サイバー戦争 – 真実、戦術、戦略
あなたとあなたの組織がサイバー戦争の戦場で生き残るための戦略的コンセプトと真実

Cyber Warfare – Truth, Tactics, and Strategies

AI要約

出版 2020年2月

「サイバー戦争-真実、戦術、戦略」は、サイバー戦争の世界を探求し、個人と組織がこの複雑で進化し続ける戦場を乗り切るための戦略的コンセプトと真実を提供する包括的なガイドである。

本書はまず、サイバー戦争がもたらす脅威と課題を概観する。サイバー攻撃の高度化とサイバー犯罪の憂慮すべき増加を強調している。著者は、サイバー戦争を効果的に防御するために、個人や組織がサイバー戦争の本質を理解する必要性を強調している。

「サイバー戦争-真実、戦術、戦略」から得られる重要なポイントは以下の通りである：

• サイバー戦争の原理を理解する： 本書はサイバー戦争の基本原則を掘り下げ、サイバー攻撃者が採用する動機、戦略、戦術を理解することの重要性を強調している。これらの原則を理解することで、個人や組織はサイバー脅威をより的確に予測し、対抗することができる。
• 強固な防御を築く： 著者は、サイバー戦争に関しては、予防は回復に勝ることを強調している。プロアクティブなセキュリティ対策、強固なリスク評価、継続的なモニタリングなど、強力な防衛戦略の主要な構成要素についての洞察を提供している。
• 人的要因：サイバー戦争ではテクノロジーが重要な役割を果たすが、人的要因も同様に重要である。本書は、組織内でサイバーセキュリティ文化を醸成し、従業員が潜在的な脅威を特定し、それに対応できるように訓練することの重要性を強調している。また、セキュリティを脅かすヒューマンエラーを軽減するために、常に警戒を怠らず、ベストプラクティスを採用する必要性を強調している。
• 騙しの技術：著者は、サイバー戦争における欺瞞の概念を探求し、攻撃者がどのように様々なテクニックを使って活動をカモフラージュし、標的を欺くかを説明している。欺瞞の心理についての洞察を提供し、そのような戦術を発見し対抗するための戦略を提示する。
• 戦略立案：効果的な戦略はサイバー戦争において極めて重要である。本書は、サイバー脅威を予測し対応するための戦略的計画の重要性を強調している。組織が包括的なインシデント対応計画を策定し、明確な権限系統を確立し、十分に訓練された対応チームを維持する必要性を強調している。
• コラボレーションと情報共有：サイバー戦争の世界では、攻撃者の一歩先を行くためには、コラボレーションとインテリジェンスの共有が鍵となる。本書は、政府機関、法執行機関、業界の同業者とパートナーシップを築き、情報を共有し、協力して集団防衛を強化することの重要性を強調している。

「サイバー戦争-真実、戦術、戦略」は、サイバー戦争の世界に関する豊富な知識と実践的な洞察を提供する。直面する脅威に対する理解を深め、効果的な防衛戦略を策定しようとする個人や組織にとって、貴重な資料となる。本書で概説されている原則と戦略を適用することで、読者はサイバー脅威との戦いにおいて自身と組織を守るための積極的な手段を講じることができる。

---

チェイス・カニンガム博士

サイバー戦争-真実、戦術、戦略

初版発行 2020年2月

本書は、終わりのないデジタル・ゲームに身を投じるデジタル戦士たちに捧げられる。シャノン・ケントやブレイク・マクレンドンのような戦士たち、そして敵に戦いを挑みながらすべてを捧げてきた無数の人たちだ。境界のない戦場で敵と交戦する選ばれた数人に、神の祝福があらんことを。兄弟姉妹よ、良い戦いを続けよう！

序文

この50年間は、とてつもない革命を目撃してきた。この革命は私たちの周りで猛威を振るい続け、国際的な国境を再定義し、長い間大切にされてきたビジネスや制度を破壊し、私たちの社会構造や規範を破壊し、プライバシーに挑戦し、何が正しくて何が間違っているのかを問い続けている。しばしば「情報革命」と呼ばれるこの革命的な技術革新は、世界中を容赦なく行進し続けている。

情報革命が世界を一変させ、ワールド・ワイド・ウェブの登場が世界中の家庭にインターネット・アクセスをもたらすと、識者はウィリアム・ギブスンの1984年の小説『ニューロマンサー』から「サイバー」という呼称を採用し、人間の経験の新たな領域を表現するようになった。ワールド・ワイド・ウェブが1990年代に拡大を続けると、「サイバー」はやがて、デジタル技術が日常生活に与える影響を強調する言葉に付けられる接頭語になった。やがて、インターネット・カフェは「サイバー・カフェ」と名を変え、コンピューターやインターネット・アクセスを持っていない人々にもインターネット・アクセスを提供するようになった。社会全体におけるインターネット接続の爆発的な成長により、サイバースペース、サイバーパンク、サイバーいじめ、サイバー犯罪、サイバーストーカー、サイバーポルノなどの新しい用語が辞書に追加された。

この新しく作り上げられた「サイバー領域」が、世界の軍事大国の関心を集め、潜在的な紛争の原因となるまで、そう時間はかからなかった。例えば、1994年に航空指揮幕僚大学の授業で、私は統一サイバー司令部を提唱するモノグラフを執筆し、運動論的攻撃の代わりにサイバー能力を国力の手段としてどのように利用できるかを説明した。このような考え方は、軍事界では珍しいものではなかった。

例えば、1999年、中国人民解放軍の2人の大佐、喬亮と王向水は、軍事戦略に関する代表的な著書『Unrestricted Warfare』を執筆し、ネットワーク化されたデジタル世界での攻撃を含め、中国がいかに非伝統的な手段を活用して相手を攻撃できるかを強調した。それから間もなくの2005年12月、アメリカ空軍はそのミッション・ステートメントに「サイバースペース」を戦闘領域として追加し、軍事ドクトリンにおけるサイバー作戦の重要性を強調した。この空軍のミッション・ステートメントによって、「サイバー戦争」の時代が到来したのである。

悪名高いプロイセンの将軍で軍事理論家のカール・フォン・クラウゼヴィッツは、「戦争とは他の手段による政治である」と言った。その100年後、著名なユーモリストであり哲学者であったジュリアス 「グルーチョ」マルクスは、「政治とは、問題を探し、いたるところでそれを見つけ、間違って診断し、間違った治療法を適用する芸術である」と言った。クラウゼヴィッツとマルクスの言葉は、今日のいわゆる「サイバー戦争」にも当てはまる。

悲しいことに、「サイバー戦争」の専門家であると自称する人々があまりにも多い。私は、自分が専門家だと言う人は誰でも専門家ではないと主張する。サイバーの領域は広大であり、数多くの技術や専門分野が組み込まれている。サイバー領域での数十年の経験の中で、私は多くのいわゆる。「サイバー専門家」を目の当たりにしてきた。彼らの非技術的なバックグラウンドは、しばしば表面的な分析に陥り、不正確な結論を導き、それがしばしば他者に福音として伝えられる。

幸いなことに、チェイス・カニンガム博士のような 「サイバーエキスパート」と呼ぶにふさわしい人物がいる。サイバー・オペレーション、フォレンジック、リサーチ、そしてドメイン・リーダーシップの深い経験を持つ彼は、幅広いサイバー領域を理解し、（グルーチョの言葉を借りれば）何が些細なことで、何が本当のトラブルなのかを見分けることができる。彼は実体験をもとに適切な診断を下し、適切な救済策を適用する技術的な強さを持っている。自称サイバー専門家が跋扈する時代にあって、チェイス・カニンガムは本物であり、読者がサイバー戦争を真に理解するために必要な本である。

拙著『エグゼクティブのためのサイバーセキュリティ』（邦訳『サイバーセキュリティ入門』講談社）の中で、私は「サイバー戦争とは何か？」（A Practical Guide）では、サイバーセキュリティはリスク管理の問題であり、単なるテクノロジーの問題ではないと述べている。私は、サイバーセキュリティ・プログラムには、人、プロセス、テクノロジーがすべて重要な要素であることを強調した。この素晴らしい本の中で、カニンガム博士は、サイバー初心者（そう、私が意図的にサイバー接頭語を使っている皮肉に注意）でさえ理解できるような方法で、サイバー領域の卓越した分析と説明を提供している。

各章は歯切れよく明快で、大学の授業にふさわしい。第1章では、絶えず進化する脅威の状況と、このダイナミックな脅威環境の戦略的意味について述べている。第2章では、カニンガム博士が、なぜ従来の城の堀のような境界防衛モデルが時代遅れになったのか、そしてこのことが戦略的リスクと投資の意思決定にどのような課題をもたらすのかを論理的に説明している。そこから第3章では、敵対者がどのように戦術、技術、手順を適応させ、戦略的優位を獲得して目的を達成しようとしているのか、また、それを阻止するために私たちに何ができるのか、何をすべきなのかを論じている。

深い技術的背景を持たない人は、次の3章に特に注意を払うことが有益であろう。第4章は、攻撃者が読者の意見を操作し、攻撃者の目的に有利な特定の決定を下すよう説得しようとする影響力作戦について論じている。このサイバー戦争に関するトピックは、2016年の米国大統領選挙における影響力工作の容疑が依然として日常的な言説の一部となっている、今日の熱い論争の政治環境において大いに関連性がある。第5章では、「ディープフェイク」と人工知能／機械学習技術がいかに次のサイバー戦場となるかについて興味深い議論を展開している。第6章では、サイバー敵対者が高度なキャンペーンを運用する上で、いかに巧妙さを増しているかを示している。ここでカニンガム博士は、最も可能性の高い行動指針を予測し、何が「SF」のままであるかを特定する。

次の3つの章は、実践的な分析と指針を提供しており、非常に価値がある。第7章では、将来のサイバー脅威を阻止するための戦略的計画の重要性を強調している。第8章では、サイバー作戦に使用されるサイバー・ツールの種類について論じている。

読者の中には、私が「デュアルユースツール」と呼んでいるもの、つまり攻撃にも防御にも使えるツールが多いことに驚く人もいるかもしれない。第9章は、戦術が適切に適用されれば、サイバー戦争における戦略をいかに可能にするかについての重要な論考である。

この序文の冒頭で、私は、情報技術革命は国際的な国境を再定義し、長い間大切にされてきたビジネスや制度を破壊し、社会構造や規範を混乱させ、プライバシーに挑戦し、何が正しくて何が間違っているのかを問い直す脅威であると述べた。本書の最後に、カニンガム博士はこれらの状況を取り上げ、サイバー戦争の未来について論じ、サイバー戦争が社会、政府、テクノロジーにどのような影響を与えるかを予測している。彼の予測は注目に値するものであり、私たち全員が特に注意を払うべきものだと思う。このように、『サイバー戦争-真実、戦術、戦略』は、サイバー作戦と我々が生きる世界を理解しようとするすべての人にとって必要なハンドブックである。

