地政学的戦場におけるサイバー：「ビッグ4」を超えて

Executive Summary

地域紛争と国際機関の弱体化により、「ビッグ4」（中国、ロシア、イラン、北朝鮮）以外の国々でも攻撃的なサイバー作戦が活発化している。これらの脅威アクター組織が地政学的リスクを積極的に評価し、将来の脅威が最も発生する可能性の高い場所を把握する必要があります。

2025年、Recorded Futureは、13の「非ビッグ4」国で少なくとも20の主体がサイバー作戦を実施しており、主に地域紛争、国内監視、海外スパイ活動に関連していると特定しました。

企業は地域の地政学を注意深く監視し、サイバースパイ活動や破壊的なサイバー攻撃から保護するための強力な継続性と回復力の計画を維持する必要があります。

図 1: 中国、ロシア、イラン、北朝鮮以外の国家支援主体がサイバー作戦を実行する方法と理由に影響を与える傾向（情報源： Recorded Future ）

解析

サイバー作戦を支援する他の国家の概要

報告されたサイバー脅威活動の大部分は「ビッグ4」によるものですが、他の多くの国もサイバー作戦を利用して自国の戦略的利益を推進しています。Recorded Futureのデータによれば、「ビッグ4」以外で観測された活動のほとんどは地域紛争に起因している。国家の利益を推進し、国家が支援するスパイ活動も行っている愛国的なハクティビスト集団の活動は、報告されている活動の中で最も多かった。ハクティビストと政府の間の連携の度合いは依然として不明であり、変化する可能性がある。しかし、彼らの行動は国家の目的と密接に一致しているため、この評価に含まれており、それは彼らの活動が国家間の紛争リスクと相関していることを意味します。

活発な紛争以外では、国内外の標的に対するスパイ活動がサイバー作戦の主な原動力であり続けています。最もサイバー能力の高い国家は、暴露による重大な政治的悪影響を考慮して、検知と帰属の回避に多額の投資を行っています。

ビッグ 4 以外の脅威アクターを追跡するには、組織が地政学的リスクを理解し、脅威が最も発生する可能性の高い場所を予測する必要があります。特定の地域や紛争地帯で活動すると、サイバースパイ活動や破壊的な攻撃のリスクが高まる可能性があります。

地域サイバー紛争

Recorded Futureのデータによると、2025年に観測されたサイバー活動の約3分の2は領土紛争が原因だった。政府、防衛、その他の重要なインフラストラクチャに対する情報収集に重点を置いたサイバー作戦。ハクティビストは紛争中に活動を活発化させ、影響力行使を通じて増幅された迷惑レベルの攻撃を実行した。ハクティビストと同様に、影響力行使活動は紛争中の国家の利益と密接に連動しますが、国家とのつながりの度合いはさまざまです。これらの活動が戦場の結果に影響を与えることはほとんどありませんが、脅威アクター / 敵対者に対する技術的洗練や道徳的優位性を示すように設計されています。

インドとパキスタン

2025年5月7日から10日にかけて、インドとパキスタンは一連のミサイル攻撃を交わした。これは、核兵器を保有する両国間の緊張激化としては過去数十年で最も深刻なものであった。危機の間中、両側の大規模なボランティアのハクティビストコミュニティが、主にDDoS攻撃やウェブサイトの改ざんといった破壊的な攻撃を実行した。パキスタンとつながりのあるAPT36は、インド政府やその他の政治的動機を持つ標的を狙った諜報活動を行い、一方、SideWinderなどインド政府とつながりのある脅威アクターはパキスタン軍を標的に活動した。

図 2: 2025年5月の武力紛争の勃発に伴い、インドとパキスタン間のサイバー活動が急増した（情報源： Recorded Future)

紛争に対する認識を形成することを目的とした影響力行使活動も激化した。影響力のあるネットワークはハクティビストの主張を増幅させ、しばしばその影響を誇張した。例えば、パキスタンのソーシャルメディアでは、ハッカーがインドの電力網の 70% を停止させたという情報が広まった。これらの作戦は、彼ら自身の側をより有能であるように描写し、彼らの脅威アクター / 敵対者脆弱であるように描写することを目的としており、軍事作戦と連動した物語制御の重要性を強調しています。

