国家とハッカー/ランサムウェア グループの結託-ロシア・中国・イランによるサイバーグレーゾーン戦略と日本企業への示唆

インテリジェンス

投稿日時: 更新日時:

国家とハッカー/ランサムウェア グループの結託-ロシア・中国・イランによるサイバーグレーゾーン戦略と日本企業への示唆

軍事力や外交手段を直接行使すれば報復や法的・外交的責任を招きかねない国家にとって、非国家アクターであるハッカー集団やランサムウェアグループを介したサイバー作戦は、責任の所在を曖昧にしたまま相手国の社会・経済を揺さぶることができる効率的な手段になっています。

米国(FBI、CISA、NSA、DOJ)、英国(NCSC)、イスラエル(INCD)など各国の公的機関が2026年に入り相次いで公表した分析は、ロシア・中国・イランがそれぞれ異なるかたちで犯罪インフラや非国家アクターを国家戦略に組み込んでいる実態を示しています。本稿では、これらの公開情報をもとに、国家とサイバープロキシの結託構造と、企業の経営層・情報システム部門が押さえておくべき含意を整理します。

サマリー

  • 国家は直接関与を否認できる「プロキシ」を介したサイバー作戦により、軍事衝突に至らない範囲で相手国へ経済的・社会的圧力をかけるグレーゾーン戦略を展開している
  • ロシアは自国に害を及ぼさない標的への攻撃を黙認することでランサムウェアエコシステムを温存しつつ、GRU・FSBが独自にインフラ攻撃や標的型スパイ活動を実施
  • 中国はAPT41のように国家スパイと私的なサイバー犯罪を兼業させる「二重使用型」の体制を持つ一方、Volt TyphoonやSalt Typhoonは有事に備えた重要インフラへの長期潜伏(事前配置)を進めている
  • イランは2026年6月、対イスラエルのサイバー攻撃件数が前年同月比で約3倍(1,600件から4,800件)に急増。MOIS傘下のMuddyWaterはランサムウェアグループへの偽装(False Flag)でスパイ活動を隠蔽している
  • 英国NCSCは重要インフラを狙った重大インシデントの75%が敵対国家に関連すると分析。米国はJCDCを通じた官民連携、イスラエルはクラウド化・AI・量子耐性暗号への投資を進めている
  • 企業にとっては「金銭目的のサイバー犯罪」と「国家支援による安全保障上の脅威」の境界が曖昧になっている現実を踏まえ、サプライチェーン全体を視野に入れたリスク管理が求められる
国家 主な関連機関 代表的なプロキシ/アクター 関与の深さ グレーゾーン活動の主な狙い
ロシア GRU、FSB、SVR Sandworm(APT44)、APT28(Fancy Bear)、UNC5792/UNC4221、ロシア語圏ランサムウェアアクター 国外への攻撃を黙認する「安全地帯」の提供、家庭用ルーター等のインフラ乗っ取りの黙認・再利用 欧米の重要インフラへの威嚇、政府高官等への標的型スパイ、経済的な揺さぶり
中国 国家安全部(MSS)等 APT41(Barium)、Volt Typhoon、Salt Typhoon 民間偽装企業へのインフラ資金拠出と委託、ボットネットによる隠蔽通信網の確保 有事に向けた重要インフラへの事前配置、知的財産・経済情報の窃取
イラン 情報安全省(MOIS)、革命防衛隊(IRGC) MuddyWater(Mango Sandstorm)、Agonizing Serpens(Agrius)、Handala Hack、Moses Staff 国家直轄ドメインの運用、国外ランサムウェアギャングの金銭的雇用 データ破壊による焦土化、脅迫・なりすましによる認知戦と社会不安の醸成