「Si vis pacem, para bellum.」（平和を望むなら、平和の準備をせよ。(平和を望むなら、戦争に備えよ。プブリウス・フラウィウス・ヴェゲティウス・レナトゥスの言葉)

グレゴリー・J・トゥヒル（CISSP、CISM）

米空軍准将（退役）

寄稿者

著者について

チェイス・カニンガム博士は、包括的なセキュリティ管理と、さまざまな標準、フレームワーク、ツールを活用して安全な事業運営を可能にする計画について、上級技術幹部の支援に力を注いでいる。セキュリティの運用への統合、高度なセキュリティ・ソリューションの活用、人工知能と機械学習による運用の強化、安全なシステム内での将来の成長計画などに重点を置いている。

カニンガム博士は、Armor社でサイバー脅威インテリジェンス業務のディレクターを務めた。また、Telecommunication Systems社ではコンピュータ・ネットワーク攻略のリーダーを、Decisive Analytics社ではサイバー分析のチーフを務めた。カニンガム博士は退役した米海軍大将で、サイバー・フォレンジックとサイバー分析業務において20年以上の経験を持つ。過去には、NSA、CIA、FBI、その他の政府機関内のワークセンターでのオペレーション経験がある。これらの職務では、クライアントがセキュリティ管理を運用し、暗号化システムや分析システムを導入・活用し、セキュリティ運用コマンドシステムやセンターを成長・最適化するのを支援した。

チェイスは、コロラド工科大学でコンピューター・サイエンスの博士号と修士号を、アメリカン・ミリタリー大学でサイバースペースにおける対テロ作戦に焦点を当てた理学士号を取得している。

長年にわたって幸運にも巡り会うことができた先見の明と革新者たちに感謝したい。洞察に満ちたリーダーたちは、私たちの未来を形作る手助けをし、願わくば私たち全員をより安全で豊かな未来へと導いてくれるだろう。

評者について

グレン・D・シン（CEH、CHFI、3xCCNA（サイバーオペレーション、セキュリティ、ルーティング＆スイッチング）は、サイバーセキュリティのインストラクター、著者、コンサルタントである。ペネトレーションテスト、デジタルフォレンジック、ネットワークセキュリティ、エンタープライズネットワーキングを専門とする。学生への指導や助言、本の執筆、さまざまなアウトドア活動を楽しんでいる。ゲームチェンジャーを目指すグレンは、母国トリニダード・トバゴのサイバーセキュリティ意識の向上に情熱を注いでいる。

また、以下の書籍の主執筆者でもある：

Kali Linux 2019を学ぶ

Kali NetHunterによるハンズオン・ペネトレーション・テスト

CompTIA Network+認定ガイド

CCNA Security 210-260認定ガイド

このプロジェクトに参加させてくれたDivya Mudaliar、この旅で継続的なサポートをしてくれたTom JacobとIan Hough、そしてPackt Publishingの素晴らしい人々に感謝したい。

目次

• 序文本書は誰のためにあるのか
• 本書の内容
• 本書を最大限に活用するためにカラー画像をダウンロードする
• 使用されている規約
• 連絡先レビュー
• サイバー脅威の歴史とAPTの出現ハッカーはハリウッドが見せるような存在ではない
  • ビームの戦い
  • モデムハック
  • アンチウイルスの成長
  • 高度な持続的脅威（APT）の夜明け
  • 初期のAPT攻撃
  • サイバー防衛の混乱
  • 米国と同盟国のサイバー防衛体制
  • 世界中で聞こえたサイバーショット
  • 一触即発のサイバー戦争
  • パンドラの箱が開いた
  • 結論
  • 参考文献
• 境界線は死んだ　モデルの穴を詳述するシナリオ
  • グローバルな境界が崩壊する
  • コンプライアンスに準拠した組織の境界も機能しない
  • 政府の境界線も機能しない
  • ユーザー、BYOD、そして境界の消滅
  • アプリケーションがセキュリティを脅かす
  • 認証方法が失敗する
  • IoTデバイスはあらゆる境界に穴を開ける
  • バカや悪は直らない
  • 結論
  • 参考文献
• 新たな手口と傾向 – これから何が起こるのか？ 攻撃は下流に向かう
  • 自律走行車…悪いデータ、悪い日
  • ドローン…上空からの死
  • 脅威行為者は攻撃の効果を最適化するために戦術を組み合わせる
  • ランサムウェアのモバイル化
  • DDoSは兵器級に洗練される
  • 結論
  • 参考文献
• 影響力攻撃 – ソーシャルメディア・プラットフォームを悪意のある目的に利用する　新たなサイバー攻撃
  • サイバー戦闘は変わりつつある
  • #ハッシュタグか弾薬か？
  • インフルエンサーに影響を与える
  • 結論
  • 参考文献
• サイバーセキュリティにおけるDeepFakesとAI/ML 大型スクリーンからスマートフォンへ – DeepFakesの幕開け
  • ディープフェイクの定義
  • GANがDeepFakesを動かす
  • 応用DeepFakes、別名DeepMastersPrints
  • MLを使って音声をハッキングする、別名DeepVoice
  • リードフェイク
  • ニュース速報は、悪いニュース速報を意味するかもしれない
  • データとAIの「研究」がうまくいかないとき
  • 結論
  • 参考文献
• サイバー戦争における高度なキャンペーンサイバー戦争キャンペーンインドの原子力発電所キャンペーン
  • 中国の製造業キャンペーン
  • 米国とリビアの選挙妨害キャンペーン
  • 偽旗によるサイバー空間での腐敗したキャンペーンの帰属キャンペーンをマトリックスにマッピングする
  • 脅威グループは意図的に帰属を回避する。混乱のためにコマンド・アンド・コントロールを変更する
  • 獣に名前をつける
  • 辻褄が合わないこともある
  • 混乱が目的である
  • 今後10年間のサイバー攻撃キャンペーンデマ工作
  • 結論
• 将来のサイバー戦争のための戦略計画誰もが口を殴られるまで計画を持っている
  • どのような戦略か？
  • 戦闘の本質が戦略の変更を要求するとき潜入は支配とイコールではない
  • リーダーには 「現場」が必要だ
  • 何が有効かを決めるのは環境であり、装備ではない
  • インテリジェンスと 「インテル」は同じではないかもしれない
  • やりすぎはやりすぎかもしれない
  • 大きな壁は大きな問題を意味する
  • ミッションは達成されなかった
  • サイバースペースにおける効果的な戦略とはどのようなものか？ 戦略コンセプトを変える
  • 戦略的に 「エッジ」を守る
  • 象を食べる
  • オーケストレーションが戦略を可能にする
  • 結論
• サイバー戦争の戦略的革新と戦力増強防御ツールと戦略的イネーブラ猿に会う
  • インフェクション・モンキーのその他の製品
  • インフェクション・モンキーの高度な使用法
  • ソフトウェア定義の境界
  • アプリケーションのホワイトリスト化
  • 攻撃ツールと戦略的イネイブラーなぜパスワードを殺すのか？
  • WhatBreach
  • SNAP_R SNAP_R攻撃を実行する（サンプル・コマンド）
  • 影響を与えるためのコメント偽装
  • 結論
  • 参考文献
• 衝撃に備える　免責事項
  • マイクロセグメンテーションが生き残りの鍵マイクロセグメンテーションとは何か？
  • マイクロセグメンテーションのツールと技術
  • SDNの実用的なアプリケーションマイクロセグメンテーションにあり得る落とし穴
  • 高み”を取り戻す
  • パスワードを殺し、痛みを制限する　インテリジェンス収集
  • 結論
  • 参考文献
• サイバー戦争における生存可能性と失敗の潜在的影響戦争における法律は何の役に立つのか？
  • 「法則1」 – デフォルトは死を意味する
  • 「法則2」 戦略的に考え、戦術的に動く
  • 「法則3」 – 詳細、詳細
  • 「法則4」 パスワードを殺す
  • 「法則5」 爆発範囲を限定する
  • 失敗による影響医療を危険にさらす
  • ICS（産業制御システム）のダウン
  • 国家の命運を脅かす。脅威シナリオ – ディープフェイク
  • 脅威のシナリオ – データ操作
  • 脅威のシナリオ – 民主主義のプロセスを攻撃する
  • 結論
• 付録：- 2019年を通しての主なサイバー事件
• その他の書籍
• インデックス
• ランドマーク
• 表紙
• 目次

序文

本書は、サイバー戦争の歴史に隠された真実を知り、将来に向けてインフラと人員の安全確保に取り組むすべてのサイバーセキュリティ専門家のためのものである。本書の目的は、サイバー戦争のツール、戦術、戦略に関するトピックを網羅することである。

本書の対象者

本書は、組織内でサイバーセキュリティに責任を持つ、あるいはこの成長し続ける分野で働くことに関心を持つエンジニア、リーダー、専門家のためのものである。特に、CISO、サイバーセキュリティリーダーシップ、ブルーチーム担当者、レッドチームオペレーター、戦略的防衛プランナー、サイバーセキュリティ担当幹部、サイバーセキュリティオペレーション担当者は、本書で提供される洞察と展望から利益を得ることができるはずである。

本書の内容

• 第1章 サイバー脅威の歴史とAPT指定の出現 – この章では、サイバー脅威の歴史とその出現の背景、そして国家によるAPT指定の背景について説明する。
• 第2章 境界は死んだ。- この章では、境界ベースのセキュリティ・モデルが数年前に失敗したことを証明する、あらゆる複雑さと詳細について説明する。
• 第3章 新たな戦術とトレンド-何がやってくるのか？- この章では、サイバー戦争のツールと戦術の未来へのウサギの穴への旅であり、この進化し続ける空間における新しいトレンドの例を提供する。
• 第4章 影響力攻撃-悪意のある目的のためのソーシャルメディア・プラットフォームの利用-この章では、ソーシャルメディアと影響力をサイバー戦争の戦術のために武器化する方法を取り上げる。
• 第5章 サイバーセキュリティにおけるディープフェイクとAI/ML – この章では、サイバーセキュリティにおけるAIとMLの現実について学び、誤解されがちなこれらの技術の実用的な応用について掘り下げる。
• 第6章 サイバー戦争における高度なキャンペーン – この章では、攻撃キャンペーンの種類とその現実的な意味合いについて触れる。
• 第7章 将来のサイバー戦争のための戦略的計画 – この章では、サイバー戦争のためのより良い計画の立て方と、デジタル戦闘においてなぜ戦略が重要なのかを具体的に説明する。
• 第8章 サイバー戦争の戦略的革新と戦力増強-本章では、組織の防御態勢を飛躍的に高めるのに役立つツールや技術が市場に出回っている具体例を紹介する。
• 第9章 衝撃に備える。- この章では、サイバー攻撃の衝撃に備えるためのツール、戦術、戦略の適用方法と、物事がうまくいかなくなったときに組織がよりよく対応する方法を例示する。
• 第10章 サイバー戦争における生存可能性と失敗の潜在的影響 – この章では、防御戦略立案に不可欠なアイデアを取り上げ、サイバー戦争の戦術が大失敗した場合に起こり得ることの実例を提供する。
• 付録：2019年を通して発生した主なサイバー事件 – 第6章で紹介した、2019年を通して最近発生した主なサイバー事件を、攻撃のクラス別に分類したリストである。

