地政学的な緊張が高まり、サイバー犯罪の手口が進化する中、各企業はデジタルアセットと物理的資産の双方を狙った国家主導型の複合脅威から身を守るため、ハイブリッドな防衛戦略の導入を余儀なくされています。
*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事(2024年10月22日付)を翻訳したものです。
世界の脅威ランドスケープは大きな変貌を遂げつつあり、この状況は「新冷戦」として広く認識されるようになっています。この現代の紛争は、もはやこれまでのような軍事的対立に限定されるものではなく、ロシアや中国、イラン、北朝鮮といった国家の支援を受けたアクター主導の下、デジタルネットワーク全体で繰り広げられるようになりました。こうした国家主導のキャンペーンによって、サイバー犯罪と地政学的戦略の境界線はあいまいになり、政府組織や民間企業、重要インフラ、グローバルサプライチェーンが標的にされるようになっています。
これらの各組織にとって、これはランサムウェア攻撃やスパイ活動、そして信用失墜から産業の不安定化を狙う影響工作に至るまで、さまざまな脅威に狙われる対象が拡大していることを意味します。積極的に対応しないことの代償は深刻で、経済的損失や風評被害だけでなく、国家経済の混乱につながる危険性さえあるのです。地政学的な緊張が高まる中、各企業はレジリエンス(回復力)と防御に重点を置きながら、デジタルと物理面の両領域にわたる一連の「ハイブリッド脅威」に備えるセキュリティ戦略の再考を余儀なくされています。
新冷戦の幕開け
この新冷戦はスパイ活動や破壊工作、組織的サイバー犯罪を組み合わせたサイバー作戦を通じ、リアルタイムで展開されています。例えば最近、ロシア連邦保安局(FSB)との関連が疑われるロシアのStar Blizzardグループは、西側諸国のシンクタンクや政府高官、防衛請負業者を標的にした巧妙なスピアフィッシングキャンペーンを開始しました。このオペレーションは、国家支援型アクターたちが西側の大国を混乱させ、影響力を行使するために、サイバースペースをどう武器化しているのかを浮き彫りにしています。これと同じように、ソーシャルメディアプラットフォームやAI、高度なマルウェアを活用した中国のデジタル影響力行使キャンペーンは、「もっともらしい否認」の姿勢を維持しながら、グローバルなナラティブを形成することを目的としています。こうした取り組みの狙いは、特定の業界を混乱させることだけではありません。その背後には、地政学的な力関係をシフトさせるという、より大きな戦略があるのです。
かつては金銭的な動機に基づくサイバー犯罪とみなされていたランサムウェア攻撃さえも、今では国家主導型の攻撃における重要なツールとなっています。イランや北朝鮮が収入を得ることだけにとどまらず、エネルギーや金融といった重要部門を混乱させる目的でランサムウェアを使うようになった結果、サイバー犯罪と地政学的紛争の境界線はさらに不明瞭になりました。これらの事例は、地政学的緊張が企業や政府組織にも同様に広範な影響を与えながら、サイバー空間でどのように展開されているかを示唆しています。
新冷戦の主な特徴
この進化を続ける紛争は、企業が事業を守るために注意しなければならない、いくつかの重要な要素によって特徴づけられています。
ハイブリッド戦争、もっともらしい否認
今日の国家主導型の攻撃は多くの場合、もっともらしい否認の姿勢を崩すことなく、サイバー作戦とスパイ活動、物理的脅威を融合させています。ロシアや中国、イラン、北朝鮮が頻繁に採用するこのような戦術は、サイバー犯罪者の挙動を模倣することで特定を困難にするだけでなく、直接的な報復を受けずに相手を混乱させることを目的としています。
2017年、ランサムウェア攻撃に見せかけたNotPetya攻撃は、ウクライナのインフラが本来の標的だったにもかかわらず、世界中で数十億人が被害を受けました。これは当初、サイバー犯罪者が実行したものと思われていましたが、ロシアの国家支援型アクターによる犯行だったことが後に判明しています。それぞれの国家がどのようにしてサイバー犯罪と地政学の境界線をあいまいにし、攻撃者として特定されることなく敵対国を弱体化させようとするのか。それを端的に示したのが、この攻撃です。
サイバー犯罪と国家支援型オペレーションのあいまいな境界線
新冷戦の主な特徴は、従来のサイバー犯罪と国家支援型オペレーションが重なり合っている点です。国家主導の敵対活動を行う多くの国がハッカーグループとの関係を維持している、あるいはサイバー犯罪者の手口を真似た戦術を用いているため、金銭的動機に基づく攻撃と地政学的な目的による攻撃を区別することが難しくなっています。つまりランサムウェア攻撃は、利益の獲得だけを目的に行われるのではなく、産業を不安定化させる、あるいは情報を収集するための広範なキャンペーンの一環として実施され得るのです。
北朝鮮との関連が指摘されるLazarus Groupは、この分野の代表的な脅威アクターに挙げられます。国家の支援を受けたサイバースパイ活動と金融サイバー犯罪の両方で知られる同グループは、2017年にランサムウェア「WannaCry」を使った攻撃で世界中の企業を混乱に陥れました。これは金銭的な動機に基づく攻撃かと思われていましたが、最終的に北朝鮮の関与を示す痕跡が見つかったことで、世界の安定を脅かしながら自国政権に資金を調達するという、より幅広い地政学的目標の達成に向けて、国家支援型オペレーションがサイバー犯罪の手口を頻繁に用いていることを浮き彫りにしました。
