「地政学的リスクに起因するサイバー攻撃」の事例と対策
1. 概要
2025年2月28日、 IPA(独立行政法人情報処理推進機構)より、「情報セキュリティ10大脅威2025 [組織編]」が公開されました[1]。その中で、7位に選ばれた「地政学的リスクに起因するサイバー攻撃」は初選出され話題となった「組織」向け脅威です。
当社では2025年2月のセキュリティニュースにて、「地政学的リスクに起因するサイバー攻撃」の事例および攻撃手法について解説いたしました。本稿では、米中の経済的な対立、ロシアによるウクライナ侵攻、イスラエル・パレスチナ問題など、昨今の世界的情勢がどのようにサイバー攻撃に関わってくるのか、またその対策について紹介いたします。
2.「地政学的リスクに起因するサイバー攻撃」について
(1)地政学的リスクとは
地政学は、国際政治について考える際に、その国の地理的条件を重視して考える学問です。また、地政学に基づいた政治的、社会的な緊張の高まりから生じる影響のことを「地政学的リスク」と呼びます。
ロシアとウクライナの関係を例にすると、2014年のクリミア危機や2022年に始まったロシアによる軍事侵攻などが地政学的リスクとして挙げられます。
(2)「地政学的リスクに起因するサイバー攻撃」の概要
IPAより、公開された「情報セキュリティ10大脅威 2025」では、「地政学的リスクに起因するサイバー攻撃」が以下のように解説されています。
「情報セキュリティ10大脅威 2025 [組織編]」より抜粋
『政治的に対立する周辺国に対して、社会的な混乱を引き起こすことを目的としたサイバー攻撃を行う国家が存在する。そのような国家は、外交・安全保障上の対立をきっかけとして、嫌がらせや報復のためにサイバー攻撃を行うことがある。また、自国の産業の競争優位性を確保するために周辺国の機密情報等の窃取を目的とした攻撃や、自国の政治体制維持のために外貨獲得を目的とした攻撃に手を染める国家もある。』
上記を踏まえて、次章では「地政学的リスクに起因するサイバー攻撃」の事例とその背景について紹介いたします。
3. 実際の事例紹介
(1)「MirrorFace」によるサイバー攻撃
①MirrorFaceとは
MirrorFaceは、「APT10」と呼ばれる中国の国家支援を受けているサイバースパイ集団に関連していると考えられているグループであり、主に日本の企業を標的に活動しています[2]。
②攻撃の背景
日本の地政学的リスクとして関係する国家の一つとして、中国が挙げられます。日本と中国は経済的にも密接しており、米中の対立から生じる中国の地政学的リスクが日本に影響する可能性もあります。政治的、経済的、軍事的目的を達成するため、情報窃取や重要インフラの破壊のためサイバー戦力を強化していると見られており、中国国内に存在している日系企業やそのサプライチェーンも狙われています。
また、日本の技術的な重要機密を狙ったり、有事には重要機関に混乱をもたらすことで、日本という国自体を麻痺させることを目的として攻撃を仕掛けることも考えられます。
③実際の事例
日本の省庁、特に外務省や防衛省など、政治的・軍事的に重要な省庁が主に狙われています。関係する地政学的なリスクの一つとして台湾有事が挙げられます。
JAXAなど国の重要機密を保持している機関や組織、それらに関係する中小企業や個人も標的となっています。特にサプライチェーンへの攻撃が危惧されています。
MirrorFaceについては以下のセキュリティニュースもご参照ください。
「標的型攻撃についての解説および攻撃グループの事例紹介」
(https://www.ssk-kan.co.jp/topics/?p=15007)
(2)「VoltTyphoon」によるサイバー攻撃
①VoltTyphoonとは
VoltTyphoonは中国政府が関与していると見られるハッカー集団です。このグループは脆弱なパスワードや更新されていない機器などの脆弱性を狙い、インターネットに接続されたシステムへの侵入を試みます。アクセスに成功すると、ステルス性に重視したLotL(Living off the Land)戦術※1を多用します。
※1 LotL戦術:
攻撃対象のシステム環境に寄生しシステム内の正当なツールを悪用し攻撃する手法です。マルウェアなど悪性を持つファイルを使用しないため侵入された段階では気付きにくく、正規のアカウントに寄生して活動するため侵入後も発見が難しいという特徴があります。
②攻撃の背景
アメリカにてVoltTyphoonからの攻撃が確認されています。アメリカと中国の対立は2018年頃の追加関税賦課をきっかけに顕在化しており、2025年現在まで続いております。主に貿易関係の対立や、先述の台湾有事に関しての軍事的な対立が見られ、それに伴うサイバー攻撃の事例もあります。
③実際の事例
VoltTyphoonが5年以上アメリカの電力網や燃料パイプラインなどの主要インフラに潜伏していたことが判明しています。主要インフラがサイバー攻撃を受けることにより国家の安全保障が脅かされることになり、対立が激化した場合サイバー攻撃によるインフラ破壊といった手段が強行される可能性も考えられます。
(3)「NoName057(16)」によるハクティビズム※2
①NoName057(16)とは
NoName057(16)はロシアを拠点としたハクティビスト集団であり、2022年以降のロシアによるウクライナ侵攻を背景に活動が活発化しているグループです。
※2 ハクティビズム:
「ハッキング(hacking)」と「アクティビズム(activism):積極行動主義」を組み合わせた造語であり、特定の社会的・政治的思想を理念にハッキングなどを手段として活動する、もしくはその思想を広めようとする行動主義を指します。
②攻撃の背景
主にウクライナやその支援国を標的にしており、政治的または軍事的な目的、特にウクライナとの紛争におけるロシアの立場を支持するためにサイバー攻撃を行っています。例えば、ウクライナのインフラや政治的な機関をターゲットにすることでウクライナ政府を圧迫し、支援国からの支援を妨害することがその一つです。
③実際の事例