本書を最大限に活用するために

既存のサイバーセキュリティのプランナーやストラテジストは、この空間の現実を洞察し、その未来の状態の一部である将来のイノベーションがどのようになるかをよりよく理解できるようになる。

本書はハウツーガイドではない。著者は読者に悪意ある目的に転化される可能性のある知識を提供したいのではなく、むしろ本書は読者に新しい視点を提供し、差し迫った脅威に目を奪われるのではなく、来るべきものを見て備えることを目的としている。

サイバーセキュリティの経験があることを前提としているが、初心者でも活用できる入門的なコンセプトも盛り込まれている。

使用されている規約

CodeInText： テキスト中のコードワード、データベース・テーブル名、フォルダ名、ファイル名、ファイル拡張子、パス名、ダミーURL、ユーザー入力、ツイッター・ハンドルを示す。例えば、”Changeme.pyは、一般的なアカウントの認証情報だけでなく、デフォルトの認証情報とバックドアの認証情報を検出することに重点を置いている。「

太字：新しい用語、重要な単語、あるいは画面上、たとえばメニューやダイアログボックスで目にする単語が、本文中でもこのように表示されることを示す。「例えば」最初の、そして間違いなく最も重要なテクノロジーは、一般的にSoftware-Defined Networking (SDN)と呼ばれている。”

連絡を取る

読者からのフィードバックはいつでも歓迎する

一般的なフィードバック本書のどのような点に関する質問でも、件名に本書のタイトルを明記の上、customercare@packtpub.com。

正誤表内容の正確さには万全を期しているが、間違いもある。本書に誤りを発見された場合は、ご報告いただければ幸いである。http://www.packt.com/submit-errata、本を選択し、正誤表提出フォームのリンクをクリックし、詳細を入力する。

海賊版：インターネット上で私たちの作品の違法コピーに遭遇した場合、その場所やサイト名を教えていただけるとありがたい。その資料へのリンクを添えて、copyright@packt.com。

著者になることに興味がある場合もしあなたが専門知識をお持ちで、本の執筆や寄稿にご興味があれば、http://authors.packtpub.com。

レビュー

レビューをどうぞ。この本を読んで使ったら、購入したサイトにレビューを残してみない？潜在的な読者は、あなたの公平な意見を見て、購入を決定するために使用することができ、私たちPacktは、あなたが私たちの製品についてどう考えているかを理解することができ、私たちの著者は、彼らの本に対するあなたのフィードバックを見ることができる。ありがとう！

Packt社についての詳細は、packt.comを参照のこと。

1. サイバー脅威の簡単な歴史と APT 指定の出現

「今日、ほとんどの人が、サイバーが軍事作戦の全領域（計画、採用、監視、評価能力を含む）を明らかに支えていることを理解していると思う。サイバーによって実現されていない軍事作戦は一つもない。あらゆる主要な軍事兵器システム、指揮統制システム、通信経路、情報センサー、処理・発信機能、これらすべてに重要なサイバーコンポーネントがある」

– ウィリアム・シェルトン空軍宇宙軍司令官

ハッカーはハリウッドのイメージとは違う

一般的な 「ハッカー」のイメージは、自宅かどこかの地下室で、安物のパーカーに身を包み、大量のカフェインを摂取しながら、少なくとも3つの異なるモニターやディスプレイに散らばったコードに打ち込んでいる、というものだ。

このようなハリウッドの表現では、悪意のある行為者は通常、銀行や世界を終わらせるコンピューター・システムを破壊するのに使われるかもしれないユニークなエクスプロイトを作りながら、笑顔で独り言を言っている。これらの過剰に誇張された神話上の「ハッカー」は、ほとんどの場合、内向的で技術的な天才であり、反社会的で反政府的であり、しばしば自分たちの行動の全体性に対してひどく無知である。

実際のところ、これはサイバー戦争作戦のリアルワールドにおけるキーボードの向こう側の現実ではない。確かに場合によっては、このステレオタイプを表現した「ハッカー」がどこかにいるに違いないが、サイバースペースで最も悪意ある悪質な攻撃の背後にいるペルソナは、これとは似ても似つかないことが多い。多くの場合、それらの悪意ある行為者は制服を着ており、政府から報酬を受け、保護され、訓練を受けている。彼らは非常に聡明で、よく訓練され、高度に集中し、創造的な個人であり、世界のどこででも、どのような敵対者ともスパイ活動や戦闘作戦を行えるというニッチな能力を見出している。彼らは、将来支配的な戦闘環境となるデジタル槍の穂先であり、他のすべての戦争に匹敵する二元的な猫とネズミのゲームに常に従事している最前線の戦士である。

21世紀におけるサイバースペースの指揮は、19世紀における海の指揮、20世紀における空の指揮と同様に、決定的でインパクトのあるものである。サイバースペースは、真実のところ、未来の戦争が現在戦われている戦場である。新冷戦の舞台なのだ。地球上のすべての国家、すべての犯罪企業、そして地球上のほとんどすべての人間が利害関係を持ち、存在する舞台である。人間の歴史上、地球上のあらゆる企業や組織と同じ空間で、世界規模の紛争が活発に繰り広げられている場所はなかった。

わずか50年ほどの歴史の中で、インターネットとグローバル・コネクティビティは驚異的なスピードで拡大している。過去5年間で、人類の歴史全体よりも多くの接続と多くのデータが作成され、共有または配布された。

サイバースペースは今や、政治的、経済的、軍事的、文化的な交流と関与の新しいプラットフォームとなっている。これは次の世紀において、社会の安定、国家の安全保障、経済発展、文化的コミュニケーションに影響を与える領域となるだろう。

しかし、コンピュータ・セキュリティとコンピュータの脅威と悪用の研究は、常にコンピュータ科学の最前線にあったわけではない。サイバースパイと戦争戦術の必要性とその威力が国際レベルで認識されるようになったのは、ここ数十年のことである。これらのデジタル戦士のパワーと有効性、そして彼らが技術を磨く作戦を理解するためには、コンピューター搾取がどこから来たのかを理解し、この分野の進化を分析することが不可欠である。

サイバー脅威の活動や作戦には様々な「初期の事例」があり、このテーマについて50人の異なる専門家を集めたとしたら、サイバー戦争の始まりとして議論すべき50の異なる事件があるだろう。したがって、これらの攻撃の中で何が最初であったか、あるいは最も影響力があったかについて、時代を通じて絶対的な特殊性を論じることは無意味である。重要なのは、この空間の現実と将来の状態に向けた進化をよりよく理解するために、時代の重要なポイントとして際立っているいくつかの主要なエクスプロイトと脅威活動を指摘し、詳述することである。

わかりやすくするため、一般的な定義では、サイバー攻撃やサイバー防御は、軍による国家レベルから大組織、さらには一個人が関わる個人レベルまで、あらゆる規模で行われる可能性がある。主に迷惑行為に焦点を当てた単純なハッキング攻撃である場合もあれば、敵国の物理的インフラに損害を与えることを目的とした、長期的、複数年にわたる国家主導の大規模な作戦である場合もある。サイバー攻撃、あるいはサイバー脅威の作戦や運営者について、明確な「福音」となる定義はない。

しかし、この分野に精通する多くの関係者の間では、一般的に、改ざん、サービス拒否、データ窃盗、サーバー侵入などの形で、コンピューターやコンピューターネットワークに不正に侵入することを指す。さらに、国家によるものであれ、単独犯によるものであれ、何をもって史上「最初」のサイバー攻撃とするかについては、本当のコンセンサスは得られていない。多くの人はモリス・ワームを最初の本格的な攻撃の一つとして挙げるが、一方では1980年代初頭の連邦政府ネットワークへの攻撃を、専用のサイバー脅威行動の最初の本格的な出現として挙げる人もいる。歴史上、具体的にどのような脅威行為が選ばれたかは別として、実際のところ、参考になりそうな行為はたくさんあり、本当の正解はない。より重要なことは、サイバー空間とその周辺で発生した攻撃の方法は、その初期の段階から進化しており、技術の発展とともに変化し適応し続けているという現実を理解することである。

ビームの戦い

通信や電子関連のコンジットを活用した最も初期の攻撃のひとつは、コンピュータ化されたシステムに対するものではなく、当時はそのようなものは存在しなかった。サイバースペース作戦の直接的な一部とはあまり考えられていないが、通信メディアと電子システムを利用することから、サイバースペース戦争の初期の形態である信号スパイは、第2次世界大戦のはるか昔から、特定の作戦目的を達成するために利用されていた。特定の通信メディアをスパイ活動の手段として活用し、戦争に特化した成果を得た最も初期の例のひとつで、米英はドイツの敵対勢力を何年にもわたって惑わせ、混乱させるような攻撃を仕掛けた。

後に「ビームの戦い」として知られるようになるもので、ドイツの爆撃機は、発信地から送信される無線信号をたどることで、ヨーロッパ大陸からイギリスへと航行した（Manners, 2016）。ドイツのパイロットは、同じくヨーロッパ大陸から送信される第二のビームを傍受したとき、目標上空にいることを知ることができた。このシステムにより、ドイツの夜間襲撃機は暗闇の中で確実に目標を発見し、無事に帰還することができた–「ハッキング」されるまでは、である。

イギリスの技術者たちは、ドイツ軍が戦闘実行のために無線周波数の遠隔測定と調整を使用していることを発見し、ドイツ軍のコマンド信号を変更する対抗策を開発した。

ドイツの特定の周波数で正確な時間に同様の信号を放送することで、イギリスのサイバー戦争オペレーターはドイツの爆撃機を欺き、イギリスが選んだ場所に爆弾を投下させた。さらに、イギリスのサイバー攻撃はドイツ軍にとって帰還をほぼ不可能にし、多くの爆撃機は本拠地を見つけることができず、数機はイギリス空軍の飛行場に着陸さえし、パイロットは帰還したと思い込んでいた（Manners, 2016）。この周波数スペクトル（現在、一般的にサイバースペースと呼ばれるものの重要な部分）の使用は、サイバースペースが戦いの領域とみなされるようになる半世紀前に、サイバースペースの作戦能力を示す効果を生み出した。