タイとカンボジア

インドとパキスタンの間で観察されたサイバー攻撃と同様に、 2025年5月の紛争後、タイのハッカーとカンボジアのハッカーの間では、影響力行使キャンペーンによって強化されたハクティビスト活動が大幅に激化しました。これらは主に、自称愛国的なハクティビスト集団によって実行された。作戦には、DDoS 攻撃、Web サイトの改ざん、データ漏洩作戦などが含まれていました。より標的を絞ったハッキング・リーク作戦は、他国の指導者に政治的に損害を与える情報を暴露することも目的としていた。影響力行使作戦の物語では、おそらく国内外の支持を集めるために、対立する側が紛争における侵略者であると強調された。

モロッコとアルジェリア

モロッコとアルジェリア間の緊張は武力紛争には至っていないものの、2025年にはサイバー攻撃が大幅に増加した。こうした緊張関係の中で、親アルジェリア派のハクティビストらがモロッコの機関に対し一連の目立った攻撃を実行し、国家社会保障基金、国家土地保全庁、法務省を襲撃したとされている。「JabaROOT」と名乗るハッカーらは、モロッコ国民数百万人の個人情報や金融データを漏洩し、所得格差をめぐる国内の既存の緊張を悪化させる可能性がある。このサイバー攻撃は、アルジェリア政府に一定の否認の余地を残しつつ、モロッコの脆弱性を示すことが目的だった可能性がある。モロッコのハクティビストは、報復としてアルジェリア政府と教育機関に対してデータ侵害を行った。

武力紛争以外の諜報活動

さらに多くの国がサイバースパイ活動を行っていることはほぼ確実ですが、次のような脅威アクターが政治的に重要な標的に関する情報収集を試みていることが追跡されています。

SideWinder や Bitter などの インド関連の脅威アクター伝統的にパキスタン、スリランカ、バングラデシュなどの近隣諸国をターゲットにしてきましたが、2024 年にはヨーロッパの外交エンティティに対するスパイ活動が大幅に増加し、ターゲット範囲がより広範であることが示されました。
ベトナムはサイバー能力の開発を加速させている。ベトナム政府と関係があると思われるAPT32は、中国のサイバーセキュリティ研究者や国内の反体制派に対して攻撃活動を行っている。このグループは過去にも、地政学的および経済的優先課題を理由に、自動車メーカーや外国政府などを標的にしてきました。
スパイ活動を行っていることが観察された少なくとも 2 つの脅威アクターグループがトゥルキエと関係していることが判明しています。Marbled DustとStrongPityは、地域および国内の目標を優先的に定めています。さらに、愛国的なハクティビストの強力なオンラインコミュニティは、歴史的紛争 (アルメニアやギリシャなど) であれ、現代の紛争 (フランスやドイツなど) であれ、地域的および国際的脅威アクター / 敵対者ターゲットにしています。
アラブ首長国連邦 に関連するステルス・ファルコンが、ゼロデイ脆弱性を悪用してトルコの防衛組織を標的にしていることが確認されている。このグループは少なくとも2016年から活動しており、主に中東とアフリカの政府機関や防衛機関を標的にしている。

政治的、外交的な優先事項により、諜報活動の標的は予測可能になります。国家戦略に結びついた部門はスパイ活動の標的になる可能性が最も高いため、組織は地域的な露出だけでなく、自社の業界が戦略的優先事項と一致しているかどうかも評価する必要があります。

国内監視活動

多くの国は、サイバー能力を利用して、法執行や国家安全保障上の優先事項、政治的反対勢力の監視、国の主要産業に代わって経済スパイ活動を行うなど、国内の安全保障上の懸念を監視しています。国内の監視機能は、Intellexa のPredatorや Candiru のDevilsTongueなど、市販のスパイウェアで補完されることがよくあります。国境を越えたスパイ活動の政治的優先事項を理解するのと同様に、企業は、事業を展開している国の政府にとって政治的に重要な可能性があるデータを保有しているかどうかを評価する必要があります。十分な監視や法的プライバシー保護が欠如している国では、侵入的なサイバー監視や監視のリスクが増大します。

図 3: （左）ロシア諜報機関とロシアのサイバー犯罪地下組織の個人との直接的および間接的なつながりを示す、 Insikt Groupの報告書「ダーク・コヴナント」のグラフ表現。（右）ロシア政府支援のランサムウェア運営者によるドイツの軍事請負業者に対するサイバー攻撃の報告を示すインフォグラフィック。