地政学的問題がサイバー活動を助長
また地政学上の問題が火種となってサイバーオペレーションが増加していることも、新冷戦の特徴として挙げられます。ウクライナの紛争、南シナ海の緊張、中東の不安定な情勢はその地域に限定されたものでなく、サイバー空間においてグローバルな影響力を持っており、多くの場合、こういった事象を発端として重要インフラや政府機関、民間部門の組織を狙ったサイバー攻撃が相次いで発生します。地政学的問題を抱える地域で事業を展開している、あるいはそういった地域と関係がある組織にとって、上記のような地政学イベントとサイバー脅威の関係性を把握することは非常に重要です。
今年、レバノンでポケットベルとトランシーバーが一斉に爆発した事件では、ヒズボラの戦闘員が標的となりました。サプライチェーンへの侵入を通じて爆発物が埋め込まれたとされるデバイスを遠隔操作で爆発させた手法は、地政学的紛争において物理的な戦術とサイバー戦術が組み合わせられたことをはっきりと示していました。この事件は、紛争問題などを抱える地域でサイバーオペレーションと物理攻撃を融合させる度合いがますます高まっていることを強調しており、サプライチェーン攻撃の事例としてひときわ目立つものでありながら、見過ごされがちな旧来のテクノロジーを含むグローバルチェーンの脆弱性も浮き彫りにしています。そしてこれをきっかけに、ハードウェアから人的サポートに至るまで、サプライチェーンにおけるあらゆるポイント(「n番目のパーティ」)のセキュリティに関する意識が向上しました。これらのポイントには、国家の支援を受けている、あるいはサイバー犯罪を行う脅威アクターにエクスプロイトを実行されてしまう潜在的なリスクが存在します。
冷戦を生き抜く術:将来の紛争に備える
新冷戦は、世界の脅威ランドスケープに根本的な変化をもたらしています。サイバー、地政学、物理セキュリティのそれぞれの課題が交錯する中、各組織はこうした新たな現実に適応しなくてはなりません。従来のサイバーセキュリティ対策だけではもはや十分でなく、ますます複雑化する国家主導型の脅威に先手を打つためには、サイバー、物理、地政学のすべての分野の情報を取り込んだ多角的な防衛戦略を導入する必要があります。
脅威インテリジェンスとAIの活用
ハイブリッド脅威から身を守る上で必要なのは、実用的かつタイムリーなインテリジェンスです。国家アクターは自身の戦術、技術、手順(TTP)を常に進化させているため、組織にとって高品質の脅威インテリジェンスは欠かせないものになっています。AIとオープンソースインテリジェンス(OSINT)はこういった機能をさらに強化し、リアルタイムで異常を検出したり、敵の行動パターンの理解を深めたりすることを可能にします。これらのツールを使うことで、組織は深刻な被害が生じる前にリスクを素早く特定し、これに対応することができるようになります。
レジリエンスの向上
「レジリエンス」は新冷戦を生き抜く上での鍵となります。つまり、インシデント対応計画を用意するだけではなく、すべてのセキュリティ体制において幅広い脅威に対抗できることが重要なのです。これにはサイバーセキュリティおよび物理セキュリティに関する各対策の一本化、重要なシステムの強化、そして多角的な視野でリスクに対処できる部門横断型チームの立ち上げが伴います。新興の脅威に応じて進化するよう設計された柔軟性の高いセキュリティフレームワークは、この不安定な環境下で事業の継続性を維持するために欠かせないものとなるでしょう。
官民の協力関係を促進
国家主導型の脅威に直面する中で、官民両部門が協力体制を築くことは非常に重要です。両部門のパートナーシップにより、さらなるリソースや高度なインテリジェンスが利用できるようになるほか、ハイブリッド脅威に対してより協調的な対策を講じることが可能になります。企業と政府機関が連携すれば、防御策の強化やインテリジェンスの共有に加え、新たな課題にもっと素早く効果的に対応することができるのです。
新冷戦は、現在のセキュリティランドスケープに大きな変化をもたらしています。実用的なインテリジェンスの活用、レジリエンスの向上、そして協力関係の促進などプロアクティブな手順を踏むことで、各組織は今日の脅威から身を守ることができるだけでなく、将来生じうる課題にも備えることができます。
Flashpoint, VulnDBについて
Flashpointは、Deep & DarkWeb(DDW)に特化した検索・分析ツールです。ダークウェブ等の不法コミュニティで、どのようなPoCやエクスプロイトが議論・取引されているか等をモニタリングできます。また、Flashpointの一機能として利用できるVulnDBは、CVE/NVDデータベースにない脆弱性情報や各脆弱性のメタデータを豊富に含んだ脆弱性データベースです。
日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。
また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス(MIS)」も提供しております。