コラム：サイバー攻撃の手口多層化、AIが対策のカギ？

世界中で国家や企業に対するサイバー攻撃が多発している背景には、技術の普及と複雑化、攻撃をビジネス化するエコノミーの形成、国家間競争のサイバー領域への拡大、人的・組織的な脆弱性といった複合要因がある。

近年、国家・企業を問わずサイバー攻撃が頻発している。攻撃の規模、巧妙さ、被害の多様化はいずれも増大しており、単純な不正アクセスやウイルス感染にとどまらず、重要インフラやサプライチェーン、政府・企業の機密情報を狙う高度な標的型攻撃が増えている。ENISA（欧州連合サイバーセキュリティ機関）がまとめた「Threat Landscape 2024」でも、可用性（サービス停止）を狙う攻撃やランサムウェア、データ窃取が主要脅威として挙げられている。全世界的に攻撃の手口は多層化しており、攻撃者はランサムウェア、フィッシング、サプライチェーン攻撃、クラウドやアイデンティティ基盤の悪用など複数手段を組み合わせて侵入から横展開・持続的侵害（持続的潜伏）まで行う。

サイバー攻撃の頻度と経済的影響も拡大している。国際機関や調査機関はサイバー犯罪による世界的な経済損失の推定を引き上げており、世界銀行や複数の産業レポートはサイバー犯罪のコストが年間数千億ドルから兆ドル規模に達する可能性を指摘している。特に中小企業や重要インフラ事業者にとって、攻撃が直接的な稼働停止や供給網の混乱を招くケースが増えている。

サイバー攻撃の種類

サイバー攻撃は多様であるが、代表的なものを分類すると次の通りである。

1. マルウェア攻撃: ウイルス、ワーム、トロイの木馬、スパイウェア、インフォスティーラー（認証情報窃取ツール）などを含む。攻撃者はマルウェアを使って遠隔操作、情報窃取、データ破壊を行う。

2. ランサムウェア: データ暗号化やデータ流出を行い、復号鍵やデータ非公開を条件に身代金を要求する。近年はデータの二重脅迫（暗号化＋流出）を行うケースが増えている。

3. フィッシング／ソーシャルエンジニアリング: メールや偽サイトを用いて利用者の認証情報を騙し取る手口。多くの侵入経路は人的要因に依存している。

4. DDoS（分散型サービス拒否）攻撃: 可用性を狙う攻撃で、サービス停止や混乱を引き起こす。国家間の緊張時や攻撃のカバー作戦として使われる。

5. サプライチェーン攻撃: ソフトウェアやクラウドサービス、サードパーティーの脆弱性を突いて間接的に多くの組織を侵害する。近年の重大インシデントの多くはこの類型に含まれる。

6. APT（Advanced Persistent Threat）／標的型攻撃: 国家や準国家的勢力、資金力ある犯罪集団が長期的に侵入・潜伏して重要情報を収集する手法。持続的で巧妙な隠蔽手段が特徴である。

これらの手口は単独で行われることは少なく、フィッシング→マルウェア導入→横展開→ランサムウェア実行といった連鎖で被害が拡大するパターンが多い。

マルウェアとは

マルウェア（malicious software）とは、悪意を持って作成されたソフトウェアの総称である。マルウェアは感染（ファイル実行、脆弱性の悪用、スクリプトの実行、ドライバの悪用など）を通じてシステムに侵入し、以下のような目的で活動する。

• ファイル暗号化や破壊による業務妨害、身代金要求（ランサムウェア）

• 機密情報や認証情報の窃取（インフォスティーラー、トロイの木馬）

• ボットネット形成やDDoS攻撃の踏み台化

• スパイ活動や持続的監視（APT）

マルウェアは常に進化しており、検出回避のためにコードを変化させるポリモーフィック技術、正規プロセスに寄生する手口、メモリのみで活動して痕跡を残さない手法などが使われる。また、マルウェアの配布はメール添付だけでなく、正規ソフトの供給過程を悪用するサプライチェーン経由や、遠隔管理ツール（RAT）を装ったトロイの木馬など多様化している。国際捜査機関はインフォスティーラーの急増とその販売市場の活性化を報告しており、盗まれたログや資格情報がランサムウェア攻撃で悪用される例も多い。