モデムハック

コンピュータ脅威の研究と悪用の研究が最初に集中的に行われたのは、実は1970年代のことで、コンピュータとは無関係であった。電話システムは急速に成長し、巨大化していたため、生き残るためにはシステムを統合し、自動化する必要があった。この最初の自動電話システムは、大規模なテスト環境のために作られたが、すぐに多くの問題が発見された。電話が勝手に発信されたり終了したり、電話を持たない人に電話番号が割り当てられたり、その他無数の問題が明るみに出た。

これらの初期の問題は、システムの所有者やネットワークを管理する人々にとって問題であると考えられていただけで、実際には脅威とは考えられていなかった。1980年代には、モデムは、ますます一般的になりつつあった大規模ネットワークを接続し管理するための強力な手段となり、そのためモデムは、システムがハッキングされる可能性のある主要な侵害点となった。

コンピューター・システム上で初めて本格的なウイルスが発生したことについては、さまざまな意見があるが、コンピューターが問題となった現実は、1980年代半ばにコンピューターが家庭用品として普及するまでは、一般的な文献には出てこなかった。「モデムの時代」には、市外局番を名前に持つモデム・ハッカーのグループである414のようなグループが特定され、FBIによって逮捕された（Hansman, 2003）。

414グループは、ロスアラモス国立研究所と癌研究センターの電話ネットワークとモデムを標的とし、悪意のあるコードと、当時電話会社によって使用されていた自動化技術の欠陥に対する深い理解の組み合わせを使用して、これを悪用した。この最初に注目されたコンピュータ脅威キャンペーンが最終決定されてから間もなく、連邦政府はコンピュータ犯罪および乱用防止法（CISPA 2010）を可決した。この法律は、保護されたコンピュータを構成するものと、保護されたシステムに対して悪質な行為を行おうとする者に対する処罰を詳細に規定した（Grance, Kent, & Kim, 2004）。

アンチウイルスの成長

ハッカーやハッカー集団が行うような活動によってもたらされる可能性のある悪意を理解していたのは、革新的で勤勉な少数の企業だけであった。

その結果、シマンテックやIBMといった企業が、脅威を隔離し軽減するためにウイルスやマルウェアの研究・調査を始めたのはこの時期である。マルウェアとアンチウイルスの会社であるマカフィーは、この時代に設立された。ジョン・マカフィーは、友人や同僚のコンピュータの多くが異常な動作をし、動作が非常に遅いことに気づいた。いくつかの調査の後、彼は、プログラムがインストールされ、意図的にシステムに害を及ぼしているか、プログラムが単純に劣化し、実行中のシステムに害を及ぼし始めたかのどちらかであることを見分けることができた。

技術的な研究と開発の末、マカフィーはこれらのプログラム内の異常に対して特定の技術的なシグネチャを作成することができ、シグネチャに焦点を当てたマルウェアとアンチウイルスのシステムが誕生した（Hutchins, Cloppert, & Amin, n.d.）。McAfeeのシグネチャ認識と異常動作検出のシステムは、これらの新たに認識された脅威を軽減し、検出する上で極めて重要なポイントであるとすぐに認識された。一夜にして、企業がこれに追随し始め、企業の防御的サイバーセキュリティ運用が事実上「誕生」した。

連邦政府がこの種の活動に注目し始め、最初のコンピュータ緊急対応チーム（CERT）を設立したのは1987年のことであった（Grance et al.） 1990年代初頭までに、年間コンピュータ・ウイルスの検出率は、毎月1,000件を超えるまでに成長した。コンピュータ・ウイルスの検出と分離がコンピュータ・サイエンスの実践分野となるにつれ、ウイルス・プログラムの検出とシグネチャ生成も指数関数的に増加した。1995年までに、250,000を超えるウイルスやウイルスの亜種が一般化した。これらの初期の悪用や攻撃は、21世紀初頭に出現するサイバー脅威の成長とは比較にならなかった。

高度持続的脅威（APT）の幕開け

特定の標的を絞ったサイバー脅威、特にサイバー脅威の研究という分野は 2000年代初頭以前には、米国政府やその他の国家機関内で実践されていた以上の、本当の意味での正式な形で存在していなかった。政府機関以外でサイバー脅威やサイバー犯罪について初めて言及されたのは 2001年、国家安全保障局（National Security Agency）による機密扱いのないブリーフィングであった（Werlinger, Muldner, Hawkey, & Beznosov, 2010）。この報告書は、実際には国防総省（DoD）のような大規模なネットワークのセキュリティ確保に焦点を当てたものであった。しかし、リークと報告書の非機密扱いのおかげで、国防総省内で常識となりつつあった脅威が世間に広まった。

報告書のある側面では、高度に訓練され動機づけられたサイバー脅威が、すでに多くの国防総省のネットワークに深く入り込んでいる可能性が高く、将来的に攻撃を拡散させる計画の一環として、営利企業を積極的に標的にしていることを示唆していた。

APT（Advanced Persistent Threat）という言葉は、空軍情報局（Air Force Intelligence Agency）での議論の中で初めて明るみに出た（Iracleous, Papadakis, Rayies, & Stavroulakis, n.d.）。この議論では、中佐たちが、新しいタイプのコンピュータ・ハッカー、つまり、非常によく訓練され、非常に成功を収めており、おそらくは国家の敵対勢力や資金力のある犯罪組織によって資金提供され、訓練されたハッカーを分類するのに、どの用語を使うべきかを決定しようとしていた。これらの攻撃者は高度で持続的であり、確かに脅威であったため、APTという用語が生まれ、その後すぐに外国政府のサイバーオペレーターや熟練した脅威チームを指す業界標準の用語となった。この単一の用語は、可能性のある脅威のかなり広い範囲を分類し特定するために使用されているが、APTは現在、シンクタンクからホワイトハウスに至るまで、ほとんどすべてのサイバー戦争雑誌やサイバーセキュリティ関係者によって使用されていることは注目に値する。

真にAPT特有の攻撃と見なされるためには、業界とサイバーオペレーション関係者の両方にまたがる一部の（すべてではないが）分析グループに受け入れられているいくつかの一般的な基準がある。これらのグループにとって、攻撃がAPT攻撃や悪用の可能性が高いと見なされるためには、発生した作戦の全体像とグループが攻撃を実施した手段の両方が、一般的に以下の3つのカテゴリーに分類される必要がある：

高度 – 脅威の背後にいるオペレーターは、自由に使えるあらゆる情報収集技術を持っていなければならない。これらには、コンピュータへの侵入技術やテクニックも含まれるが、電話傍受技術や衛星画像などの従来型の情報収集技術も含まれる。攻撃の個々の構成要素は、特に「高度」とは分類されないかもしれないが（例えば、一般に入手可能なDIYマルウェア構築キットから生成されたマルウェアコンポーネントや、容易に調達できるエクスプロイト素材の使用など）、そのオペレーターは通常、必要に応じてより高度なツールにアクセスし、開発することができる。また、標的への到達と侵害、および標的へのアクセスを維持するために、複数の標的設定手法、ツール、およびテクニックを組み合わせることも多い。また、オペレーターは、「それほど高度ではない」脅威と区別するために、作戦上のセキュリティに意図的に重点を置いていることもある。

持続性 – 攻撃者は、金銭的またはその他の利益を得るために日和見的に情報を求めるのではなく、特定のタスクを優先する。この違いは、攻撃者が外部の組織によって誘導されていることを意味する。ターゲティングは、定義された目的を達成するために、継続的な監視と相互作用を通じて行われる。それは、絶え間ない攻撃やマルウェアのアップデートストームを意味するものではない。むしろ、「ロー＆スロー」なアプローチの方が成功することが多い。もしオペレーターがターゲットへのアクセスを失ったとしても、通常は再アクセスを試み、ほとんどの場合、成功する。ありふれたハッカーやコンピュータのハッキングによって金銭的な利益を得ようとする者など、特定のタスクを実行するためだけにアクセスを必要とする脅威とは対照的である。

脅威 – APTは、能力と意図の両方を持っているため脅威である。APT攻撃は、心ない自動化されたコードではなく、人間の協調的な行動によって実行される。攻撃者は特定の目的を持ち、熟練し、動機づけられ、組織化され、十分な資金を得ている。この資金源は通常、ホスト国の政府か、マフィアや犯罪シンジケートのような極めて資金力のある極悪集団であることが知られている。しかし、場合によっては、これらの提供者のいずれか、あるいは複数から資金が提供されている可能性が指摘されており、資金源が犯罪企業とホスト国のエージェントの間に織り込まれているように見えるケースさえある。

サイバーセキュリティの脅威やAPTを研究または分類しているほとんどの世界では、通常、比較的特定の標的、戦術、手順、またはTTP（Targets, Tactics, and Procedures）を持つこの分野の主要なプレーヤーが数人いる：

ロシア – 主に、世界におけるロシアのパワーポジションを向上させることに注力している。彼らは通常、長期的な脅威活動に従事しており、その活動にはスパイや人的資産の利用が含まれることが多い。加えて、ロシアのAPTは極めて資金力があり、エストニアやクリミアへの攻撃に見られるように、必要に応じて運動論的サイバー攻撃（インフラや資産に対する物理的な攻撃で破壊をもたらす）を行う能力があることが知られている。ロシアのAPTはまた、標的を絞った影響力や偽情報キャンペーンの分野でも重要な技術と能力を有しており、ソーシャルメディアや消費者との交流の普及を悪用の手段と見なしている。

中国 – 中国のAPTグループは、サイバー空間での活動を通じて知的財産の窃盗に最も成功している。これは、中国の軍と政府内の国家的な集中的な努力によって行われており、戦略的な計画は、彼らの作戦を通じて敵を「飛躍」させることを目的としている。優位に立つためのこの飛躍的なアプローチは、中国にとって国家レベルの重点分野である。中国の指導者たちは、可能な限り科学技術における能力を強化することを目指すという点で、戦略計画の詳細をオープンにしている。中国のAPTは、中国で製造された機器にハードウェアやチップを埋め込むことまで厭わずスパイ活動を行い、アメリカやイギリスのインターンシップや教育プログラムを利用して、企業や政府機関の研究開発グループに工作員を送り込むことが知られている。

北朝鮮 – 北朝鮮のAPTは通常、彼らが望むほど執拗ではない。北朝鮮のAPTグループは、国内での接続が制限されていることや、渡航やロジスティクスに関する制裁措置が取られていることから、主に自国の国家イメージを貶めたり傷つけたりするような事業体に対して攻撃を仕掛けることが多い。

彼らは、広範な訓練（多くの場合、中国で学んだ）を受けた専門のサイバー・オペレーション・グループを持っているが、基本的なランサムウェア攻撃以上の重要な作戦を実施する能力は限られている。SONYの悪用作戦で指摘されたように、機会のある弱い標的を攻撃するのが彼らの最も一般的な活動である。

