中国スパコンから10PB流出疑惑、VPN1本で半年素通り

中国の機密研究基盤が、VPNドメイン1つの穴から半年にわたって吸い出されていた疑いが浮上している。流出規模は10ペタバイト。もし本物なら、中国に対する史上最大級のデータ盗難になる。

天津の中枢から「10PB」が消えた

CNNの報道によれば、「FlamingChina」を名乗るハッカーグループが、中国の国家超級計算天津中心（NSCC天津）から10ペタバイト超の機密データを抜き取ったと主張している。サンプルは2026年2月6日、匿名のTelegramチャンネルに投下された。

10PBという数字は直感が働きにくい。1PBは1,000TBに相当し、ハイエンドノートPCのストレージおよそ1,000台分だ。それが1万台分まとめて消えた、という話になる。人間が1ページずつ目を通せる量ではない。

NSCC天津は2009年に稼働を始めた中国初の国家級スパコン拠点で、スーパーコンピュータ「天河」シリーズを擁する。広州・深圳・成都と並ぶハブの1つだが、役割は単なる計算機室ではない。航空宇宙、国防、バイオインフォマティクス、核融合シミュレーションなど、独自に施設を持てない6,000以上の組織に計算能力を貸し出す、いわばスパコン版のクラウド事業者だ。

顧客リストには中国航空工業集団（AVIC）、中国商用飛機（COMAC）、国防科技大学（NUDT）といった名前が並ぶ。サンプルに含まれていたとされるのは、中国語で「秘密」と記された文書、兵器試験に紐づく技術マニュアル、爆弾やミサイルのレンダリング画像、空力シミュレーションのアニメーションだ。SentinelOneのコンサルタント、ダコタ・ケイリー氏はサンプルを確認した上で、天津のスパコン拠点から出たと言われれば辻褄が合う内容だと評している。

侵入はVPN1本、あとは放置で半年

技術的な観点で不気味なのは、この事件が「鮮やかな技」の産物ではないことだ。

NetAskariを運営するセキュリティ研究者マーク・ホーファー氏は、犯行を主張する人物とTelegram上で接触している。その人物の説明によれば、最初の突破口は侵害されたVPNドメインだった。正面玄関の鍵が落ちていた、という程度の話だ。内部に入った後は、自動化プログラムの群れ、いわゆるボットネットを送り込み、データを別々のサーバーに分散して少しずつ吸い出した。この流出作業は、およそ6か月続いたとされる。

大量のデータが一か所に流れていく方が、防御側は異常に気づきやすい。小さな流量を多数のサーバーに分散されると、検知はぐっと難しくなる。ケイリー氏はこの構図を、NSCCのセキュリティに空いた穴からデータを少しずつ引き抜き、別々のサーバーに分け取る手口だと説明している。

つまりこれは、ゼロデイや特権昇格の離れ業ではなく、アーキテクチャの隙間に住みついたルーチンワークだ。派手さがない分、「やろうと思えば誰でもできたのでは」という問いが重くのしかかる。

6,000の顧客を相乗りさせるモデルは効率が良い。そのぶん、単一の認証基盤が破られた瞬間、顧客全員の資産が同じ水路に漏れ出す構造を抱える。効率と集中リスクは、常に同じ請求書で売られている。

値札がついた国家機密

FlamingChinaはデータを無料で撒いていない。売っている。

流出サンプルを分析した専門家によれば、限定プレビューが数千ドル規模、フルアクセスは数十万ドル規模で、支払いは暗号資産指定だという。この値付けには、買い手の素性を物語る含みがある。数十万ドルを払って採算が合う相手は限られる。

ホーファー氏は、この規模のデータセットを実際に「使える情報」に変換できるのは、敵対的な国家情報機関くらいだろうと見ている。10PBの生データは、分析能力がなければただの容量にすぎない。膨大な玉石混交の山から意味ある断片を取り出すには、人員と計算資源と時間が要る。

もっとも、ケイリー氏はここに冷たい角度を足している。NSCCのデータに興味を持つ政府は世界中にいるが、そのうちの何割かは、すでに別ルートで同じ情報を入手している可能性が高いという見立てだ。これが本当なら、揺らぐのは機密の中身ではない。「誰がすでに何を知っていたか」という、もう一段上の地図のほうだ。

中国当局は2026年4月時点で、事件の存否について公式な見解を示していない。沈黙は肯定でも否定でもない。ただ、6,000顧客のうちどの資産が漏れたのかを、当事者の多くがまだ知らないまま時間だけが流れている。

CNNはデータの真正性を独自には確認できていないと明記している。複数のセキュリティ専門家が「本物に見える」と述べている段階であり、流出の全体像はまだ輪郭が揺れている。

自給自足の神話が揺れる

この事件の含意は、盗まれた設計図の1枚1枚よりも、もっと構造的なところにある。

中国はここ十数年、西側（主に米国）製半導体への依存を減らすため、国産スパコンと国産チップに巨額を投じてきた。輸出規制の圧力が増すほど、その投資の正当性は高まるように見えていた。「自分たちの計算基盤は自分たちで握る」という戦略が、国内外に堂々と掲げられていた。

ところが今回、そのショーケースの1つが抜かれた疑いが出た。突破口はゼロデイでも国家支援の高度攻撃でもない。ごく平凡なVPNドメインの侵害だ。自給自足は、セキュリティ運用の甘さには効かない。むしろ、中央集権的なハブに価値ある情報を集めるほど、1つの穴の被害半径は広がっていく。これは中国固有の問題というより、「計算をサービスとして集約する」現代的アーキテクチャに内在する課題だ。

技術ジャーナリズムの常として、数字は検証される前に独り歩きする。10PBという数字が最終的に誇張だったとしても、核心はおそらく揺らがない。6,000の組織を抱えるハブが、発見まで半年かかる侵害を許していた事実——仮にその半分でも真実なら——だけで、防御の前提を書き換えるには十分だ。

要するに、破られたのは暗号でもファイアウォールでもなく、「集約すれば効率が上がる」という設計思想そのものだ。攻撃者はその前提の上に乗っただけで、半年分の時間を自由に使えた。

半年後、この事件の評価はどちらに振れているだろうか。「記録的な盗難」として歴史に残るのか、「結局サンプルだけだった」と語られるのか。どちらにせよ、集中型スパコンを抱える国々にとって、他人事として眺めていられる話ではない。

参照元

• CNN - A hacker has allegedly breached one of China's supercomputers and is attempting to sell a trove of stolen data

関連記事

• Adobe Readerゼロデイ、PDFを開くだけで情報流出
• ロシアGRU、家庭用ルーター1万8000台を乗っ取りOutlook認証情報を窃取
• VeraCrypt・WireGuard、MSがアカウント停止
• イラン系ハッカー、米国の水道・電力を「実際に破壊」──FBIが異例の緊急警告
• OpenAI・Anthropic・Googleが共闘、中国への「蒸留」流出で情報共有
• Drift 2.7億ドル流出の裏に北朝鮮の6か月潜入工作
• ChatGPTの「安全な箱」にDNSの穴——データ漏洩脆弱性の全容
• FBI長官の個人メール、イラン系ハッカーが侵害
• EFFがXを去る、7年前の3%以下しか届かぬ場所で
• 暗号学者が5000ドル賭け、量子コンピュータの脅威は本当に来るのか