サイバー空間における「国家とハッカー/ランサムウェア グループの結託」

国家がサイバープロキシの活動を国際法上「自国の行為」として法的に帰属(アトリビューション)させるための立証のハードルは極めて高いとされています。

この隙を利用し、敵対国家はハッキンググループに対してコマンド&コントロール(C2)インフラや安全な活動拠点を提供し、外交・軍事目標の達成や認知戦(心理的影響力工作)に利用しています。

国家とグループ 両者の結びつきは、直接的な指揮命令系統に基づくものから、犯罪行為を黙認・保護する緩やかな関係まで濃淡があり、国家の関与を否定する「もっともらしい否認可能性」を確保する構造になっている点が共通しています。

この構造が厄介なのは、防御側からみて「攻撃者が誰のために行動しているのか」を判別すること自体が極めて難しくなる点にあります

。表面的には金銭目的のランサムウェア集団による犯行に見えても、その背後に国家の意図が存在するかどうかによって、求められる対応や報告先、想定すべき被害の範囲は大きく異なります。本稿で取り上げるロシア・中国・イランの事例は、この曖昧さを意図的に利用する戦略がそれぞれ異なる形で制度化されている実態を示すものです。

ロシア:サイバー犯罪の黙認と国家インテリジェンスの融合

ロシア国内のランサムウェアアクターにとって、自国の国益に反しない標的(主に西側諸国)への攻撃は摘発リスクが極めて低い事業とされています。

英国議会の国家安全保障戦略合同委員会(JCNSS)の報告書は、こうした不作為そのものが国際法上の責任からアクターを切り離す「規範的セーフゾーン」として機能していると指摘しています。同様の構図は、ランサムウェアグループQilinのようなロシア語圏RaaS(Ransomware as a Service)グループが摘発を受けずに活動を継続している実態にも見て取れます。

このような緩やかな黙認にとどまらず、ロシアの情報機関は独自にインフラを悪用しています。

GRU第74455部隊(通称Sandworm/APT44)は2015年のウクライナ電力網攻撃や2017年のNotPetyaワイパー攻撃など、ランサムウェアを模した破壊工作を繰り返してきました。またGRU第85特別サービスセンター(APT28/Fancy Bear)は、TP-Link製等のSOHOルーターの脆弱性を世界規模で悪用し、DHCP/DNS設定を書き換えて通信を迂回させる手口でMicrosoft Outlook Web Accessの認証情報を窃取するキャンペーンを継続しています。

さらに2026年6月26日、FBIとCISAはロシア情報機関(FSB国境警備隊等に所属する要員を含む)に帰属するとされるアクター(UNC5792、UNC4221)による新たな手口を警告しました

。Signalの公式サポートを装い、二要素認証やデータ損失防止を口実に「バックアップ復元キー」をチャット上で入力させ、暗号化されたメッセージ履歴をまるごと復元・窃取するというものです。標的は米国・ウクライナをはじめとする西側諸国の政府高官、軍関係者、政治家、ジャーナリストとされています。

米国務省はこの活動に関する情報提供に最大1,000万ドルの報奨金を設定しており、オランダ・ドイツ・フランスの情報機関も同様の手口について警告を発しています。この事例が示すのは、Signal自体の暗号強度が破られたわけではなく、利用者の心理的な隙を突いて「鍵そのもの」を引き渡させる人間本位の工作だという点です。技術的な対策だけでは防ぎきれない領域に攻撃の重心が移っていることを物語っています。

ロシア発のサイバー攻撃が企業活動に及ぼす影響は、過去の事例からも明らかです。2017年のNotPetyaワイパー攻撃は、当初ウクライナの会計ソフトを通じた限定的な破壊工作として開始されたとみられていますが、結果的に海運大手や製薬大手など世界中の多国籍企業の業務システムを巻き込み、被害総額は100億ドル規模に達したとされています。国家が直接の標的としていない企業であっても、サプライチェーンや取引関係を通じて巻き添えになるリスクがある点は、現在のロシア発プロキシ活動にも共通する教訓といえます。

