“守るだけでは足りない”時代へ─求められるのは能動的サイバー防御と組織を超えた連携

ロシア、中国、アメリカに囲まれた日本の地政学リスクは、これからますます高まっていきます。その流れを顕在化させたのが、IPA（独立行政補人情報処理推進機構）が発表する「情報セキュリティ10大リスク」です。2025年度版の7位に、「地政学リスクに起因するサイバー攻撃」がはじめてランクインしました。

地政学リスクは、インターネットを通じ、企業にどのような脅威を与えているのでしょうか。親ロシア派ハクティビスト（アクティビスト＋ハッカー）のコミュニティ発見をきっかけに2023年から追跡をつづけるNTTドコモビジネスの「NA4Secプロジェクト」。今回は同プロジェクトのメンバー、神田敦、皆川諒、鮫嶋海地の3名に、ハクティビストの行動特性や目的、企業に求められる対応について話を聞きました。

---

日本でも高まる国家ぐるみのサイバー攻撃リスク

――神田さんは毎年IPAが発表する「情報セキュリティ10大脅威」の選定にも携わられています。2025年にはどのような傾向が見られましたか？

神田：「情報セキュリティ10大脅威」は、前年に起きたセキュリティ関連の脅威をもとに、組織や個人に対して取り組むべき脅威をまとめ、セキュリティ対策の普及につなげることを目的として毎年発表しています。

2025年版では、「地政学リスクに起因するサイバー攻撃」が初めて選出されましたが、背景には2024年に特定の国や地域が抱える政治的、軍事的な緊張の高まりに端を発するニュースの増加があります。地政学リスクというと、ウクライナやガザといった紛争地域のことを思い浮かべる方が多いと思いますが、サイバー攻撃に関しては、国家間の政治的緊張に起因して、日本も直接的に攻撃を受けるイベントが増えてきました。

例えば、2024年10月にロシアを支持するハッカー集団が、日米軍事演習に対する抗議のため、日本の自治体や交通機関などのウェブサイトにサイバー攻撃を行なったとSNSに投稿。結果として、山梨県のウェブサイトには海外からアクセスが集中し、4時間ほど閲覧しにくい状況が続くといった被害が出ました。また、「Volt Typhoon」「Salt Typhoon」という中国の関与が疑われる脅威グループが、Living Off The Land戦術（LotL、システム内寄生戦術）という検知が困難な攻撃手法を使って巧みにシステムに入り込み、長期間にわたり潜伏活動している事例も観測されています。

――地政学リスクに起因するサイバー攻撃は、その他のサイバー攻撃と比べてどのような特徴があるのでしょうか？

神田：地政学リスクが関係するサイバー攻撃の裏には国家が関係しているケースも多く、攻撃者の中には先ほど申し上げたLiving Off The Land戦術など、高度な技術を使ってくるグループもいます。また、地政学リスクというのは国の経済安全保障にも密接に関わるので、重要インフラ^*と呼ばれる事業者や組織がターゲットになりやすく、場合によっては国民の生活に影響が及ぶことも考えられます。今後、日本の大企業や自治体にとって避けては通れないリスクとして、特に注意が必要です。

* 重要インフラ：国民の生活や社会経済活動の基盤となる他への代替が著しく困難なサービスのこと。「重要インフラのサイバーセキュリティに係る行動計画」（2025年6月27日改訂）では、「情報通信」「金融」「航空」「空港」「鉄道」「電力」「ガス」「政府・行政サービス（地方公共団体を含む）」 「医療」「水道」「物流」「化学」「クレジット」「石油」「港湾」の15分野を特定している。

追跡から見えたハクティビストの行動特性と目的

――ハクティビストを追跡している「NA4Secプロジェクト」（以下、NA4Sec）ですが、設立の背景や目的、活動内容について教えてください。

神田：NA4Secは、インターネット上の脅威観測に関わってきたメンバーが、改めて自分たちの目指す方向性を再定義し、2020年に立ち上げたプロジェクトです。日本のインターネットの根幹を支える事業者のひとつとして、私たちには、インターネットを安心・安全に利用できる環境にするという責務があります。それを果たすために、NTTドコモビジネスが通信事業者でありセキュリティサービス事業者でもあるという強みを生かしながら、インターネット上の攻撃者のインフラを明らかにし、究極的には撲滅していくことを目指しています。

攻撃者を追跡していく活動はリスクを伴うため、場合によっては何もしないという選択が合理的とされることもあります。しかし、それではサイバー攻撃に対して受動的な対応しか取れないことになってしまいます。そこで、NA4Secでは“リスクを恐れない”を重要な価値観として定義し、リスクと向き合い能動的にアプローチしていく活動を続けています。リスクに向き合う以上、法律をはじめとした専門的な知見も必要ですので、法務を担う社内組織（リーガル&リスクマネジメント部）などとも連携しながら取り組みを進めています。

――ハクティビストの追跡を始めたきっかけはあったのでしょうか？

皆川：われわれが特に注目して追跡しているハクティビストグループを“X”と仮称します。彼らを追跡し始めたきっかけは、ロシアによるウクライナ侵攻が始まった2023年頃。ヨーロッパ諸国を攻撃していた“X”が、2023年2月から日本をターゲットとして、官公庁や鉄道関連をはじめ、さまざまな分野のウェブサイトに対して攻撃を開始したのです。このことは、セキュリティ分野のみならず世間一般でも話題になりました。

