先日、情報処理推進機構(IPA)より「情報セキュリティ10大脅威 2025」が発表されました。その中で、組織向け脅威で初選出された「地政学的リスクに起因するサイバー攻撃」があります。この言葉は他の脅威に比べると馴染みが薄いと思われるので、どういった内容なのかを紹介したいと思います。
(画像引用元:情報処理推進機構 情報セキュリティ10大脅威2025 組織編)
概要
地政学的リスクとは、国家間の政治的・経済的な関係や地域紛争、資源争奪など、地理的要因に起因するリスクを指します。これらのリスクが高まると、国家やその支援を受けた組織がサイバー攻撃を行うケースが増加します。
(画像引用元:情報処理推進機構 情報セキュリティ10大脅威2025 組織編)
この種のサイバー攻撃の目的は多岐にわたり、情報の窃取(機密情報、先端技術など)、重要インフラの破壊や機能停止、経済的損失の誘発、社会的な混乱の引き起こしなどが挙げられます。また、自国の戦略的優位性を高めるためや、嫌がらせ、報復、外貨獲得などが目的となることもあります。これらの攻撃は、国家機関の職員等、国家からサービス提供を受ける民間企業、国家が支援する組織的犯罪グループ、またはハクティビスト(特定の政治的・社会的主義のためにハッキングを行う集団)によって実行されます。
代表的な攻撃グループと手法
MirrorFace
- 標的型メール攻撃: マルウェア(LODEINFO, ANELなど)を添付またはダウンロードリンクを記載したメールを使用して受信者が関心を持つ人物や組織、国際情勢に関連する件名などで巧妙になりすます。
- ネットワーク機器の脆弱性悪用: VPN機器などの脆弱性や不正な認証情報を悪用して侵入し、内部ネットワークへのアクセスや情報窃取を行います。
- 特定の機能の悪用: Windows SandboxやVS Codeの開発トンネル機能を悪用して検知を回避し、マルウェアを実行したり遠隔操作を行ったりします。
- 主な標的: シンクタンク、政府関係者、政治家、マスコミ関係者、半導体、製造、情報通信、学術、航空宇宙分野など、JAXAへの攻撃事例も報告されています。
VoltTyphoon
- 脆弱性悪用: 脆弱なパスワードや未更新機器の脆弱性を悪用します。
- LotL (Living off the Land) 戦術: 侵入後、システム内の正規ツールを悪用し、検知されにくい手法で潜伏・活動します。
- 主な標的: アメリカの電力網、燃料パイプラインなどの主要インフラ
NoName057(16)
- DDoS攻撃 (DDoSia): 大量のデータを送り付け、標的のシステムやサービスの停止・混乱を引き起こします。
- 主な標的: ウクライナとその支援国、ロシアへの批判的な姿勢をとる国や組織。日本の自治体や交通機関への攻撃事例も報告されています。
その他の一般的な攻撃手口
- ネットワーク貫通型攻撃(セキュリティ製品の脆弱性悪用)
- スピアフィッシング(特定の個人を狙った巧妙な騙し)
- ソーシャルエンジニアリング(人間心理の盲点を突いた情報詐取)
- 偽情報の流布(社会不安や混乱を引き起こす目的)
攻撃対象の広がり
大企業や政府機関だけでなく、そのサプライチェーンを構成する中小企業や取引先も「入り口」として狙われることが増加しています。これは大企業が厳重な対策を講じているため、攻撃者は防御の手薄な関連企業を侵入の足がかりとするためです。
企業規模に関わらず、特定の業界や外国企業との取引がある企業、重要インフラに関わる企業は特に注意が必要になっています。
組織が取るべき対策
このような攻撃に対処するためには、組織全体での包括的な対策が求められます。国が支援する高度な攻撃もあるため、一組織での対策は難しい側面もありますが、それでも可能な対策を講じることが重要です。
情報収集とリスク評価
地政学的リスクに関する情報を継続的に収集し、どのような国からどのような攻撃が行われるかを収集します。収集した情報から、自組織がどのようなリスクに直面するかを洗い出し、評価します。このリスク評価は情報セキュリティ対策の優先順位設定の指針となります。
技術的な対策強化
- 重要なシステムへのアクセス管理を徹底する。(特権ID管理、多要素認証の導入など)
- すべてのアクセスログを広範囲かつ長期間記録し、不審な動きを早期に検知できる体制を整備する。(ログの集中管理・監視、異常検知システムの活用など)
- OSやアプリケーションの脆弱性を狙った攻撃を防ぐため、定期的なアップデートやパッチ適用を徹底する。
- ネットワーク機器のログ監視、アカウント管理、不審活動監視、脆弱性対応を行う。
- 業務に不要な機能(Windows Sandboxなど)やソフトウェアの使用状況を確認し、ウイルス対策ソフトの検知状況を監視する。
- ゼロトラストモデルの導入など、「誰も信用しない」原則に基づくセキュリティモデルを検討する。
インシデント対応体制の整備
- サイバー攻撃発生時に迅速に対処するための対応フローを事前に策定し、CSIRT(コンピュータセキュリティインシデント対応チーム)の設置などを検討する。
- 被害に遭った際の適切な報告、連絡、相談の体制を整える。
セキュリティ意識の向上
- 社員を対象に標的型攻撃メールの訓練などを定期的に実施し、攻撃メールを見抜く力を養う。不審な添付ファイルやリンクは安易に開かないよう注意喚起を徹底する。
- パスワードの適切な運用を実施する。
まとめ
「地政学的リスクに起因するサイバー攻撃」は、今後さらに増加する可能性があり、企業規模を問わず広く影響を及ぼします。
これらの脅威に対抗するためには、継続的に脅威情報を収集し、自社の状況に合わせたリスク評価に基づいた対策を強化していくことが求められます。特に、アクセス管理の強化やログ監視など、多層的な防御を確立することが重要です。
参考
- 「情報セキュリティ10大脅威 2025」解説書 – https://www.ipa.go.jp/security/10threats/eid2eo0000005231-att/kaisetsu_2025_soshiki.pdf
- 2025年版情報セキュリティ10大脅威!地政学的リスクに起因するサイバー攻撃とは? – https://weeds-japan.co.jp/column/20250207_113/
- MirrorFace によるサイバー攻撃について (注意喚起) – https://www.npa.go.jp/bureau/cyber/pdf/20250108_caution.pdf
- 情報セキュリティ10大脅威2025とは?地政学的リスクに起因するサイバー攻撃もあわせて解説 – https://www.jbsvc.co.jp/useful/security/10threats2025.html
- 「地政学的リスクに起因するサイバー攻撃」の事例と対策 – https://www.ssk-kan.co.jp/topics/?p=15114
- 地政学的リスクがもたらすサイバー攻撃の実態 – https://www.digitalsales.alsok.co.jp/col_geo