イスラエル – 8200部隊は、イスラエルのサイバー集団のエリート中のエリートである。このユニットは、最もよく訓練され、経験豊富なサイバーオペレーション要員で構成されており、認識された脅威に対抗するために、十分な資金と集中的なオペレーションを行っている。しばしば8200部隊はサイバー脅威作戦でイランと直接交戦するが、米国やNATO諸国が遭遇する通常の容疑者と同様に、中東の大多数の国家からも攻撃を受けていると考えるのが論理的である。イスラエルのサイバー・オペレーション・グループは今年、イラン系ハッカー・グループがイスラエルの資産に対する攻撃に関与していることが発覚した後、イラン系ハッカー・グループのビルを爆撃し、サイバー攻撃に対する最初の武力的対応のひとつを行った。多くの研究者の間では、このミサイル攻撃によるハッカー集団の駆除は、サイバー脅威活動に対する最も重要な反応のひとつであり、サイバー戦争における行動には文字通り生死を分ける結果があることを示している。

APTの搾取と標的化もまた、搾取や侵害の最中とその後の両方で匿名性を維持しようとする、明確に定義された方法論と実践に従っている。これもまた、いくつかの要因によるものと思われるが、その最たるものは、作戦に資金を提供し、指導するホスト国が、このような秘密裏に行われ、損害を与える可能性のある攻撃に参加していることを知られたくないということである。

しかし、APTの定義や、この攻撃分類の用法の明確化は、サイバースペース全体ではまだ採用されていない。多くの異なる機関、企業、政府にとって、APTの悪用事象を具体的に定義することは極めて困難である。NATOのような組織には、その統合オペレーション・センターで活動する28以上の異なる国があることを考えてみよう。

これらの異なるグループはそれぞれ異なるAPTグループやアクターによって積極的に標的とされ、独立してハッキングや悪用されているが、NATO全体ではAPT指定の必要性を簡潔かつ明確に詳述する報告基準や手段は文字通り存在しない。米国政府の異なる機関の中でさえ、APTの悪用イベントやハッキングを具体的に詳述しようとしてもうまくいかない。国家安全保障局（NSA）はAPT攻撃を判断するための独自の基準を持っているが、CIAとFBIはそれぞれ独自の基準を持っており、そのほとんどは相互に参照し合うことはなく、これらの項目について具体的に説明するための同じルールを持っていない。

APTの操作と悪用のためのまとまった統一定義がないことは、この研究分野が現在、そして過去において、いかに流動的でダイナミックであるかを示す好例である。さらに、この例は、コンセンサスの欠如と広範な用語の定義がサイバーオペレーションと分析にいかに浸透しているかを示しており、業界で使用される最も重要な用語の1つを定義することさえせいぜい困難である。

初期のAPT攻撃

2000年代半ばから後半にかけて、コンピュータとインターネット業界の大部分は、ネットワークのスピードと相互運用性を高め、製品の使い勝手を向上させることだけに集中していた。組織的かつ大規模な攻撃が発見されるまで、コンピュータ、そして後のサイバー・セキュリティの将来に対する懸念が、開発者と政治的権力者の双方にとって真剣に考慮されるようになることはなかった。この最初の本格的な大規模サイバー脅威攻撃は 2007年のZeusボットネットの発見であった（Singh & Silakari, 2009）。この攻撃は、とりわけ米国運輸省を標的とし、政府システムから大量のデータを抽出する役割を担った。

マスター制御システムのパスワード、システム管理者のパスワード、ネットワークと制御のマッピングシステム、独自のコードサンプルなど、幅広いデータがすべて持ち出された（Singh & Silakari, 2009）。それ以前にも多くのコンピュータウイルスやさまざまなバリエーションのコンピュータ脅威が存在したが、Zeusボットネットの発見と、脅威グループの背後にいる人々のエンジニアリングと強力なプログラミング能力によって、サイバーという用語が開発され、サイバー脅威の専門的な研究が独自の分野で注目されるようになった。

運動的サイバー戦争作戦の領域では、最初の本格的な攻撃は2007年に起こった。ロシアはエストニアとの間で、アクションは少ないものの、非常に緊迫した紛争を繰り広げていた。この紛争は、基本的なニュース報道以上の国際的な意義はなかったが、その後のサイバー攻撃とその計画は確かに重要だった。政治的、社会的なサーベルが鳴り始めると、ロシア政府はエストニア侵攻のための物理的な戦力を整えた。攻勢的な地上作戦が始まると、エストニアのインターネットベースのインフラは、ほぼあらゆる面で分散型サービス拒否（DDoS）攻撃（Goodchild, 2009）を受け、シャットダウンされるか、少なくとも著しく機能低下した。

銀行システム、政府ウェブサイト、国営メディア、電気システムから、軍事的または戦略的に重要なその他の接続システムまで、すべてがこれらの攻撃によって「オフライン」にされた。このキャンペーンの一環として、ロシア内外の何万台ものコンピューターやサーバーから、何十億ものパケットが同時に発射された。エストニアのシステムがクラッシュし始め、通信と調整が中断されると、ロシア軍は所定の位置に移動し、エストニア政府にその意思を押し付けた。公式には、どのサイバー攻撃もロシア軍や政府に起因するものでも、ロシア軍や政府が認めたものでもなかったが、その意味合いと証拠の痕跡から、この軍事作戦と連携したサイバー攻撃が開始されたことが示された。これは、比較的単純でありながら協調的なサイバー攻撃が、通信を妨害するだけでなく、防御システムを著しく妨害し、攻撃を受けているものにとって指揮統制の実質的な喪失を引き起こす可能性があるという、現代の戦争時代における最初の、そして最も強力な例のひとつであった。

サイバー防衛における混乱

最近の歴史では、サイバー脅威の定義や、サイバー脅威を構成するものの違いを体系的または知的にさらに区分けする試みは、よくても困難になっている。サイバーセキュリティとサイバー脅威に関するマルウェアの使用を考えてみよう。マルウェアは確かにサイバー脅威問題のサブセットと考えられてはいるが、それ自体が特定用語というわけではない。通常、サイバー分野における研究や学術的な研究は、マルウェアをサイバー問題の一部として論じており、マルウェアという用語に関する研究や議論は、即座にマルウェアの種類そのものを分類することになる。さらに、ソーシャル・エンジニアリングやエクスプロイトといった用語や定義も、サイバー脅威研究の総体的な定義の一部となっている。

通常、これらの用語は、特定のサイバー脅威グループや特定のオペレーションに付随するものとは考えられていない。サイバー研究の中で、これらの用語とその使用法はほぼ日々進化しており、特定のサイバー行動や操作をサイバー脅威のグループに結びつける研究になっている。これは、雨を手のひらで受け止めようとするのと同じことである。メディアはあまりにも速く動き、気まぐれに変化する。

米国と同盟国のサイバー防衛体制

国家安全保障関連のインフラを指揮統制し、米国のサイバー空間における国益を守る能力を高める作戦を展開するための、正式な戦争専門の戦闘部隊が設立されるのは、1990年代半ばになってからである。欧州では、サイバースペースで秘密または極秘レベルで活動できる実際の機能的な戦闘組織の設立は 2000年代半ばにNATOサイバー・タスクフォースと英国政府通信本部（GCHQ）のサイバー・セキュリティ・ユニットが正式に発足するまで具体化しなかった。

さらに遅れて2009年、国家レベルで安全保障サイバー空間におけるあらゆる攻撃行動をとるための唯一の軍事指揮機関が設立された。これは、メリーランド州フォート・ミードにあるNSAに本部を置く米サイバー司令部の設立によって行われた。

この空間の進化と、これらの新しい構成司令部の設立、そしてそれらが現在包含している権限と能力について注目すべき重要な点は、これが攻撃的なものではなく、ほぼ完全に防御的な努力の中で起こったということである。これらの戦闘組織の設立は、それぞれの国家資産とインフラを防衛するという前提のもとに、ほとんど単独で行われた。サイバー攻撃能力が実際に実践され、使用されるようになったのは 2000年代後半になってからである。敵対国に関する知識や情報を得るという情報戦から、敵対国に対する運動論的・非運動論的な攻撃を行うというサイバー戦への、このゆっくりとした、しかし重要な進化は、戦場の変化を認識した上での、任務の微妙な変化を示している。

世界に響いたサイバーショット

サイバーセキュリティ作戦に焦点を絞った国際的な司令部や作戦グループの設立は、サイバー空間防衛において必要な実践であった。しかし、このような組織の成長と正式化は、防御態勢だけに長く焦点を当てたものではなかった。2010年代初頭、これらのグループはサイバー空間で新冷戦を展開し、その実態が暴露され始めた。この密かな攻防はやがて、サイバースペースで最も強力な国家レベルの兵器がインターネット上に流出し、商品化されることになる。誰でも、どこでも、アクセスでき、狙った標的に狙いを定めることができる。このような国家レベルのサイバー兵器のうち、最初に公開され、最も衝撃的だったもののひとつが、米国のサイバー兵器であるスタックスネットである。

スタックスネット・ワームが米国の特定のサイバー作戦の結果であるという「公式」な宣言はないが、この兵器がどこから発生したものであるかは広く受け入れられている。スタックスネットは 2000年代後半から2010年代前半にかけて起こったイラン政府の核開発に対する米国との緊張関係の直接的な結果であった。公然と脅しをかける政権による潜在的な核兵器開発を阻止するため、米国はコードから構築された新たな大量破壊兵器を放つことになった。

Stuxnetの開発は2000年代初頭、おそらく2003年か2004年に始まり、開発には数カ月から1年を要した。Stuxnet内で動作するコードを分析した結果、この種の兵器に必要な高度な技術は、当時サイバー空間における世界的な超大国であった米国からしか得られないことが判明した。米国がその超大国であるという前提に立てば、Stuxnetのような複雑な兵器を可能にする高度なコードを開発する能力を持つのはNSAしかない。

2009年末から2010年初め以前は、NSAには攻撃的なサイバー作戦能力だけに焦点を絞った、あるいはそれを任務とする特定のミッションセットはなかった。2010年に米国サイバー軍司令部が設立される以前の NSAの各局におけるミッションのほとんどは、緩やかに結びついたミッションセットとして運用されており、多くの場合、情報の収集と発信に特化していた。Stuxnet兵器の開発は、実際には、イランで起こりうる標的に関する情報収集と、ナタンツ原子力発電所で稼働している特定の脆弱なハードウェアを悪用できるという認識とが融合した結果であった。

NSAの情報収集装置は、ナタンツ原発内でどのようなハードウェアが使用されているかを公然と宣伝している原発のプロバイダーに関するオープンソースの技術情報を収集することに成功していた。イランのナタンツ核施設にサポートとハードウェアを提供した企業は、関連プロバイダーとの契約の一部として、シーメンスS7プログラマブルロジックコントローラー（PLC）のサービスを行っていると記していた。