私もひとりのセキュリティエンジニアとして強い危機感を持ち追跡していたところ、このグループがアンダーグラウンドでやり取りをしているコミュニティを発見。さらに、そこで共有されていた攻撃ツールを入手し、攻撃基盤を突き止めることにも成功しました。そこから継続的に情報を取得し分析していったところ、次にどこを攻撃するかというターゲットの命令まで把握できるようになりました。この情報を有効活用すれば、ターゲットになっている組織に対してリアルタイムに情報提供ができますし、ネットワークサービスを運用するチームとも情報連携することで対策強化に貢献できるのではないかと思い、活動を続けています。

――ハクティビスト“X”の狙いや攻撃パターンというのは分かっているのでしょうか？

神田：この2年半くらい追跡してきた中で、日本だけでも6〜7回の攻撃がされているのですが、その目的には特徴があります。彼らの狙いは、対象の組織に大きな被害を与えることよりも、攻撃をした事実がニュースとなることで日本社会に自分たちの政治的主張を伝えていく、いわゆる印象操作にあるのです。例えば、彼らがDDoS攻撃を成功させたと主張したウェブサイトの中には、その影響は本当に“一時的”でサービスにほとんど影響がなかったケースもありました。致命的なダメージを与えるかどうかよりも、騒ぎになるかどうかが、彼らにとっての攻撃成否なのです。

皆川：“X”の攻撃は、今週はこの国、翌週はこの国といったように一定のタイミングでターゲットが切り替わっていきます。攻撃理由もアナウンスされるのですが、私たちが追跡しているグループの場合、多くは日本とロシアの外交関係に起因しています。例えば、ウクライナ紛争をきっかけに日本がロシアに対して経済制裁を実施した、日本がNATOと共同演習を始めた、といった国の行動に対する非難を公言した上で攻撃を始めています。

攻撃された時の対応は初動が勝負

――ハクティビストの攻撃に対し、企業はどのような対策をとるべきでしょうか？

神田：DDoS攻撃は一度始まってしまうと、それ自体を止めることは難しいため、被害を最小限に抑えることが重要です。特に、今回紹介したハクティビスト“X”については、攻撃に一定の周期性があることが分かっています。時間通りに攻撃を開始し、24時間集中的に続くという特徴があるため、最初の24時間をいかに凌ぐかが勝負。そのための体制を準備しておくことが重要です。一般的に、DDoS攻撃への対応は、いつ始まりいつ終わるのか分からない消耗戦になりがちですが、時間によって終わりが見えることは、対策をする側にとって大きな意味があります。

具体的にどのような対策をするべきかについては、結局のところ、日頃の備えが大事です。DDoS対策ソリューションやCDNを利用している企業は攻撃を防げているケースが多く、システムやネットワークの冗長化なども有効です。

また、攻撃の影響を広げないための対応として、ウェブサイト停止時のマニュアル整備、代替サーバーの用意と告知手段の整備、そして、非常時に直ちに防御体制に移行するためのプロセスの整備。システム管理者は、組織のリスク許容度や各種コストとのバランスにもよりますが、こういった運用面の備えも進めておけると望ましいです。

 鮫嶋：ハクティビストは一度成功した攻撃やターゲットを使い回す傾向もあるため、彼らに攻撃が成功したと思わせないことも重要です。つまり、不用意に被害情報を広めすぎないようにする。これが、次の攻撃を回避することにもつながっていきます。

社会へのインパクトが小さければ、攻撃は成功したことになりません。被害を受けている組織にとっては、その先にいるお客さまにご迷惑をかけてしまっているという状況があり判断が難しいと思いますが、攻撃を受けた際の情報発信は慎重に判断する必要があります。

皆川：このように、地政学リスクに起因するサイバー攻撃への対策は多岐に渡ります。国を巻き込む話になってくるので、関係組織、企業と連携した対応を進めていくことが必要です。そのため、NA4Secでは、活動について発信する講演活動などにも力を入れ、セキュリティ関係者同士の情報連携やネットワーク構築にも取り組んでいます。

神田：攻撃のターゲットが判明したら、その組織や企業に対してさまざまなルートを使って情報提供を行い、対策のアドバイスもしています。そこは、セキュリティ関係者同士のつながりが一番力を発揮する部分です。「ドコモビジネス」というと携帯電話を連想されることも多いですが、NA4Secの活動を通じて、セキュリティサービス事業者としての信頼もさらに高めていきたいと思っています。

防御力が高まった先に危惧される新たなリスク

――企業もゼロトラストネットワークに変えるなどセキュリティ対策を強化していると思いますが、防御力をさらに高めていくにはどういった対策が必要でしょうか？

神田：サイバー攻撃は、技術の進歩と表裏一体の話だと思っています。例えば、多くの企業が生成AIを活用するようになりましたが、攻撃者も生成AIを使ってマルウェアを作成したり、企業システムの穴を探ったりするようになりました。お互いに新しい技術を取り込むことで、どちらが優位に立つのかという争いが続いている状況です。

テクノロジーの進化によって企業活動や従業員の働き方、一人ひとりの生活様式が変わる時、どうしても生じてしまう綻びに攻撃者はつけ込もうとします。ICT基盤のセキュリティ対策は強化されてきましたが、システムの防御力が上がってきた時に課題となっていくのが「人」の部分ではないかと考えています。電話やメール、SNSなどソーシャルエンジニアリングによって人を騙したり、人の弱さにつけ込んだりして、そこを起点に攻撃してくるパターンが増えてくるかもしれないと危惧しています。

鮫嶋：日本企業は、日本語によって守られてきた部分も多分にあります。これまでは不自然な日本語のメールが来たら怪しいと気づくことも多かったのですが、現在は、生成AIによって言語の壁も高度に乗り越えられるようになってきました。これからは攻撃に対する人の感度を高める教育、また攻撃者の存在を感じた時に声を上げられる環境を組織内につくっていくことも重要になってくると考えています。