（出典：Recorded Future）

今後の展望

国際同盟が弱まるにつれてサイバー攻撃が増加する可能性が高い。タイとカンボジア、インドとパキスタンの紛争は、地域目標を追求するために武力を行使する意欲が高まっていることを示す。過去10年間で多国間平和維持活動の展開は40％減少したが、これは介入に必要な支援を得るのが困難だったためと考えられる。これにより、国家が紛争を解決するために非暴力的な交渉ではなく暴力に訴える可能性が高くなります。サイバー攻撃や影響力行使は、こうした紛争においてますます一般的になりつつあり、低コストで強さをアピールし、物語を形成し、限定的な混乱を引き起こす手段として機能している。
サイバー能力の強化は、従来の軍事力の強化に続くものとなる可能性がある。ヨーロッパの NATO 諸国、そして韓国と日本は軍事費を増大させている。これらの国々の多くはすでに高度なサイバー能力を有しているが、通常戦力を強化するために、より洗練された攻撃能力への投資を求める可能性がある。日本や韓国などの法や原則の変更も、防御的なサイバー政策から攻撃的な姿勢への転換の基盤を築きつつある。
国家間の紛争に備えて商用サイバー能力が求められる可能性：地域紛争に先立ってサイバー優位性を獲得しようとする国々は、国内の法執行や対テロ作戦においてこれらのツールへの依存が高まっているのと同様に、商用攻撃ツールに頼るようになる可能性がある。これにより、小規模な国や技術的に成熟していない国の参入障壁が下がり、より多くの主体が高度な侵入、標的を絞ったスパイ活動、影響の大きい混乱を引き起こすことが可能になります。

軽減策

Recorded FutureのGeopolitical Intelligence使用して、地域紛争や地政学的動向を監視し、国際的な業務やアウトソーシングされた業務へのリスクを把握します。
Recorded Futureの脅威インテリジェンスを使用して脅威アクターグループを追跡し、非四大国に関連するTTPs検出します。
高リスク国に渡航する職員に対する監視のリスクを理解し、代替デバイスを使用するなどの緩和する措置を講じます。 Geopolitical IntelligenceモジュールのRecorded Futureの国別リスクデータを使用して、監視やその他の旅行リスクを評価します。
破壊的または破壊的な攻撃の影響を緩和するために、運用継続計画が整備されていることを確認します。 Recorded Future Analyst-On demandを使用して、組織がどのようにターゲットにされる可能性があるかに関するカスタマイズされた調査を実施します。

図 4: これら 4 つの質問から始めると脅威アクターあなたの組織をターゲットにする動機を理解するのに役立ちます (情報源: Recorded Future )

リスクシナリオ

A国とB国間の長年の領土紛争が国境での軍事衝突に発展し、さらなる激化の危険が生じている。国 A には、世界最大級の国際企業にサービスを提供する強力なビジネスプロセスアウトソーシング産業があります。

第一階層の含意

両国の愛国的なハクティビストを名乗るグループが、ハッキングと情報漏洩の作戦やウェブサイトの改ざんを行っている。これらの攻撃の影響を誇張するソーシャルメディア上の支持者によって、こうした発言は増幅されることが多い。

競争上の不利:ハッキングとリーク操作により、独自の企業秘密や恥ずかしい通信を含む機密の内部文書が公開されます。
監視リスクの増大:紛争により、国内の脅威を監視するために B 国での国内監視活動が増加します。B 国に渡航する海外従業員は、強化された監視の対象となります。

二次的な影響

A国を支援するハクティビストを名乗る行為者がサイバー活動をエスカレートさせ、B国の電力網に対して執拗なサイバー攻撃を実行しています。その結果、B国の首都では計画停電が発生します。

業務の中断:停電によりコールセンターは重要な業務機能を遂行できなくなり、世界中の企業で重大なサービス遅延と収益損失が発生します。
物理的なセキュリティリスク:停電に対する国民の怒りにより、A 国に対する作戦の拡大に対する支持が高まります。紛争の激化により、従業員への危害や施設の破壊のリスクが高まります。

第三次的な影響

米国と中国は、A国とB国間の紛争にますます関与するようになり、自国が好む国に軍事力、兵站力、サイバー能力を提供しています。外部からの支援は紛争を長引かせ、近隣諸国を巻き込むリスクを高めます。

紛争の激化:大国からの武器や兵站支援の増加により、国 A と国 B の間の戦闘は国境から内陸部への攻撃へと拡大します。暴力が激化するにつれて、軍人と民間人の両方の犠牲者が増加します。
地域経済への影響:混乱が長引くと、国際企業がより安定した地域に事業を移転することになり、その地域に経済的な悪影響が生じる可能性があります。