中国:「二重使用型」プロキシと重要インフラへの事前配置

中国のサイバープロキシ戦略の特徴は、国家支援のスパイ活動と私的な経済的利益を兼ねる「二重使用型」の運用にあります。米国司法省が起訴した「APT41」(別名Barium、Winnti)は、四川省成都市の民間IT企業に籍を置く要員によって構成され、医療・通信・ハイテク分野の知的財産窃取という国家支援型のスパイ活動と、ゲーム内通貨の偽造や暗号資産マイニング、ランサムウェア攻撃による私的な金銭目的活動を併行して行っていたとされています。

台湾の政府系研究機関への侵入もこのグループによるものとされ、起訴状では世界数百社が標的になったと記載されています。この構造は、国家側がハッカー部隊の運用コストを抑えつつ、民間企業を盾にした否認可能性を確保できる点で、ロシアの黙認モデルとは異なる「請負」型の関与といえます。

一方、人民解放軍や情報機関と直接接続されているとみられるVolt TyphoonSalt Typhoonは、情報窃取の枠を超えた長期潜伏を特徴としています。

Volt Typhoonは米国本土やグアムの通信・エネルギー・交通・上下水道といった重要インフラに侵入し、乗っ取ったSOHOルーター群(KV Botnet)を中継に使うことで侵入元を隠蔽してきました。CISAやFBIの分析によれば、その狙いは台湾有事等の軍事的危機が生じた際に通信網を破壊し、米軍の兵站や配備を遅らせ、社会にパニックを起こすことで国家の意思決定を麻痺させる「事前配置(Pre-positioning)」にあるとされています。正規の管理ツール(WMI、PsExec等)のみを用いる「環境寄生型(Living off the Land)」の手口により、新規マルウェアを置かないため検知が困難である点も特徴です。Salt Typhoonはこれとは別に、複数の米通信事業者のネットワークへのアクセスを悪用し、通話記録や一部の利用者の通信内容、法執行関連の情報を窃取したとFBIは説明しています。

日本にとってこの構図は対岸の火事ではありません。

グアムは在日米軍とも連携する米軍の戦略拠点であり、Volt Typhoonによる侵入の主目的が台湾有事を想定した「事前配置」にあるとすれば、同様の手口が日米の重要インフラや、米軍関連施設と取引のある国内企業のネットワークに向けられる可能性も否定できません。経済安全保障の観点からは、重要インフラ事業者や防衛関連の取引を持つ企業において、平時のうちにLOTL型の侵入を検知できる体制を整えておくことが、有事における社会機能の維持に直結する課題として位置づけられます。

イラン:戦時下のハッカー総動員と認知戦

イスラエル国家サイバー局(INCD)のヨッシ・カラディ局長は、2026年6月にドイツ紙Die Weltのインタビューで、イスラエル国内で確認されたイラン関連の敵対的サイバーインシデントが、2025年6月の約1,600件から2026年6月には約4,800件へと約3倍に急増したと明らかにしました。

カラディ局長は、イラン側の体制を「中核に国家直轄のサイバー部隊、その下に金銭目的または信条に基づいて協力する民間ハッカーや活動家が連なる多層構造」と説明しており、INCDが2025年単年で対処した攻撃件数も26,000件超(前年比55%増)に上っています。同局長は「重要インフラへの攻撃はこれまでのところ防いでいるが、防御の弱い中小企業は侵入されるとシステムを完全消去されるケースもある」と述べ、法律事務所や会計事務所のような比較的小規模な組織も標的になっていると指摘しました。