ランサムウェアとは

ランサムウェアは、データの暗号化や流出を行い、復旧と引き換えに金銭を要求する攻撃である。近年の特徴は以下の通りである。

• 二重脅迫: 暗号化に加え、機密データを盗み出して公開すると脅すことで、暗号化だけでは抵抗できない組織にも圧力をかける。

• RaaS（Ransomware-as-a-Service）: 開発者が「サービス」としてランサムウェアを提供し、別の犯罪者が配布・攻撃を行うビジネスモデルが普及している。これにより参入障壁が低下し、グループ数が増えることで攻撃の数が増加している。

• 業種横断的被害: 医療、教育、製造、インフラ、政府機関など、多様な分野が標的となっている。被害は業務停止、収益喪失、復旧コスト、罰金、信頼失墜など多岐にわたる。

また、近年の調査で多くの被害組織が身代金を支払っているという報告もあり（支払っても完全復旧しない事例や再度要求される事例がある）、身代金支払いは攻撃経済を助長するリスクを持つ。

政府に対する攻撃と影響

政府機関は国家の行政機能、外交、軍事情報、国民の個人情報など多様で価値の高い情報を保有しているため、サイバー攻撃の主要な標的である。政府に対する攻撃は以下の影響をもたらす。

• 行政サービスの麻痺: 電子政府のサービス停止は市民生活に直結する。例えば税務・医療・年金等のシステム停止は公共サービスの信頼を低下させる。

• 外交・安全保障上のリスク: 外交機密や軍事・防衛関連情報が盗まれると国家安全保障に深刻な影響を及ぼす。国家間の緊張を高め、サイバー報復やエスカレーションを招く可能性がある。

• 選挙・政治プロセスへの干渉: 情報操作や偽情報拡散、選挙関連システムの攻撃は民主的プロセスを揺るがすリスクがある。国際社会は選挙のサイバー防護を重要課題とみなしている。

国家を標的とした攻撃は必ずしも直接的な金銭目的ではなく、情報収集、政治的影響、混乱の創出を目的とする場合が多い。ENISAやマンディアント（Mandiant）の報告は、攻撃者がより長期間潜伏し、痕跡を残さずにデータを収集する傾向を示している。

企業に対する攻撃と被害

企業は知的財産、顧客データ、サプライチェーンの信頼性といった点で狙われる。被害の典型は以下である。

• 業務停止と直接損失: 製造ラインの停止やサービス提供の中断は収益に直結する。最近のサプライチェーン攻撃は複数企業に同時に影響を及ぼし、広範囲の経済損失を引き起こしている。CIPSなどの調査によると、約3割の経営者がサプライチェーンへの攻撃増加を報告している。

• 復旧費用と罰則: データ流出に伴う顧客補償、法的罰金、監査費用、セキュリティ投資が必要となる。中小企業は被害からの回復能力が低く、事業継続性が脅かされる。

• 評判被害: 顧客信頼の低下や株価下落を招くことがある。特に顧客データが流出した場合、長期にわたる信頼回復コストが発生する。

また、攻撃者は企業のクラウド環境やリモートワーク環境の設定ミス、脆弱なID管理、古いソフトウェアの未更新といった弱点を突くことが多い。企業はサプライヤーやクラウドベンダーを通じて間接的に侵害されるリスクが高まっている。

システムの弱点を突く

サイバー攻撃が成功する主因として技術的要因と組織的・人的要因の両面がある。代表的な弱点は以下である。

• 未適用の脆弱性（パッチの遅延）: 既知の脆弱性が修正されず放置されると、攻撃者は自動化ツールで脆弱性をスキャンして侵入する。

• 不適切な認証管理: パスワードの使い回し、多要素認証（MFA）未導入、権限過剰付与が侵入を容易にする。

• サプライチェーン依存: サードパーティのソフトウェアやサービスに脆弱性があると多重被害が発生する。ソフトウェアの署名や供給過程の信頼性が重要である。

• ヒューマンエラー／ソーシャルエンジニアリング: フィッシングは依然として主要な入り口であり、セキュリティ教育と組織文化の改善が効果を持つ。

• クラウド設定の誤り: AWSやAzure、GCPなどのクラウドリソースの公開設定ミスや権限設定エラーがデータ流出を招く。

これらの弱点に対しては、定期的な脆弱性管理、最小権限原則、侵入検知とログ監視、多要素認証、サプライチェーンリスク管理などの基本対策が有効であるが、現実には資源不足や運用の難しさで十分に実行されていない組織が多い。

