていない可能性**が高く、これがデジタル鑑識(フォレンジック調査)による全容解明を阻む最大の障壁となります。クラウドセキュリティは「防ぐ」だけでなく、「見慣れない怪しい挙動を検知してあぶり出す」体制が急務です。
今後の焦点:ベールに包まれた攻撃手口の解明へ
UNC5221によるこの長期にわたるネットワーク占拠事件は、世界中のセキュリティ担当者にとって「自社のクラウド環境にも、今この瞬間に何者かが潜んでいるのではないか」という疑念を抱かせる一戦となりました。
ハッカーが最初の1歩としてどの脆弱性を悪用してM365内に潜り込んだのか、そしてどのような技術で検知を免れ続けたのか。これら「攻撃のタイムライン」の詳細なアナウンスが待たれるとともに、各企業にはクラウドインフラのセキュリティ監視体制(EDRやログ監査など)の根本的な見直しが突きつけられています。