この情報は、他の方法で収集された他の情報資源と組み合わされ、Stuxnetワームの開発と展開に不可欠なものとなった。

核施設内の内部システムにStuxnetをインストールさせ、起動させる作戦は、CIAがイランに持つ人脈を利用した複合的な人的スパイ活動の結果であった可能性が高い。これらの諜報機関には、Stuxnetの初期バージョンが入ったUSBデバイスが提供され、そのUSBをナタンツのネットワークに接続されたデバイスに挿入するだけという簡単さで、最初の一撃が放たれた。マルウェアはナタンツ・ネットワークの中核に深く入り込み、最終的にウラン濃縮に使われる遠心分離機内の重要な機能を制御するPLCコントローラーをターゲットとした。この悪質なコードはゆっくりと、そして密かにその役割を果たし、正確なプロセスに必要な特定の速度に影響を与えることで、施設のウラン濃縮能力を低下させた。イスラエルの8200部隊など、他の国家もStuxnet攻撃の責任を問われているか、イランの標的ネットワークへのマルウェアのインストールに関与している可能性が指摘されている。具体的に誰が攻撃を仕掛けたかにかかわらず、結果は否定できない。物理的なシステム、つまりウラン濃縮を行うシステムが被害を受け、損傷したのだ。これにより、イランの核開発プログラムの効率と能力が低下し、当時の特定の核能力を獲得する能力に影響を与えた。

しかし、この兵器は意図した標的だけにとどまったわけではない。Symantec社によるナタンツ核施設への攻撃後の調査によると、10万を超えるユニークなインターネットプロトコル（IP）アドレスが、Stuxnetウイルスのバージョンを見たり、暴露されたりしていた。Stuxnetは、非常に焦点を絞った範囲での活動を目的とした兵器であったが、その兵器がイランのネットワークの枠を超えて拡大するのに時間はかからなかった。この兵器がイランのネットワーク内で拡散するために使用した方法と戦術は、ほとんどのマシンがMS Windowsソフトウェアを実行していたため、このマルウェアがネットワーク外の脆弱なマシンにさらされれば、複製されて世界中に移動することを意味していた。まさにそれが起こったのだ。

ナタンツの攻撃から3年後までに、Stuxnetのシグネチャに関連する40,000件以上の感染が「野放し」で指摘され、マルウェアの3つの異なる特定の亜種が、遠く離れた台湾の研究者によって発見された。

その後7年間、Stuxnetの異なる亜種が世界中のさまざまな組織で発見された。Stuxnetとは異なるが、技術的には密接に関連するバージョンのDuquは、2011年にブダペストで発見された。Duquには、Stuxnetツールとまったく同じ技術的構成要素が多く含まれていたが、Duquは、システムを物理的に破壊するために構築されたというよりも、キー入力を含む情報を収集するために設計されていた。Stuxnetと密接に結びついたもう1つの技術的亜種であるFlameは、2012年に発見された。FlameにもStuxnetのコードとプロトコルと同じ部分が含まれていたが、FlameはSkype通話を含む音声やチャットの会話を収集・記録するように変更されていた。

2017年になって、Stuxnetのオリジナルツールのさらに別の亜種であるTritonが、イランの核ネットワークをはるかに超えたシステムに潜んでいることが判明した。Tritonは、同じシーメンスS7 PLCコントローラのバリエーションを使用する石油化学プラントの安全システムを無効にするために修正された。研究者たちによって「世界で最も殺人的なマルウェア」と呼ばれた。Tritonは安全制御を無効にすることに重点を置いていたため、化学プラントで爆発的な制御障害を引き起こす可能性があった。Stuxnetは米国のサイバー兵器であった可能性が高いが、その亜種は米国やその同盟国だけのものではなかった。サイバー企業FireEyeの追跡調査では、Tritonはロシアの組織によるものだとされている。Duquは中東で発生した可能性が高いと指摘されている。そして、Flameはまだ具体的な出所不明だが、どこかの組織が製造したはずだ。

巧妙に作られたサイバー兵器による最初の攻撃は、兵器が標的地域外に流出した秘密戦争の最初の攻撃だった。この兵器Stuxnetは、世界が初めて知ることになった国家によるサイバー兵器である。Stuxnetの使用は、その亜種と攻撃ツールを生み出し、本来の意図された活動領域をはるかに超えて、サイバー戦争のオペレーターたちによって使用されている。

いたちごっこのサイバー戦争

その後数年間、イランはスタックスネットの攻撃をただ黙って見過ごし、無反応の立場を取ることはなかった。イランはすぐにサイバー作戦を強化し、相応の対応をとった。2012年、Stuxnetに対するイランの対応策「クリーバー作戦」が開始された。クリーバーの標的は、軍、石油・ガス、エネルギー・公益事業、運輸、航空、空港、病院、通信、テクノロジー、教育、航空宇宙、国防産業基盤（DIB）、化学企業、政府などであった。スタックスネット攻撃への報復として、他にもシャムーンやアバビル作戦というサイバー攻撃が行われた。これらの攻撃は、米国の銀行システムとサウジアラビアの石油事業を標的としていた。これらの攻撃は重要だったが、標的とされた銀行と石油施設の石油出荷能力に金銭的打撃を与えただけで、大した結果にはならなかった。

クリーバー作戦はスタックスネット攻撃に直接対応したものだが、その行動はまったく同じではなかった。スタックスネットがイランの核遠心分離機に比較的短期間で物理的な損害を与えることに重点を置いていたのに対し、クリーバー作戦はより長期的な策略だった。クリーバー作戦は、イランが取引で経済的優位に立つために利用できる知的財産やデータを含む可能性のあるあらゆる「低い果実」を基本的に標的としたという点で、より大規模なものだった。NMCIとして知られる米海軍／海兵隊のイントラネット、重要インフラプロバイダー、航空会社のオペレーショングループから教育機関まで、あらゆるものが攻撃された。

使用されたイラン製マルウェアは、Stuxnetツールの攻撃後の分析により、彼らがマルウェアの構築と設計に関する教訓を学んでいたことを示した。マルウェア「Operation Cleaver」は、Stuxnetと同様の流れでシステムを攻撃した。Cleaver マルウェアは、脆弱な標的を見つけ、エクスプロイトを実行し、ネットワークに深くワーム侵入した後、コマンド・アンド・コントロール・インフラストラクチャを使用して、侵害された環境からデータを流出させる。

Stuxnetがエクスプロイトをパッケージ化し、ネットワークそのものを活用して最終的な標的を見つけたように、Cleaverもまた、エクスプロイトをパッケージ化し、ネットワークそのものを活用して最終的な標的を見つけた。しかし、Stuxnetがデジタル・メスのような巧妙なマルウェアであったのに対し、Cleaverのツールは、システムを打ちのめすオープンなエクスプロイトをあからさまにパッケージ化したもので、その痕跡をほとんど隠そうとしなかった。一般的なサイバーセキュリティ・プロバイダーは、Cleaverマルウェアのサンプルを収集し、イラン関連組織に公然と登録されているドメインやサイトを見つけることができた。米国や連合国の政府関係者だけでなく、多くのアナリストが薙ぎ払い攻撃の後、このマルウェア・キャンペーンが巧妙でなかった理由は、イラン人による力の誇示であったと指摘している。

パンドラの箱が開く

2010年代後半は、その前半と同様にサイバー戦争の未来にとって重要な時期であった。しかしこの場合、サイバー兵器が明らかになったのは国家間の行き来だけが原因ではなく、混乱を引き起こすことを目的とした不正なハッカー集団が原因であった。

シャドウ・ブローカーズは、2015年と2016年にこうした活動の最前線に登場した。シャドウ・ブローカーズという名前は、当時人気のあったビデオゲーム「マスエフェクト」にちなんだものだ。そのゲームでは、シャドウ・ブローカーは情報を売買し、最高入札者に売る組織のトップだと言われていた。サイバースペースのシャドウ・ブローカー部隊は、彼らが選んだ商売で高い能力を発揮していたようだ。シャドウ・ブローカー・ユニットがインターネットに投稿した最初のリークは、アメリカ政府、特にサイバー兵器の開発者であるNSAを直接狙ったものだった。

2016年8月13日、シャドウ・ブローカーはPastebinに、Equation Groupが提供する特定のツールへのアクセスを、未知の手段で入手したとする通知を投稿した。Equation Groupは、NSAの活動拠点であるメリーランド州フォート・ミードにあるテーラード・アクセス・オペレーション・チームの一部であるか、直接関係していることが知られている。

このチームは、2010年に米サイバー司令部が設立されるまでに発展した部隊であり、スタックスネットの設計と展開に直接関与したと考えられている。米国政府のデジタル兵器製造工場である。このPastebinの通知は、次のような文章で始まっている：

「Equation Group サイバー追跡兵器オークション – 招待状」

– ————————————————

!!! サイバー戦争の政府スポンサーと、そこから利益を得る人々に告ぐ！!!!

敵のサイバー兵器にいくら払う？あなたがネットワークで見つけるマルウェアではない。双方、RAT+ LP、フルステートスポンサーツールセット? 我々は、stuxnet、duqu、flameの作成者によって作られたサイバー兵器を発見した。カスペルスキーは Equation Groupと呼んでいる。Equation Groupのトラフィックを追跡する。Equation Groupのソース範囲を見つける。Equation Groupをハッキングする。多くのEquation Groupサイバー兵器を発見した。写真を見る。Equation Groupのファイルを無料で提供する。これは良い証拠だ。楽しんでくれ！ 多くのものを壊す。多くの侵入を見つける。多くの言葉を書く。しかし、すべてではない、我々は最高のファイルをオークションにかけているのだ」

投稿は以下のように続く：

”Pastebinは、暗号化されたオークションファイルのパスワードを入手するための指示を続けている：

オークションの手順

– ——————–

我々は最高のファイルを最高入札者にオークションする。stuxnetよりも良いファイルを競売にかける。オークションファイルは、私たちがすでに提供している無料ファイルよりも優れている。最も多くのビットコインをアドレスに送る： 入札が停止する前に19BY2XCgbDe6WtTVbTyzM9eR3LYr6VitWKは落札者であり、我々は、復号化する方法を教えている。非常に重要だ！ ビットコインを送信するとき、取引に追加の出力を追加する。

OP_Return出力を追加する。Op_Return出力には、あなた（入札者）の連絡先を記入する。bitmessageまたはI2P-boteのメールアドレスを使用することを推奨する。それ以外の情報が公開されることはない。署名のないメッセージを信じないこと。落札者に復号化の指示を連絡する。当選者は好きなようにファイルを扱うことができ、我々はファイルを公開しない。”

2017年10月のPastebinへの投稿に続き、シャドウ・ブローカーズは再び、特定のNSAレベルのツールにアクセスできたと投稿している。

シャドウ・ブローカーズによる別の投稿はその年の後半に現れ、シャドウ・ブローカーズに接触する者には誰でも、様々な高度な搾取ツールへのアクセスとスクリーンショットが提供された。シャドウ・ブローカーズによる最もインパクトのあるリークは、2017年4月に彼らの@Shadowbrokersアカウントにリンクされたツイートを投稿したときにもたらされ、そこにはコードワードのエクスプロイトへのリンクがあった。その中で最も強力だったのがEternalBlueだった。このエクスプロイトは、オンラインに投稿されてから最初の2週間で20万台以上のマシンが感染するという直接的な被害をもたらした。EternalBlueエクスプロイトの残骸は、その後のWannaCryやNotPetyaランサムウェア攻撃に登場し、数百万台のマシンが影響を受け、世界中の組織が数十億ドルの損失を被ることになった。

シャドウ・ブローカーの背後にある具体的な動機が、実際に具体的に知られることはないだろうが、彼らの行動の結果は確実に知られるようになった。シャドウ・ブローカーによる情報漏えいの所有者は、おそらくアメリカ連邦政府による報復を非常に恐れているため、現在に至るまで存在しない。これらのリークに関係している可能性のある人物について、報道陣が指摘した例はあった。そのうちの一人はハロルド・T・マーティンという元ブーズ・アレン・ハミルトン社の請負業者で、FBIの家宅捜索で50テラバイト以上の盗まれたNSAのツールとエクスプロイトを発見されたため、犯人の可能性が高いと考えられたが、その主張は立証されず、彼の逮捕後もシャドウ・ブローカーは投稿を続けた。エドワード・スノーデンは自身のツイッターで、「状況証拠と従来の常識は、ロシアの責任を示している」と述べたが、これも立証されることはなかった。

シャドウ・ブローカーが誰であろうと、ロシアのモグラであろうと、不満を抱えた従業員であろうと、国家のハッカーであろうと、政治活動家であろうと、これらのリークが、地球上のすべての男性、女性、子供に自由に提供された政府設計の戦術兵器に相当するという事実に変わりはない。

結論

サイバー戦争は現在、情報ネットワークやネットワークに接続されたシステムに限定されているが、近い将来、飛躍的に拡大するだろう。脅威行為者とサイバー戦士は、運動論的効果と非運動論的効果のどちらかを決めるのではなく、望ましい結果をもたらすのに最適な効果を選ぶだろう。サイバーベースの効果は、コンピュータとインフラストラクチャーのネットワークだけに限定されるものではなく、むしろ、陸、空、海、宇宙、サイバースペース領域にわたるすべての電子情報処理システムを包含するようになる。サイバー戦争の未来は、残念ながら、防衛側にとっては、政策、技術、脅威によって妨げられたり、決められたりするものではない。BlueKeepやその亜種のような国家レベルの主要なエクスプロイトの流出や、ソーシャルメディアへの影響力やボット戦術のような戦力増加要因の拡散は、将来のサイバー攻撃の多様性と獰猛性を加速させ、増加させるだろう。

新しいテクノロジーは、サイバースペースで使用される武器だけでなく、その領域自体の構成にも不釣り合いな影響を与えるだろう。サイバースペースに関する国家政策は、サイバー能力の目的と交戦ルール、作戦の組織と実行を規定するが、それらの「ルール」は、それに同意する国家と戦闘機にのみ適用される。サイバースペースにはジュネーブ条約はなく、防衛側に制限を設けることは、ルールに従って行動しない者に力を与えるだけなのだ。サイバースペースは、北朝鮮やイランのような国家が、地球上で最も強力な国家と同じ壊滅的な影響を及ぼすことができる、地球上で唯一の領域である。デジタル空間の利用は、事実上、競争の場を平らにしている。

デジタルの世界は、国家や組織が未来に向けて戦い続ける場所である。その「地盤」を所有し、敵から主導権を奪うことは、スパイ活動や戦争の歴史において目新しいことではない。それは単に、新冷戦を推進し続けるであろう戦争が戦われる場所の進化によって必要とされる、道具と戦術の変化である。

戦争するサイバー超大国と世界のハッカー組織との間の無人の土地の真ん中にいる我々にとって、つらい真実がある。半世紀にわたる過剰なイノベーションのスピードと、失敗したセキュリティパラダイムへの依存が、こうした侵入や悪用を成功させ続けているのだ。

この章では、この分野の歴史に深く入り込み、何が我々をこの分野に集合させたのかについて、非常に事実に基づいた分析を行った。次の章では、われわれが構築してきたネットワークと、これらのインフラの基礎となるアーキテクチャにどのような欠陥があり、今後も失敗し続けるであろうかについて議論する。

参考文献

Manners, D. (2016, October 21). The Battle of the Beams. electronicsweekly.comから取得： www.electronicsweekly.com/blogs/mannerisms/yarns/the-battle-of-the-beams-2016-10/

付録-2019年を通しての主なサイバー事件

2019年11月

イランのハッカーが産業制御システムの大手メーカーやオペレーターの従業員のアカウントを標的とした。(国家産業スパイキャンペーン）。

非国家的行為者とされる者が、大規模なDDoS攻撃で英国労働党を標的にし、同党のコンピュータ・システムを一時的にオフラインにした。(国家による偽情報と選挙妨害）。

2019年10月

イスラエルのサイバーセキュリティ企業が、WhatsAppの脆弱性を悪用し、少なくとも20カ国の政府・軍高官を標的にするスパイウェアを販売していたことが判明した。(国家によるスパイ活動と情報収集)

国家主導のハッキング・キャンペーンにより、グルジア全土で、裁判資料や個人情報を含む政府や裁判所のウェブサイトを含む2,000以上のウェブサイトがオフラインになった。(国家偽情報と情報収集）。

インドは、原子力発電所のネットワークで、データ抽出を目的とした北朝鮮のマルウェアが確認されたと発表した。(国家による産業スパイと情報収集）

北朝鮮のハッカーと思われる人物が、国連やその他のNGOで北朝鮮関連の問題に取り組んでいる個人から認証情報を盗み出そうとした。(国家情報収集）

NSAとGCHQは、ロシアのサイバースパイキャンペーンが中東のターゲットをスパイするためにイランのハッキンググループのツールとインフラを使用していたことを発見した。(国家産業スパイと偽旗作戦）

ロシアのハッカーは2013年以来、欧州数カ国の大使館や外務省を標的にしたキャンペーンを展開していた。(国家情報収集）

イランのハッカーは2013年から2017年の間に世界中の170以上の大学を標的にし、34億ドル相当の知的財産を盗み、盗んだデータをイランの顧客に販売していた。(国家による知的財産の窃盗と情報収集活動）。

中国のハッカーは2010年から2015年にかけて、中国製旅客機C919の開発を支援するため、外国企業から知的財産を獲得する複数年にわたるキャンペーンを行った。(国家による知的財産の窃盗と情報収集活動）。

1億人以上のユーザーを持つ中国政府後援のプロパガンダアプリが、位置情報、メッセージ、写真、閲覧履歴へのアクセスを許可するバックドアを持つようにプログラムされていたことが判明した。(国家偽情報と情報収集）。

モロッコ政府はイスラエルから購入したスパイウェアを使い、2人の人権活動家を標的にした。(国家情報収集）

国家が支援するハッキンググループが、東欧の外交官や著名なロシア語を話すユーザーを標的にした。(国家情報収集活動）

中国のハッカーは、ドイツ、モンゴル、ミャンマー、パキスタン、ベトナムの団体、ISISに関する国連安全保障理事会決議に関与する個人、アジアの宗教団体や文化交流NPOのメンバーを標的にした。(Nation State Intelligence Collection）

イランのハッカーは、トランプ陣営や現・元米政府高官、ジャーナリスト、海外在住のイラン人に対して一連の攻撃を行った。(国家偽情報と情報収集）。

国家に支援された中国のハッカーは、2013年以降、ミャンマー、台湾、ベトナム、インドネシア、モンゴル、チベット、新疆ウイグル自治区の標的に対して、少なくとも6回のスパイ活動を行ったことが明らかになった。(ネイション・ステート・インテリジェンス・コレクション）

エジプト政府は、ジャーナリスト、学者、弁護士、人権活動家、野党政治家に対する一連のサイバー攻撃を行った。(国家情報収集）

中国のハッカーが2019年前半、東南アジア各地の政府機関や大使館など政府関連の大使館を標的にしていたことが判明した。(国家情報収集)

2019年9月

米国は、イランによるサウジアラビアの石油施設への攻撃に対する報復として、イランに対するサイバー作戦を実施した。この作戦は物理的なハードウェアに影響を与え、イランのプロパガンダ拡散能力を妨害することを目的としていた。(国家産業スパイキャンペーン）

エアバスは、商業機密を狙うハッカーが、同社の下請け企業4社を標的とした一連のサプライチェーン攻撃を行っていたことを明らかにした。(国家によるIP窃盗と情報収集作戦）

2019年7月に米国の公益事業会社3社に対する攻撃に関与した中国国家支援のハッキンググループが、その後他の17社を標的にしていたことが判明した。(国家による産業スパイ活動）。

ロシア政府とつながりのあるハッカーが、東欧・中央アジア各国の大使館や外務省に対してフィッシング・キャンペーンを行った。(国家情報収集）

中国のハッカーとされる者が、チベットの上級議員やダライ・ラマと関係のある個人を標的に、モバイルマルウェアを使用した。(国家偽情報と情報収集）。

北朝鮮のハッカーが2019年夏、北朝鮮の核開発計画や対北朝鮮経済制裁について調査している米国企業を標的としたフィッシング・キャンペーンを行っていたことが明らかになった。(国家産業スパイキャンペーン)

イランのハッカーは知的財産を盗むために、米国、オーストラリア、英国、カナダ、香港、スイスの60以上の大学を標的にした。(国家による知的財産の窃盗と情報収集活動）

ファーウェイは、米国政府が同社のイントラネットと内部情報システムをハッキングし、事業運営を妨害していると非難した。(国家による産業スパイ活動)

2019年8月

中国は、アップル、グーグル、ウィンドウズの携帯電話向けのこれまで公表されていなかったエクスプロイトを使用して、侵害されたウェブサイトを使用してウイグルの人々にマルウェアを配布した。(国家による偽情報と情報収集）。

中国の国家に支援されたハッカーが、米国の複数のがん研究機関を標的に、最先端のがん研究に関連する情報を窃取していたことが明らかになった。(国家によるIP窃盗と情報収集活動）

北朝鮮のハッカーは、少なくとも3カ国の外務省職員を対象にフィッシング・キャンペーンを行った。(国家産業スパイキャンペーン)

ファーウェイの技術者は、アフリカの2カ国の政府高官が政治的ライバルを追跡し、暗号化された通信にアクセスするのを手助けしていた。(国家による偽情報と情報収集）。

チェコ共和国は、同国外務省が不特定の外国からサイバー攻撃を受けたと発表した。(国家情報収集）

インドのサイバースパイと思われるグループが、中国の政府機関や国有企業を標的に、経済貿易、防衛問題、外交関係に関する情報を求めるフィッシング・キャンペーンを行った。(国家情報収集）