ロシアや中国が関与？

近年、国家や国家に近い組織が関与する「国家ぐるみ」のサイバー活動が注目されている。多くのセキュリティ企業と公的機関は、ロシア、 中国、北朝鮮、イランなどの国家主体または国家に関与する攻撃グループを複数特定している。これらの攻撃は典型的には長期間の諜報活動、知的財産の窃取、重要インフラへの侵入、政治的影響活動を目的とする。マンディアント（Mandiant）やその他の脅威インテリジェンスは、特定のキャンペーンやツールセットを通じて国家系の活動を分析している。

ただし、国家関与の証拠は慎重に扱う必要がある。攻撃者は誤誘導や民間犯罪組織の利用、奪取されたインフラの悪用により帰属判断を難しくしている。公的機関が国家関与を断定する際には、「技術的指標（TTP）」「モチベーション」「攻撃対象の選定」「時間的・地理的整合性」など多角的な分析が必要である。国際関係の政治的影響も強く、帰属を巡る発表は外交的な波紋を呼ぶ。

国家ぐるみのサイバー攻撃

国家ぐるみ（国家支援型・国家指向型）の攻撃は、単に技術的被害を与えるだけでなく、外交、経済、軍事の領域で戦略的効果を狙う。具体的には以下が挙げられる。

• 諜報活動と知的財産窃取: 産業基盤や軍事技術の情報を継続的に窃取して国家競争力を高める手段として利用される。

• 戦争前の準備・ハイブリッド戦争: 重要インフラへの潜伏や破壊能力の構築は、物理的衝突前の優位を得るための手段となる。サイバーは非対称戦力として利用される。

• 情報操作・偽情報流布: 国内外の政治情勢に影響を与えるため、情報操作やディスインフォメーションを伴う活動が行われる。

国際社会は国家ぐるみの攻撃に対して刑事的手段だけでなく、制裁、外交的対抗措置、サイバー軍備管理の議論といった広範な対応を検討している。ただし、法的／技術的な帰属の難しさと国際法の未整備が対処を難しくしている。

国際社会の対応

国際社会は多層的に対応を進めている。主な枠組みと活動は以下である。

• 法執行と国際捜査の協力:インターポールやユーロポール、各国の法執行機関はグローバルな捜査協力を進めており、大規模なインフラ除去や容疑者逮捕の実績がある。インターポールの活動報告では多数のIP除去や逮捕が挙げられている。

• 国家間の情報共有と連携: CISAやENISAなどの公的機関は脅威情報の共有、予防通知やガイドラインを提供している。CISAはプレランサムウェア通知を通じて事前の対応を促進している。

• 国際規範と能力構築: ITUのGlobal Cybersecurity Index（GCI）などで国別の能力を評価し、能力構築支援を行うことで国際的な底上げを目指している。

• 民間との連携: 多くのインシデントでは民間セキュリティ企業が最前線で検知・調査を行っており、政府と民間の連携が不可欠である。WEFや各国の共同演習・情報プラットフォームも活用されている。

しかし、国際法や合意の欠如、各国の能力差、情報共有の不十分さ、民間企業の利害と国家利益の衝突など、国際的対応には多くの課題が残る。

日本政府の対応

日本政府は国内外の脅威に対応するため、法制度整備、官民連携、能力構築、国際協力を推進している。主な取り組みは次の通りである。

• 政府の中枢機関による統合的な対応: 内閣サイバーセキュリティセンター（NISC）や関係省庁が中心となり、重要インフラや行政システムの防護、インシデント発生時の対応指針を整備している。

• 法整備・規制: サイバーセキュリティ基本法や個人情報保護法の改正、重要インフラ事業者に対する報告義務の整備などを進めている。

• 国際協力: 他国のセキュリティ機関や国際機関と連携し、情報共有や共同演習を実施している。

• 官民の情報共有基盤: J-CSIP（Japan Cyber Security Information-sharing Partnership）等の民間プラットフォームを通じて脅威情報の共有を促進している。

一方で、行政組織のレガシーシステム（古い基幹システム）の脆弱性、人的リソース不足、地方自治体や中小企業の防護力差などが課題として残る。ITUのGCIでは各国の能力を評価しており、日本の順位や評価項目は改善傾向にあるものの、継続的な投資と人材育成が必要である。