2024年に衆議院選挙の公示日から12日間にわたり、NoName057(16)などのサイバー攻撃集団がDDoSia※3ボットネットで日本の政府機関や政党、社会団体を標的にDoS攻撃をしていたことが確認されています。
これらの攻撃は親ロシア派グループが「反ロシア」感情を抱いているとみなした国や、ウクライナを支持する政策を施行した国を狙った攻撃と見られています。
このように、日本が地政学的に直接関係していない場合でも、サイバー攻撃を受けることがあります。
※3 DDoSia:
DDoSiaは、NoName057(16)によって運営される組織的なDDoSキャンペーンの呼称です。事例で紹介している通り「反ロシア」と見なされた国家や組織を狙います。クラウドソーシング型のボットネットを基盤としたDDoSプロジェクトとして運営されており、攻撃の協力者にはインセンティブが支給されています。
4. 対策
前提として、「地政学的リスクに起因するサイバー攻撃」は国が支援するサイバー攻撃もあるため、一組織、一企業で対策を講じるのは難しいという見解もありますが、その中で組織や企業が行える対策を紹介いたします。
(1)地政学的リスクに関する情報の収集
まずは、どのような地政学的リスクがあるのか情報収集を行うことが大切です。地域間・国家間での政治的な緊張や、貿易・国際紛争がサイバー空間へどのような影響を及ぼすか調査・分析することで対策を講じることができます。
直近では、アメリカが中国に対する関税を10%引き上げたことや、イスラエルがガザ地区に対して攻撃を再開した、アメリカがウクライナへの軍事的支援を縮小したことによりヨーロッパ諸国が安全保障を懸念しているなどの事例が挙げられます。これらの地政学的リスクから、対立している国家にプレッシャーをかけるようにDDoS攻撃やランサムウェアによる攻撃などが行われる可能性も考えられます。
(2)自組織におけるリスクの洗い出し、評価
次に、収集した情報からリスクを洗い出し、リスク評価を行うことが重要となります。リスク評価の指針の一つとして、狙われやすい組織の特徴が挙げられます。「3.実際の事例紹介」にも記載の通り、国家機密を所有している組織および、それらの組織に関わるサプライチェーン企業は特に注意するべきです。
(3)技術的な対策
地政学的リスクに起因するサイバー攻撃、特に国が支援する攻撃の手口は多様なものになります。技術的な対策の一例を紹介いたします。
・ゼロトラストセキュリティ
組織内に限らずネットワーク内外の全てのユーザーやデバイス、アプリケーションに対して「信頼しない」という原則に基づくセキュリティモデルです。全てのアクセス要求に対して継続的に認証情報の更新を行い、付与するアクセス権限を最小にするなどの方法があります。LotL戦術など検知されにくい攻撃に対しても有効です。
・AIを活用したセキュリティ強化
最新のネットワーク監視機器にはAIが搭載されているものも少なくありません。AIが不正な通信の兆候を自動的に検出し脅威を排除します。過去の攻撃データやセキュリティインシデントのパターンを学習することで、将来の攻撃の予測やリスクの高い領域を特定し、攻撃が発生する前に予防措置を講じることが可能になります。
このように、(1)どのような国からどのような攻撃が行われるのかを把握し、(2)リスク評価を実施することで、(3)情報セキュリティ対策の優先順位を設定するための指針となります。
5. まとめ
「地政学的リスクに起因するサイバー攻撃」は、グローバル化されたネットワーク社会において、非常に広範囲に影響を及ぼします。組織や企業が対処するには、継続的に情報を収集することで地政学的リスクを早い段階から察知し、リスク評価および情報セキュリティ対策の強化が必要です。
6. 参考資料
[1] IPA(独立行政法人情報処理推進機構)
情報セキュリティ10大脅威2025 [組織編] 2025年3月25日閲覧
https://www.ipa.go.jp/security/10threats/eid2eo0000005231-att/kaisetsu_2025_soshiki.pdf 
[2] 警察庁 内閣サイバーセキュリティセンター
MirrorFaceによるサイバー攻撃について(注意喚起)2025年3月25日閲覧
https://www.npa.go.jp/bureau/cyber/pdf/20250108_caution.pdf
7.SSKのセキュリティ運用監視サービスおよび脆弱性診断サービスについて
急速なデジタルシフトやDXの進展により、サイバー攻撃の標的となりうる範囲は大きく広がっています。更にランサムウェアをはじめとするサイバー攻撃の脅威は増す一方となり、企業活動においてサイバーセキュリティ対策は必要不可欠な課題となっています。
SSKのセキュリティ運用監視サービスでは、24時間365日、リアルタイムでセキュリティログの有人監視をおこなっています。セキュリティ対策として様々なセキュリティ機器やサービスを導入するケースも増加しており、当社ではUTM製品をはじめ、SASE、EDR等、新しいセキュリティソリューションも監視対象としてサービス展開を行っています。また、脆弱性診断サービスでは、診断経験豊富なセキュリティエンジニアがお客様のシステムを診断し、検出された脆弱性への対策をご提案しています。Webアプリケーションだけでなくネイティブアプリケーション診断やクラウドサービス設定診断も行っています。
セキュリティ運用監視サービス:https://www.ssk-kan.co.jp/e-gate#e-gate–02
脆弱性診断サービス:https://www.ssk-kan.co.jp/vulnerability-assessment
※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。
リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。
≪お問合せ先≫
サービス&セキュリティ株式会社
〒151-0051
東京都渋谷区千駄ヶ谷5丁目31番11号
住友不動産新宿南口ビル 16階
TEL 03-4500-4255
FAX 03-6824-9977
sales@ssk-kan.co.jp