イラン情報安全省(MOIS)傘下とされる「MuddyWater」は、自らの活動をランサムウェア犯罪に偽装する手口を用いています。セキュリティ企業Rapid7は、法執行機関の摘発で弱体化したBlackSuitの後継を自称するランサムウェアグループChaosの手口を装った一連の侵入活動について、MuddyWaterとの関連を「中程度の確度」で評価しています。Microsoft Teamsを使った画面共有要求で多要素認証を回避する手口で侵入したのち、脅迫状や交渉チャンネル、リークサイトへの掲載といったChaosのブランドを装うことで、被害組織に「身代金目的の通常犯罪」と誤認させていたとみられます。しかしRapid7の分析では、実態はファイルの暗号化よりもデータ窃取や侵害の永続化を重視する活動であったと評価されており、ランサムウェアを装いつつ実質的には国家支援型の長期インテリジェンス工作だった可能性が指摘されています。

またHandala Hackは、親パレスチナのハクティビストを自称する一方、Check Point Researchの分析等によりMOIS傘下の「Void Manticore」が運営する国家主導のペルソナとされています。米国の医療テクノロジー企業へのワイパー攻撃や、イスラエル国防軍関係者の個人情報、ユダヤ教コミュニティから窃取したとされる財務データの公開など、データ破壊と暴露を組み合わせた手法を特徴とし、米政府はメンバー特定につながる情報に1,000万ドルの報奨金を設定しています。

FBIの調査では、Handala Hackが欧米に居住するイラン人体制批判派に対して、犯罪組織への協力を装った脅迫メッセージを送るなど、サイバー攻撃の枠を超えた個人への威嚇行為(国境を越えた抑圧)にも及んでいたことが明らかにされており、被害者個人への心理的圧力と社会全体への動揺を狙う認知戦の側面が強く表れています。

このほか、身代金を要求せずデータ破壊そのものを目的とする擬似ランサムウェアも、イランのプロキシ戦略の特徴的な手口です。

「Agonizing Serpens(別名Agrius)」はイスラエルのテクノロジー部門や高等教育機関を標的に、表向きは身代金を要求するランサムウェアを装いながら、最終局面でストレージ上のデータを消去し、タイムスタンプを偽装してフォレンジック分析を妨害する破壊型マルウェアを実行するとされています。「Moses Staff(別名DEV-0500)」も同様に金銭要求を行わず、暗号化ツールでシステムを停止させたうえで窃取データをSNS上で順次公開し、被害組織の信用を毀損することのみを目的としているとみられます。これらは外見上、一般的な金銭目的のランサムウェアと酷似しているため、初動対応の段階で「身代金交渉に応じれば復旧できる」という前提で対応すると、実際にはデータがすでに不可逆的に破壊されているという事態を招きかねません。

各国政府による集団防衛の取り組み

こうした脅威に対し、米英イスラエルは官民・同盟国間での連携を強化しています。米CISAが主導する共同サイバー防衛コラボラティブ(JCDC)は、FBI・NSA・主要セキュリティベンダー・同盟国機関を横断的に結びつけ、Volt Typhoon等が用いる環境寄生型手口の検知ガイドを発行しています。

英国NCSCのリチャード・ホーンCEOは2026年6月、英国の重要インフラを標的とした重大インシデントのうち約75%が敵対国家に関連すると公表しました。2026年5月までの1年間でNCSCが対応した重要インフラ関連インシデントは200件超に上るとしています。NCSCは多くの重要インフラ事業者が旧式のレガシーシステムに依存している点を弱点として指摘しており、英国議会の報告書ではサイバーセキュリティ対策の責任主導権を内閣府に移管し、国家安全保障の最優先課題として位置づけることを提言しています。

イスラエルのINCDはカラディ局長の説明によれば、クラウドセキュリティへの移行、AIによるリアルタイムの異常検知、量子耐性暗号への投資をあわせて進めているとしています。同局長は、AIについて「攻撃側は1つのシステムを1回突破できればよいが、防御側はすべての侵入点を同時に守り続けなければならない」と非対称性を指摘しており、AIの活用が防御側の万能策にはならない点を強調しています。