対策

技術的対策、組織的対策、政策的対策を統合的に講じることが必要である。主要な対策は以下である。

1. 予防的技術対策

   • 定期的なパッチ適用と脆弱性管理。

   • 多要素認証（MFA）の全社的導入。

   • ネットワークのセグメンテーションと最小権限の実施。

   • エンドポイント検出・対応（EDR）やSIEMによるログ収集と早期検知。

   • バックアップ体制の堅牢化と復旧訓練（ランサムウェア対策の基本）。CISAの「StopRansomware」ガイドが具体的手法を示している。

2. 人的対策

   • フィッシング対策訓練、セキュリティ教育の継続的実施。

   • インシデントレスポンス人材の育成と訓練。

3. 組織的対策

   • BC/DR（事業継続・災害復旧）計画の整備と演習。

   • サードパーティー評価とサプライチェーン管理。

   • インシデント発生時の法執行機関・民間セキュリティとの連携チャネル確立。

4. 政策的対策

   • 国際的な情報共有プラットフォームへの積極参加と協定の締結。

   • インセンティブや規制により重要インフラ事業者の投資を促す。

   • 研究開発やAIを含む先端技術のセキュリティ研究への支援。

これらの対策を効果的に運用するためには、単なる技術導入だけでなく、プロセスの整備、組織文化の変革、経営層のコミットメントが不可欠である。

課題

現在のサイバー防御には複数の課題が横たわっている。主な課題は以下である。

• 人的資源の不足: 高度な解析やインシデント対応ができる人材が世界的に不足しており、日本も例外ではない。

• 小規模組織の脆弱性: 中小企業や地方自治体の防御力が弱く、攻撃者にとって「容易な標的」となりやすい。

• 国際協力の限界: 国家帰属の困難さ、法執行の管轄問題、政治的配慮により協力が円滑でない場合がある。

• 攻撃エコノミーの存在: RaaSや闇市でのツール販売により攻撃がビジネス化しており、攻撃者の供給側が強固である。

• 技術の進化と形態変化: AIや自動化ツールの悪用、IoTやOT（運用技術）機器の増加により攻撃面は拡大している。

これらの課題は単独で解決できるものではなく、国際協調、産官学の連携、持続的な投資と教育が不可欠である。

今後の展望

今後のサイバー脅威と防御の動向について、いくつかの見通しを示す。

1. 脅威の多様化・高度化が継続する: 国家系の長期的偵察活動、RaaSの拡散、AIを悪用した自動化攻撃などにより攻撃はますます巧妙化する。攻撃者は新たな攻撃面（IoT、OT、クラウドサービス、AIモデル）を突いてくる。

2. 防御側の自動化とAI活用の進展: 防御側もAIや自動化を活用して膨大なログ解析、異常検知、応急対応を加速させる。だが、AIの誤検知や説明性の問題、悪用リスクへの対応が課題である。

3. 国際ルールと協力の深化: サイバー空間の安全保障と法制度整備に向けた国際的枠組みの議論が続く。帰属の透明性向上、被害国間の共同対処、サイバー攻撃に対する制裁や報復の枠組み整備が進む可能性があるが、合意形成には時間がかかる。

4. 民間の役割拡大: 多くの重要インフラを民間企業が運営している現状を踏まえ、民間主体の投資と対策が国家レベルの防衛力に直結する。公私連携（PPP）の枠組み強化が鍵となる。

5. 経済的・社会的影響の長期化: サイバー攻撃による経済的コストは増大を続け、企業の投資判断や国際貿易、サプライチェーンに恒常的なリスクをもたらす。事前予防と強靭性（レジリエンス）の確保が経済安全保障の重要項目となる。

まとめ

世界中で国家や企業に対するサイバー攻撃が多発している背景には、技術の普及と複雑化、攻撃をビジネス化するエコノミーの形成、国家間競争のサイバー領域への拡大、人的・組織的な脆弱性といった複合要因がある。これに対して国際機関や各国政府、民間セクターは協力して情報共有、能力構築、法整備、技術対策を進めているが、人的資源不足、サプライチェーンの脆弱性、国際法の未整備など解決すべき課題は多い。

現実的には、単一の万能策は存在しないため、予防（脆弱性除去・教育・ガバナンス）と回復力（バックアップ・BCP・インシデント対応能力）の両面を強化し、国際協調と民間の主体的対応を組み合わせることで、被害の発生頻度と影響を最小化していく必要がある。各国・各組織は、技術的な投資だけでなく、ガバナンス・法制度・人材育成といった長期的投資を継続することが求められる。