バーレーンの複数の政府機関や重要インフラ・プロバイダーのネットワークが、イランとつながりのあるハッカーによって侵入された。(国家産業スパイキャンペーン）

これまで正体不明だった中国のスパイグループが2012年以降、テレコミュニケーション、ヘルスケア、半導体製造、機械学習など、中国政府が戦略的優先事項として特定した業界の外国企業からデータを収集するために活動していたことが判明した。このグループはまた、仮想通貨の窃盗や香港の反体制派の監視にも積極的だった。(国家によるIP窃盗と情報収集活動）

ロシアのハッカーは、プリンター、VoIP電話、ビデオデコーダーなどの脆弱なIoTデバイスを使って、高価値の企業ネットワークに侵入していることが確認されている。(国家情報収集）

正体不明のスペイン語スパイグループによる7年にわたるキャンペーンにより、ベネズエラ軍の高官から機密地図ファイルが盗まれたことが明らかになった。(国家情報収集）

2019年7月

国家に支援された中国のハッカーが、米国の大手電力会社3社の従業員に対してスピアフィッシング・キャンペーンを実施した。(国家産業スパイキャンペーン)

暗号化された電子メール・サービス・プロバイダーであるプロトンメールが、ロシアの諜報活動に関する調査を行っている記者や元情報当局者のアカウントへのアクセスを狙う国家支援グループによってハッキングされた。(国家情報収集）

BASF、シーメンス、ヘンケルを含むドイツの大手工業会社数社が、中国政府との関連が報告されている国家主導のハッキング・キャンペーンの被害にあったと発表した。

中国のハッキング・グループが、情報技術、外交、経済発展に関わる東アジア全域の政府機関を標的にしていたことが発覚した。(国家情報収集）

米国沿岸警備隊は、商船が国際水域を航行中にマルウェアによってネットワークが妨害されたという報告を受け、警告を発した。(国家情報収集）

イランのハッキンググループが、中東で活動する金融、エネルギー、政府機関に関連する。LinkedIn ユーザーを標的としていた。(国家情報収集）

マイクロソフトは、過去1年間に世界中のシンクタンク、NGO、その他の政治団体を標的にしたサイバー攻撃を800件近く検知したことを明らかにした。(国家情報収集）

リビアは、ロシアのトロール・ファームと協力してアフリカ諸国の選挙に影響を与えたとされる2人の男を逮捕した。(国家偽情報と選挙妨害）。

クロアチアの政府機関が、国家が支援する正体不明のハッカーによる一連の攻撃の標的にされた。

米サイバーコマンドは、イランに関連する既知のハッカー集団に関連するマルウェアで政府ネットワークが狙われているとの警告を発した。(国家産業スパイキャンペーン)

2019年6月

欧米の諜報機関は2018年後半、ロシアのインターネット検索会社ヤンデックスにハッキングし、ユーザーアカウントをスパイしていたとされる。(国家情報収集)

中国のスパイグループは7年間にわたり、反体制派や政府高官、スパイ容疑者を追跡するため、30カ国にまたがる国際携帯電話プロバイダー10社をハッキングした。(国家情報収集）

米国は、ミサイルやロケットの発射を制御するイランのコンピューター・システムに対して、攻撃的なサイバー作戦を開始したと発表した。(国家産業スパイキャンペーン）

イランは、CIAが支援したとされる複数のネットワークにわたるサイバースパイネットワークを暴露し、その解体を支援したと発表した。(国家情報収集）

米国当局者は、ロシアへの抑止力と警告として、ロシアの送電網システムに対するハッキング・ツールを配備する努力を続けていることを明らかにした。(国家産業スパイキャンペーン）

米国の送電網規制機関NERCは、ロシアとの関係が疑われる大手ハッキンググループが電力会社のネットワークに偵察を行っていると警告を発した。(国家による産業スパイ活動）

中国が香港の抗議に参加した人々間の通信を妨害するため、暗号化メッセージングサービス「テレグラム」にDoS攻撃を行った。(国家による偽情報と選挙妨害）。

イランと思われるグループがイラク、パキスタン、タジキスタンの通信サービスをハッキングしていたことが判明した。(国家による産業スパイ活動）。

中国の諜報機関がオーストラリアの大学をハッキングし、学生を公務員に採用する前に情報提供者として育成するためのデータを収集していた。(国家情報収集）

2019年5月

2つの異なる中東諸国の政府組織が、中国国家に支援されたハッカーに狙われた。(国家産業スパイキャンペーン)

中国政府が支援するハッキング・グループがフィリピン全土の正体不明の団体を標的にしていると報告された。(国家情報収集）

イランがウェブサイトとアカウントのネットワークを構築し、米国、イスラエル、サウジアラビアに関する偽情報の拡散に利用していた。(国家偽情報と選挙妨害）。

2019年4月

アムネスティ・インターナショナルの香港事務所が、中国のハッカーによる攻撃の被害に遭い、事務所の支援者の個人情報にアクセスされたと発表した。(国家情報収集)

2014年にウクライナからの独立を宣言したロシアの支援を受けたルハンスク人民共和国のハッカーによるキャンペーンの一環として、ウクライナの軍と政府組織が標的にされていた。(国家偽情報と選挙妨害）。

ハッカーはリトアニアで、汚職の噂を流して国防相の信用を失墜させる偽情報キャンペーンを行うために、なりすましのメールアドレスを使用した。(国家偽情報と選挙妨害）。

フィンランド警察は、フィンランドの選挙の開票結果を公表するためのウェブサービスに対するサービス拒否攻撃を調査した。(国家偽情報と選挙妨害）。

製薬会社バイエルは、中国のハッカーによる機密知的財産を狙った攻撃を阻止したと発表した。(国家による知的財産の窃盗と今後のスパイ情報収集活動）。

2019年3月

イランのサイバースパイ・グループが、サウジアラビアと米国の政府および産業界のデジタル・インフラを標的にした（国家による産業スパイ・キャンペーン）。

国家が支援するベトナムのハッカーが、知的財産を獲得するために外国の自動車会社を標的にした。(国家によるIP窃盗と将来のスパイ情報収集作戦）。

イスラエルの4月の選挙を前に、イランの諜報機関が元イスラエル国防軍長官でイスラエルの野党指導者ベニー・ガンツの携帯電話をハッキングした。(国家偽情報と選挙妨害）。

北朝鮮のハッカーが、産業スパイ活動の一環としてイスラエルのセキュリティ会社を標的にした。(国家による産業スパイ活動）

ロシアのハッカーが、5月のEU選挙を前に、多くの欧州政府機関を標的にした。(国家偽情報と選挙妨害）。

インドネシアの国家選挙管理委員会は、中国とロシアのハッカーがインドネシアの大統領選挙と立法委員選挙を前に、インドネシアの有権者データベースを調査したと報告した。(国家偽情報と選挙妨害）。

市民的自由団体は、政府の支援を受けたハッカーが2019年を通してエジプトの人権活動家、メディア、市民団体を標的にしたと主張した。(国家偽情報と選挙妨害）。

国連安全保障理事会は、北朝鮮が国際制裁を逃れるために国家主導のハッキングを利用し、2015年から2018年の間に6億7000万ドルの外貨と暗号通貨を盗んだと報告した。(国家によるIP窃盗と情報収集活動）。

イランのハッカーは、世界中の200以上の石油・ガス会社や重機械会社の数千人を標的にし、企業秘密を盗み、コンピューターからデータを消去した。(国家によるIP窃盗と情報収集活動）。

カシミール地方のインド軍への攻撃に続き、パキスタンのハッカーはほぼ100のインド政府のウェブサイトと重要なシステムを標的にした。インド政府関係者は、この攻撃に対抗するために攻撃的なサイバー対策を行ったと報告している。(国家産業スパイキャンペーン）

米国当局は、海軍技術の研究を盗むキャンペーンの一環として、米国内の少なくとも27の大学が中国のハッカーの標的にされたと報告した。(国家によるIP窃盗と情報収集作戦）。

2019年2月

国連国際民間航空機関は、2016年後半に中国に関連するハッカーによって侵害され、そのアクセス権を利用して外国政府のウェブサイトにマルウェアをばらまいたことを明らかにした。(国家による産業スパイ活動)

金正恩（キム・ジョンウン）とドナルド・トランプのベトナム首脳会談に先立ち、北朝鮮のハッカーが韓国の機関を標的に、外交イベントに関連する文書をエサにフィッシング・キャンペーンを展開していたことが判明した。(ネイション・ステート・インテリジェンス・コレクション）

米サイバーコマンドは、2018年の米中間選挙期間中、2016年の大統領選挙で対米情報工作に関与したロシア企業「インターネット・リサーチ・エージェンシー」へのインターネットアクセスを遮断していたことを明らかにした。(国家偽情報と選挙妨害）。

ロシア諜報機関に関連するハッカーは、選挙安全保障と民主化推進に取り組む市民団体を対象に、ヨーロッパで100人以上を標的にしていた。(国家偽情報と選挙妨害）。

国家が支援するハッカーが、オーストラリア連邦議会だけでなく、いくつかの政党のコンピューター・システムにアクセスする初期段階で捕まった。(国家偽情報と選挙妨害）。

欧州の航空宇宙企業エアバスは、欧州の従業員の個人情報とIT識別情報を盗んだ中国のハッカーに狙われていたことを明らかにした。(国家による情報収集）

ノルウェーのソフトウェア会社Vismaは、同社の顧客から企業秘密を盗もうとした中国国家安全省のハッカーに狙われていたことを明らかにした。(国家によるIP窃盗と情報収集活動）。

2019年1月

ロシア情報機関に関連するハッカーが、戦略国際問題研究所を標的にしていたことが判明した。(国家情報収集)

セキュリティ研究者は、イランのハッカーが少なくとも2014年以降、通信業界と旅行業界を標的にして、中東、米国、欧州、オーストラリアの個人の個人情報を監視・収集していたことを明らかにした。(国家情報収集）

米民主党全国委員会は、2018年の中間選挙後の数週間、ロシアのハッカーに狙われていたことを明らかにした。韓国国防省は、未知のハッカーが同省の調達事務所のコンピューターシステムに侵入したと発表した。(国家偽情報と選挙妨害）。

米国証券取引委員会は、米国、ロシア、ウクライナのハッカー・グループを、2016年にSECのオンライン企業申告ポータルが侵害され、非公開情報に基づく取引が実行されたとして起訴した。(国家情報収集）

イランは、中東、欧州、北米の政府機関だけでなく、遠距離通信およびインターネット・インフラ・プロバイダーを標的とした複数年にわたる世界的なDNSハイジャック・キャンペーンに関与していたことが明らかになった。(国家による産業スパイ活動）

ハッカーがドイツの政治家数百人の個人情報、私的な通信、財務情報を公開し、極右政党を除くすべての政党が標的となる。(国家による偽情報と選挙妨害）。