AIが変える非対称戦の構造

AIは、攻撃側と防御側の双方にとって今後の国家プロキシ戦略を左右する変数として、各国の分析で共通して取り上げられています。

攻撃側では、Die Weltのインタビューでカラディ局長が、IRGCがレゴブロック風のアニメーション等を用いたAI生成プロパガンダ動画を組織的に展開していると述べており、システムへの侵入と並行して社会の心理的脆弱性を突く認知戦が仕掛けられている実態がうかがえます。

防御側では、英国NCSCが2028年までにAIを活用した攻撃が重要インフラのレガシー技術の既知脆弱性を大規模に悪用するようになる可能性が高いとの評価を公表しており、防御側のAI活用についても「フロンティアAI」と呼ぶ取り組みを進めています。米CISA主導のJCDCも2025年1月に「AIサイバーセキュリティコラボレーションプレイブック」を公表し、AIを活用した脅威の検知・対応に向けた体制整備を進めています。

こうした分析が共通して示唆するのは、AIによって攻撃の規模と速度が飛躍的に高まる一方、防御側がAIを導入するだけでは非対称性そのものは解消されないという点です。経営層にとっては、AI活用をセキュリティ製品の導入可否という個別の判断にとどめず、自社が抱える既知の脆弱性やレガシーシステムの棚卸しと並行して進めるべき経営課題として捉える視点が求められます。

企業の経営層・情報システム部門への示唆

本稿で取り上げた事例が示すのは、「金銭目的のサイバー犯罪」と「国家支援による安全保障上の脅威」の境界がすでに曖昧になっているという現実です。商社や製造業など海外に拠点や取引先を持つ企業にとっては、特に次の3点が重要になります。

第一に、日常的な「ランサムウェアの兆候」として扱われがちな侵入の痕跡が、実は国家プロキシによる重要インフラへの事前配置の一部である可能性を踏まえた初動対応が求められます。

SandwormによるOT(制御技術)環境への侵害事例では、深刻な障害発生の数週間から数か月前に、既知の脆弱性悪用や一般的な侵入ツールの検知アラートが上がっていたことが指摘されています。日々のアラートを定型業務として処理するだけでなく、経営層がリスク評価のプロセスに定期的に関与し、重大なインシデントに発展しうる予兆を見落とさない体制を整えることが重要です。

第二に、MuddyWaterのような国家アクターによる「ランサムウェアへの偽装」が現実に発生している以上、身代金交渉のプロセスそのものが時間稼ぎの煙幕である可能性を念頭に置いたインシデントハンドリングが必要です。

身代金交渉に注力している間に、別経路でのデータ窃取や永続化が進行するリスクを踏まえ、インシデント発生時には早期の隔離と並行したフォレンジック調査が望まれます。また、Agonizing SerpensやMoses Staffのような擬似ランサムウェアの事例を踏まえると、攻撃者の要求内容や交渉態度だけで「これは金銭目的の犯罪である」と判断せず、外部の専門機関と連携した冷静な状況評価を行う体制を平時から準備しておくことが望まれます。

第三に、サプライチェーン全体を見渡したリスク評価です。

中国のAPT41のように私的な犯罪収益を兼ねるプロキシや、ロシア語圏のRaaSエコシステムが黙認されている構造を踏まえると、海外子会社や取引先がいつ標的になってもおかしくありません。自社単独の対策にとどまらず、主要取引先のセキュリティ体制や、地政学的な緊張が高まっている地域に所在する拠点の特性を踏まえた事業継続計画(BCP)の見直しが、経営判断として求められています。

これら3点に共通するのは、サイバーセキュリティを個別のIT課題としてではなく、地政学リスクや事業継続性と一体のものとして経営アジェンダに組み込む発想です。英国NCSCのホーンCEOが、サイバーセキュリティを「管理すべきリスク」から「戦い続けるべき競争」へと位置づけ直すべきだと提起した点は、平時のコスト管理に偏りがちな日本企業の意思決定にも示唆を与えるものといえます。

出典

当サイト関連記事: