Narrow windows of opportunity: the limited utility of cyber operations in war |
狭い機会の窓:戦争におけるサイバー作戦の限定的な有用性 |
Abstract |
要約 |
The use of offensive cyber operations in war is no longer theoretical conjecture. Still, as we witness their use, important questions remain. How are offensive cyber operations employed in conventional warfighting, and what is their utility for the warfighting? This article answers these questions by analyzing new empirical evidence from the Russo–Ukrainian War, drawing on the novel TECI-model built for systematically analyzing and understanding offensive cyber operations in war through the model’s four constituent variables: target, effect, complexity, and integration. The article finds the utility of cyber operations in war is limited owing to an unsuitability for physical destruction, high risks of failure, high costs of complex operations that are more likely to attain successful and destructive effects, and a dichotomy between the tempi of conventional and cyber operations leading to cross-domain integration difficulties. Still, two narrow windows for achieving utility exist. Cumulative strategic utility is achievable by targeting critical infrastructure and governments in a persistent barrage of less complex cyber operations. Operational and tactical utility is achievable in the beginning of warfighting where the temporal dichotomy is less pronounced because cross-domain integration can be planned before warfighting commences. Filling a gap in the literature, TECI provides a common and operationalized model for future research systematically analyzing cyber operations, allowing for comparisons on the evolving role of cyberspace in war. |
戦争における攻撃的サイバー作戦の利用は、もはや机上の空論ではない。しかし、その利用を目撃する中で、依然として重要な疑問が残っている。通常戦闘において攻撃的サイバー作戦はどのように利用され、戦闘におけるその有用性とは何なのか? 本稿では、ウクライナ・ロシア紛争から得られた新たな実証的証拠を分析し、攻撃的サイバー作戦を体系的に分析・理解するために構築された新しいTECIモデル(モデルの4つの構成変数:標的、影響、複雑性、統合)を活用しながら、これらの疑問に答える。本記事では、物理的な破壊には不向きであること、失敗のリスクが高いこと、複雑な作戦には高いコストがかかること、成功と破壊的な効果を得る可能性が高いこと、そして、従来の作戦とサイバー作戦のテンポが異なることで、領域横断的な統合が困難になることなどから、戦争におけるサイバー作戦の有用性は限定的であると結論づけている。しかし、有用性を達成できる2つの狭いウィンドウが存在する。累積的な戦略的有用性は、複雑性の低いサイバー作戦を継続的に実施し、重要なインフラと政府を標的にすることで達成できる。戦闘作戦の初期においては、時間的な二分法がそれほど顕著ではないため、戦闘作戦開始前にクロスドメイン統合を計画することが可能であり、作戦上および戦術上の有用性を達成することができる。TECIは、サイバー作戦を系統的に分析し、戦争におけるサイバー空間の進化する役割の比較を可能にする、将来の研究のための共通かつ運用化されたモデルを提示することで、この分野における研究のギャップを埋める。 |
Introduction |
序文 |
On 24 February 2022, Russia launched a full-scale invasion of Ukraine, prompting conventional warfighting in all three classical domains of the air, sea, and land [1]. A newer domain —cyberspace— also saw action. Already in the lead-up to the war, Russia conducted cyber operations targeting the Ukrainian government and critical infrastructure [2]. When conventional warfighting broke out, more cyber operations followed. Russia’s invasion of Ukraine is thus historic; it is one of the first conventional wars involving military operations in cyberspace [3]. Although cyber operations are clearly used, it is less clear what they mean for the warfighting. Are they useful or ineffectual? |
2022年2月24日、ロシアはウクライナへの全面侵攻を開始し、空、海、陸の3つの古典的な領域すべてにおいて通常戦闘が開始された[1]。新しい領域であるサイバー空間でも活動が確認された。戦争に先立つ段階で、ロシアはすでにウクライナ政府と重要インフラを標的としたサイバー作戦を実施していた[2]。通常戦が勃発すると、さらに多くのサイバー作戦が続いた。 このように、ロシアによるウクライナ侵攻は歴史的なものであり、サイバー空間における軍事作戦を伴う初めての通常戦争のひとつである [3]。 サイバー作戦が明確に使用されているとはいえ、それが戦闘にどのような影響を与えるかは明確ではない。 それらは有用なのか、それとも無力なのか? |
Cyber scholars have sought to answer this question for a long time. Many assumptions about the utility of cyber operations have been based on a few oft-cited incidents, however, due to a lack of data [4–6]. Despite this, scholars have made important contributions in recent years to the emerging field of cyber conflict studies and to our understanding of the utility of cyber operations in particular. Initially, the field was characterized by a broad discussion on the possible revolutionary potential of cyber war [7–12]. More recently, situating International Relations concepts in the context of the unique traits of cyberspace, scholars have moved toward a more detailed study of whether and how offensive cyber operations can produce strategic and operational effects in and outside the context of warfighting [5, 6, 13–21]. |
サイバー学者たちは長い間、この疑問の答えを模索してきた。しかし、サイバー作戦の有用性に関する多くの想定は、データ不足により、よく引用されるいくつかのインシデントに基づいていた [4-6]。 にもかかわらず、学者たちは近年、台頭しつつあるサイバー紛争研究の分野、特にサイバー作戦の有用性に対する我々の理解に重要な貢献をしてきた。当初、この分野はサイバー戦争の革命的な可能性について幅広い議論が行われていたのが特徴であった [7–12]。 さらに最近では、国際関係論の概念をサイバー空間の独特な特性を踏まえた文脈に位置づけ、攻撃的なサイバー作戦が戦時および戦時以外の状況において戦略的および戦術的な効果を生み出すことができるかどうか、また、その方法について、より詳細な研究が行われるようになってきた [5, 6, 13–21]。 |
Now, the Russo–Ukrainian War provides novel data allowing us to revisit debates in cyber conflict studies and assess some of the common assumptions. Several scholars have already studied the use of cyber operations in the war [22–32]. While these studies constitute important steps toward a more data-driven discussion of cyber operations, the field lacks a firm basis for comparing findings across different studies, which are often disparate in methodology. We make up for this by formulating a model capable of serving as the common basis for analyzing cyber operations in war. |
そして今、ロシア・ウクライナ戦争は、サイバー紛争研究における議論を再考し、一般的な想定の一部をアセスメントするための新たなデータを提供している。すでに複数の学者が、この戦争におけるサイバー作戦の利用について研究している [22-32]。これらの研究は、よりデータ主導のサイバー作戦の議論に向けた重要なステップであるが、この分野では、方法論がしばしば異なるさまざまな研究における調査結果を比較するための確固たる基盤が欠如している。この欠点を補うため、本稿では戦争におけるサイバー作戦を分析するための共通の基盤となり得るモデルを構築する。 |
Besides characterizing the utility of offensive cyber operations in warfighting based on a systematic analysis of data from the Russo–Ukrainian War, this article contributes to the literature by formulating the novel TECI-model named for its four variables of analysis: target, effect, complexity, and integration. The TECI-model is tailored to deliver insights on the utility of cyber operations in war and it serves as a common model for future research on the Russo–Ukrainian War and other conflicts, improving the field’s ability to compare and track the evolving use of cyber operations in war. |
本稿では、ウクライナ・ロシア戦争のデータを系統的に分析した結果に基づいて、戦争における攻撃的サイバー作戦の有用性を特徴づけるだけでなく、分析の4つの変数(ターゲット、影響、複雑性、統合)にちなんで名付けられた新しいTECIモデルを構築することで、この分野の研究に貢献する。TECIモデルは、戦争におけるサイバー作戦の有用性に関する洞察を提供するように調整されており、ロシア・ウクライナ戦争やその他の紛争に関する今後の研究のための共通モデルとして役立つ。これにより、戦争におけるサイバー作戦の進化する利用状況を比較・追跡する能力が向上する。 |
Empirically, the article draws mainly on material published by the CyberPeace Institute (CPI) and Microsoft, including both their April and June 2022 reports (We acknowledge that the sources are not free from bias and compensate by cross-checking between multiple sources [33]. Microsoft has commercial interests in cybersecurity and supplies the Ukrainian government with services used to defend against Russian operations. CPI delivers services to Ukrainian NGOs. To strengthen the data’s credibility, this article disregards any value-based assessments of cyber events made by either Microsoft or CPI and uses only fact-based descriptions and technical analyses. These are then cross-checked when possible. The data consist of descriptions and technical analyses of cyber operations conducted in Ukrainian cyberspace by Russian state actors from January until December 2022 (The dataset will be made available upon request by contacting the authors). Using material from both sources serves as a control of their accuracy. The sources are cross-checked to find common trends that, thus constitute a more representative sample of operations in Ukrainian cyberspace. However, publicly available data most likely do not represent a full picture of Ukrainian cyberspace due to the fog of war. Different trends may emerge if more data were released, in which case further research should be conducted. |
経験則として、この記事では主にサイバーピース研究所(CPI)とマイクロソフトが発表した資料を引用している。これには、2022年4月と6月の両方の報告書が含まれる(出典にはバイアスが含まれている可能性があることを認めているが、複数のソース間のクロスチェックにより補っている[33]。マイクロソフトはサイバーセキュリティに商業的利益を持っており、ウクライナ政府にロシアの作戦から防御するためのサービスを提供している。CPIはウクライナのNGOにサービスを提供している。データの信頼性を高めるため、本記事ではマイクロソフト社またはCPI社によるサイバーイベントの価値に基づくアセスメントは無視し、事実に基づく記述と技術的分析のみを使用する。 可能な場合は、これらの記述を相互に確認する。 データは、2022年1月から12月にかけてウクライナのサイバー空間でロシアの国家主体によって実施されたサイバー作戦の記述と技術的分析で構成されている(データセットは著者に問い合わせれば入手可能)。両方のソースからの資料を使用することで、その正確性を制御することができる。ソースを相互に確認することで、共通する傾向を見つけ出し、ウクライナのサイバー空間における作戦のより代表的なサンプルを構成する。しかし、公開されているデータは、戦場の霧により、ウクライナのサイバー空間の全体像を表している可能性は低い。より多くのデータが公開されれば、異なる傾向が現れる可能性があり、その場合はさらなる調査が必要となる。 |
The empirical evidence is analyzed through the TECI-model. The model contains four variables that describe essential aspects of offensive cyber operations in war, namely the target, effect, and complexity of a cyber operation as well as its integration with conventional military operations. The variables were chosen for their ability to provide insights necessary for assessing the utility of cyber operations in warfighting, as evaluated by the analysis in this article. TECI thus elucidates how military actors employ cyber operations in warfighting, which allows us to determine their strategic, operational, and tactical utility. |
実証的証拠はTECIモデルで分析される。このモデルには、戦争における攻撃的なサイバー作戦の重要な側面を説明する4つの変数、すなわちサイバー作戦のターゲット、影響、複雑性、そして通常軍事作戦との統合が含まれている。これらの変数は、本記事の分析によって評価されたように、戦闘におけるサイバー作戦の有用性をアセスメントするために必要な洞察力を提供する能力に基づいて選択された。TECIは、軍事関係者が戦闘においてサイバー作戦をどのように利用しているかを明らかにし、それによって、その戦略的、戦術的、および戦術的な有用性を判断することを可能にする。 |
The article finds that Russia’s military cyber operations have generally been of limited utility for the conventional warfighting in Ukraine except for in two circumstances. These findings may not be generalizable to future wars, however, for example due to idiosyncratic decisions by Russian cyber forces and the particular composition of Ukrainian cyberspace as well as actions by Western actors [30, 31]. Wars may unfold in ways that lessen or exacerbate the limitations and windows of opportunity found in this article. Still, the findings are indicative of the current state of affairs, and the TECI-model is readily applicable for systematically analyzing future wars. |
本記事では、ロシア軍のサイバー作戦は、ウクライナにおける通常戦闘においては、2つの状況を除いて、概して限定的な効果しか持たなかったと結論づけている。ただし、この結論は、例えばロシアのサイバー部隊の特異な決定やウクライナのサイバー空間の特殊な構成、および西側諸国の行動などにより、将来の戦争に一般化できるものではない可能性がある[30, 31]。戦争は、本記事で発見された限界や機会の窓を軽減または悪化させる形で展開する可能性がある。それでも、この調査結果は現状をよく表しており、TECIモデルは今後の戦争を体系的に分析する際に容易に適用できる。 |
On the face of it, Russian cyber operations have had a large potential for affecting the warfighting by repeatedly targeting Ukrainian government entities in addition to critical infrastructure, as shown in our analysis. This potential is limited by four other trends, however, with each trend speaking to assumptions in the literature as explained below. No particular trend can be singled out as more significant than the rest in limiting the utility of the cyber operations. |
一見したところ、ロシアのサイバー作戦は、分析で示したように、重要インフラに加えてウクライナ政府の事業体を繰り返し標的にすることで、戦闘に大きな影響を与える可能性を秘めている。しかし、この可能性は、以下で説明する文献上の想定と関連する4つの他の傾向によって制限されている。サイバー作戦の有用性を制限する上で、他の傾向よりも特に重要な傾向は見当たらない。 |
First, Russian cyber operations rarely sought physical destruction, opting instead for destruction of data which lowered their potential utility in warfighting. This trend supports the widely shared assumption in the literature that cyber operations are unsuited for physical destruction [5, 7, 20]. Second, the effects of Russian cyber operations as encoded in their payloads often failed to materialize. This suggests that cyberspace in fact favors the defense with respect to the offense–defense balance, contrary to the common assumption that cyberspace is offense dominant [34, 35]. Third, Russian state actors have tended to recycle already known malware families [36]. This decreased their ability to avoid detection by defensive measures, which partly explains the second trend of absent effects. The third trend, thus speaks to the transience of cyber weapons, confirming the assumption that offensive cyber operations eventually lose their utility without the continuous but costly development of novel cyber weapons [15, 37, 38]. Fourth, cyber operations were seldom integrated into conventional military operations, lowering their potential utility for the warfighting. This supports the common assumption that integrating cyber capabilities with other capabilities is difficult [16, 39, 40]. |
第一に、ロシアのサイバー作戦は物理的な破壊をめったに求めず、代わりに戦闘における有用性を低下させるデータの破壊を選択している。この傾向は、サイバー作戦は物理的な破壊には適していないという文献で広く共有されている想定を裏付けるものである[5, 7, 20]。第二に、ペイロードにエンコードされたロシアのサイバー作戦の効果は、しばしば実現しなかった。これは、サイバー空間は攻撃優位であるという一般的な想定とは逆に、実際には攻撃と防御のバランスにおいて防御が優位であることを示唆している[34, 35]。第3に、ロシアの国家主体は既知のマルウェアファミリーを再利用する傾向にある[36]。これにより、防御策による検知を回避する能力が低下し、効果が見られないという第2の傾向を部分的に説明している。第3の傾向は、サイバー兵器の短命さを物語っており、攻撃的なサイバー作戦は、継続的に、しかし費用のかかる新たなサイバー兵器の開発を行わなければ、最終的にはその有用性を失うという想定を裏付けるものである[15, 37, 38]。第4に、サイバー作戦は通常、従来の軍事作戦に統合されることはまれであり、戦闘における潜在的有用性を低下させている。これは、サイバー能力を他の能力と統合することは困難であるという一般的な想定を裏付けるものである[16, 39, 40]。 |
The article finds two explanations for these limitations. The first explanation concerns the temporal characteristics of operations. Contrasted with conventional warfighting, cyber operations tend to be slower to plan and stage as well as more uncertain in their ability to execute precisely timed effects. There is, in a nutshell, an incongruity between the relatively slow cyber operation and the fast-paced conventional operation. This explains why Russian cyber operations were infrequently integrated with conventional operations, and why conventional means such as missile strikes were likely preferred when destructive effects were sought. The second explanation is the high cost of cyber operations that rely on novel and target-specific malware and tools. Such highly complex operations are more likely to be successful and to achieve destructive effects. It is prohibitively difficult for most actors to continuously conduct such complex and costly operations, however, explaining why Russia began recycling malware a few weeks into the invasion. This limited the operations’ chances of successful and destructive effects as well as their utility. |
本記事では、こうした限界に対する2つの説明を提示している。1つ目の説明は、作戦の時間的特性に関するものである。従来の戦争遂行と比較すると、サイバー作戦は計画や準備に時間がかかり、また、正確なタイミングで効果を出す能力に不確実性が高い傾向がある。一言で言えば、比較的遅いサイバー作戦とテンポの速い通常作戦との間に不整合があるということだ。これが、ロシアのサイバー作戦が通常作戦と統合されることが少なかった理由であり、破壊的な効果を求める場合にはミサイル攻撃などの通常手段が好まれた理由である。2つ目の説明は、新規で標的特有のマルウェアやツールに依存するサイバー作戦のコストが高いことである。このような高度に複雑な作戦は成功する可能性が高く、破壊的な効果を達成できる可能性も高い。しかし、ほとんどの行為者にとって、このような複雑でコストのかかる作戦を継続的に行うことは法外に難しい。これが、ロシアが侵攻から数週間後にマルウェアのリサイクルを開始した理由である。これにより、作戦の成功と破壊的な効果の可能性、およびその実用性が制限された。 |
As exceptions to this general trend of limited utility, however, the article finds two sets of circumstances —narrow windows of opportunity— in which cyber operations can affect conventional warfighting. Both windows of opportunity are evident in the analyzed data from the Russo–Ukrainian War. |
しかし、この限定的な実用性という一般的な傾向に対する例外として、この記事では、サイバー作戦が通常戦闘に影響を与えることができる2つの状況、すなわち「狭い機会の窓」を見出している。この2つの機会の窓は、ロシア・ウクライナ戦争の分析データから明らかになっている。 |
The first narrow window of opportunity is a cumulative impact on the strategic level of warfighting. This is achieved by undermining national resources and instruments of power through the persistent targeting of critical infrastructure and government entities as well as forcing the defender to direct resources to defensive cyber capabilities instead of conventional warfighting. The second window of opportunity is an impact on the operational and tactical levels of warfighting specific to the beginning of a war. The incongruity between the slow cyber operation and the fast conventional operation, which otherwise hinders operational and tactical utility, is less applicable right when warfighting commences. The slow aspects of a cyber operation can be conducted before war breaks out, rendering its delivery of effects fast-paced in the war’s beginning. This improves its ability to integrate into conventional operations and so also its chance of generating operational or tactical advantages. In these narrow ways, cyber operations can achieve significance and impact the warfighting despite their otherwise limited utility. |
最初の狭い機会は、戦争遂行における戦略レベルへの累積的な影響である。これは、重要なインフラや政府事業体を継続的に標的にすることで国家資源や権力手段を弱体化させ、また防御側が通常戦闘ではなく防御的なサイバー能力にリソースを集中させることを余儀なくさせることによって達成される。2つ目の機会は、戦争の初期に特有の、戦争遂行における作戦および戦術レベルへの影響である。サイバー作戦の遅さと通常作戦の速さの不整合は、通常作戦や戦術の有用性を妨げるが、戦争が始まった直後は、その不整合はあまり当てはまらない。サイバー作戦の遅い側面は、戦争が勃発する前に実施することができ、戦争の初期段階では、その効果の実現が迅速になる。これにより、通常作戦への統合能力が改善され、通常作戦や戦術上の優位性を生成する可能性も高まる。このように限定的な方法ではあるが、サイバー作戦は意義を達成し、戦闘に影響を与えることができる。 |
The article proceeds in five sections. The first section situates the current debate on cyber operations in war within the broader field of cyber conflict studies. The second section develops the TECI-model for assessing the use of cyber operations in war. The third section applies the TECI-model to systematically analyze Russian cyber operations in the Russo–Ukrainian war. The fourth section discusses these results to elucidate the strategic, operational, and tactical utility of cyber operations in conventional warfighting. The fifth section concludes the article. |
本稿は5つのセクションで構成されている。第1セクションでは、サイバー作戦に関する現在の議論を、より広範なサイバー紛争研究の分野に位置づける。第2セクションでは、戦時におけるサイバー作戦の使用をアセスメントするためのTECIモデルを展開する。第3セクションでは、TECIモデルを適用し、ウクライナ・ロシア戦争におけるロシアのサイバー作戦を体系的に分析する。第4節では、これらの結果を考察し、通常戦におけるサイバー作戦の戦略的、戦術的、および作戦上の有用性を明らかにする。第5節で本稿を締めくくる。 |
Cyber conflict studies: from cyber war to cyber operations |
サイバー紛争研究:サイバー戦争からサイバー作戦へ |
Over the last decade, the literature on cyber warfare and cyber operations has evolved quite extensively, and today some scholars even talk about a new subdiscipline in International Security Studies called cyber conflict studies [41, 42]. The initial discussions within cyber conflict studies were dominated by conceptual and theoretical disagreements, on the one hand, on “cyber war” as a useful analytical category [7, 10, 11, 43–46], and on the other, on the revolutionary potential of our new cyber realities for the international order [8, 47–50]. These disagreements led to several attempts to apply well-known strategic concepts such as deterrence [12, 44, 51–56], offensive–defensive balance [34, 35, 57, 58], and escalation [59–62] to the context of cyberspace often characterized by increased speed, scale, and relative ease of anonymity [8, 17, 54, 63–67]. Specifically for the offense–defense balance, consensus in the literature sees cyberspace as offense dominant, increasing fears of attacks and encouraging arms races [34]. Even so, there is broad agreement on cyberspace being less suitable for causing physical violence than conventional military domains [5, 20]. |
過去10年間で、サイバー戦およびサイバー作戦に関する文献は大幅に進化し、現在では一部の学者は、国際安全保障研究における新たな一分野として「サイバー紛争研究」について語っている[41, 42]。サイバー紛争研究における初期の議論は、有用な分析カテゴリーとしての「サイバー戦争」に関する概念的・理論的な相違意見が一方に、そして、国際秩序に対する新しいサイバー現実の革命的な可能性に関する意見が他方に、それぞれ支配されていた。こうした意見の相違により、抑止力[12, 44, 51–56]、攻撃と防御のバランス[34, 35, 57, 58]、エスカレーション[59–62]といったよく知られた戦略的概念を、速度、規模、匿名性の容易さの増大という特徴を持つことが多いサイバー空間の状況に適用しようとする試みがいくつか行われた[8, 17, 54, 63–67]。特に攻撃と防御のバランスに関しては、サイバー空間は攻撃が優勢であり、攻撃への懸念を高め、軍拡競争を促すという見解が文献ではコンセンサスとなっている [34]。 それでも、サイバー空間は従来の軍事領域よりも物理的な暴力を引き起こすのに適していないという点では、幅広い合意がある [5, 20]。 |
Most of these contributions, however, relied primarily on few oft-cited incidents like the 2007 Russian cyberattacks against Estonia, the Israeli bombing of a suspected Syrian nuclear reactor allegedly enabled by a cyberattack (Operation Orchard), the Russian cyberattacks accompanying the 2008 military intervention in Georgia, and the US–Israeli Stuxnet worm destroying Iranian nuclear centrifuges (Two notable exceptions to the reliance on few oft-cited incidents are Valeriano and Maness’ 2014 “The dynamics of cyber conflict between rival antagonists” as well as Maness and Valeriano’s 2016 “The Impact of Cyber Conflict on International Interactions” [68, 69]. See also [4].). |
しかし、これらの寄稿のほとんどは、主に2007年のロシアによるエストニアへのサイバー攻撃、サイバー攻撃によって可能になったとされるイランの核反応炉を標的としたイスラエルの爆撃(オペレーション・オーチャード)、2008年のグルジアへの軍事介入に伴うロシアのサイバー攻撃、そしてイランの核遠心分離機を破壊した米・イスラエルのスタクスネット・ワームといった、よく引き合いに出されるいくつかのインシデントに依拠している (よく引用されるインシデントへの依存に関する2つの注目すべき例外は、ValerianoとManessによる2014年の論文「ライバルの敵対者間のサイバー紛争の力学」、およびManessとValerianoによる2016年の論文「国際交流におけるサイバー紛争の影響」[68, 69]である。また、[4]も参照のこと。) |
With the increasing political acceptance of cyberspace as a domain for military operations, and with more and more states investing in military cyber capabilities [70–72], the literature saw several contributions discussing how states can integrate cyber operations with conventional capabilities in other branches of the armed forces [20, 40, 73, 74] and in alliances [75–77]. Smeets’ PETIO-framework, for example, highlights the importance of C2 and preparatory infrastructure, interorganizational coordination, and having the right people to develop, maintain, and operate exploits and tools as well as to support with administrative, operational, and legal expertise when developing a military cyber force [78]. Others also point to challenges to the integration of cyber and noncyber capabilities stemming from temporal constraints as well as issues with deconfliction and battle damage assessment [75]. |
軍事作戦の領域としてのサイバー空間の政治的受容が高まり、軍事サイバー能力に投資する国家が増えるにつれ [70-72]、文献では、国家が他の軍事部門における従来の能力 [20, 40, 73, 74] や同盟関係 [75-77] とサイバー作戦を統合する方法について論じたいくつかの寄稿が見られるようになった。例えば、Smeets氏のPETIOフレームワークでは、軍事サイバー部隊を編成する際に、指揮統制(C2)と準備インフラ、組織間の調整、およびエクスプロイトやツールの開発・維持・運用、および管理、運用、法律の専門知識によるサポートを行う適切な人材の確保が重要であることを強調している[78]。また、時間的制約や、デコンフリクト(軍事衝突回避)や戦闘ダメージアセスメント(戦闘被害評価)の問題に起因する、サイバー能力と非サイバー能力の統合の難しさも指摘されている。 |
Some scholars zoom in on the difficulty of military cyber operations to produce strategic effects [14, 17, 79, 80]. Maschmeyer argues that the effectiveness of military cyber operations is limited by a trilemma between speed, intensity, and control, rendering cyber operations unlikely to deliver on their strategic promise —even in their more covert subversive forms [6]. Scholars further hypothesize that offensive cyber operations are temporally constrained by the transitory nature of cyber weapons, leading to difficulties achieving effects once malware is burned and requiring costly reinvestment to produce new malware to sustain operations [15, 37]. Again, many of these assumptions draw on the cases mentioned above, accompanied by case studies of the Russo–Ukrainian conflict 2013–2017 and the US Operation Glowing Symphony against ISIS [6, 39, 81–84]. |
一部の学者は、戦略的効果を生み出すための軍事サイバー作戦の難しさに焦点を当てている。マシュマイヤーは、軍事サイバー作戦の有効性は、速度、強度、制御の3つの要素の間のトリレンマによって制限され、サイバー作戦は、より秘密裏に破壊工作を行う形態であっても、戦略的な期待に応えることはできないと主張している[6]。 学者たちはさらに、攻撃的なサイバー作戦は、サイバー兵器の一時的な性質によって時間的な制約を受け、マルウェアが一度実行されると効果を達成することが難しくなり、作戦を継続するために新たなマルウェアを作成するには多大な再投資が必要になるという仮説を立てている[15, 37]。ここでも、これらの仮説の多くは、上述の事例を参考にしており、2013年から2017年のロシア・ウクライナ紛争や、ISISに対する米国の「オペレーション・グローイング・シンフォニー」の事例研究も併せて参照されている[6, 39, 81–84]。 |
The lack of accessible data on the use of cyber capabilities in military operations has also meant that most scholars have turned their attention to activities that take place in the grey zone below the threshold of armed conflict [85]. Often spurred by Russia’s 2016 hack of the US Democratic National Committee or the new US strategic cyber vision of persistent engagement, scholarly contributions have largely come to see cyber operations as part of an intelligence contest, information warfare, or as a preemptive logic [18, 86–94]. While it is certainly justified to conclude that cyber operations have proven most useful as a tool in political competitions short of war, it is premature to disregard the potential benefit of cyber operations in war. With the Russian invasion of Ukraine, a new dataset is available to help us better understand the utility of cyber operations in war and ultimately validate or reject assumptions in the literature. |
軍事作戦におけるサイバー能力の使用に関する入手可能なデータが不足しているため、ほとんどの学者は、武力紛争の引き金となるグレーゾーンで発生する活動に注目している[85]。2016年のロシアによる米民主党全国委員会へのハッキングや、米国の新たな戦略的サイバービジョンである持続的関与に触発されたこともあり、学術的な貢献の多くは、サイバー作戦を情報戦の一部、あるいは先制論として捉えるようになってきている[18, 86–94]。戦争に至らない政治的競争においては、サイバー作戦が最も有用な手段であることは確かに証明されているが、戦争におけるサイバー作戦の潜在的な利益を無視するのは時期尚早である。ロシアによるウクライナ侵攻により、戦争におけるサイバー作戦の有用性をより深く理解し、最終的に文献における想定を検証または否定するのに役立つ新たなデータセットが利用可能となった。 |
The TECI-model for understanding cyber operations in war |
戦争におけるサイバー作戦を理解するためのTECIモデル |
Analyzing the new data requires an analytical model for understanding militaries’ use of cyber operations in war. This section develops such a model (Some scholars categorize different kinds of cyber harms. Agrafiotis et al. [95] construct a taxonomy of cyber harms that can result from cyberattacks). Summarized in Table 1, the model —named TECI for its constituent variables— systematizes and operationalizes a broad range of perspectives in the literature that have not been readily applicable to systematically analyzing larger data sets in the specific context of warfighting. The TECI-model is explained in detail after first noting some of these existing perspectives in the literature. |
新しいデータを分析するには、戦争における軍のサイバー作戦の利用を理解するための分析モデルが必要である。このセクションでは、そのようなモデルを構築する(一部の学者は、さまざまな種類のサイバー被害を分類している。Agrafiotis et al. [95]は、サイバー攻撃によって生じるサイバー被害の分類体系を構築している)。表1に要約されているように、構成変数からTECIと名付けられたこのモデルは、戦闘という特定の文脈におけるより大規模なデータセットの体系的な分析に容易に適用できなかった、文献における幅広い視点を体系化し、運用可能にするものである。TECIモデルは、まず文献における既存の視点のいくつかを指摘した上で、詳細に説明されている。 |
Table 1. Summary of the TECI-Model |
表1. TECIモデルの概要 |
|
|
Ashraf has introduced a framework for comparing definitions of cyberwar [5]. This framework is not built for understanding the use of cyber operations but still hints at some central aspects of cyber operations. Rattray and Healey [96] have proposed a 12-factor framework for categorizing offensive cyber operations. It is neither tailored to cyber operations in warfighting nor evaluated empirically. More recently, Moore proposed a framework distinguishing between event- and presence-based offensive cyber operations [19]. While this framework is better suited for the context of war, it is not evaluated on extensive empirical evidence in war. |
アシュラフはサイバー戦争の定義を比較するための枠組みを導入している[5]。この枠組みはサイバー作戦の使用を理解するために構築されたものではないが、サイバー作戦のいくつかの中心的な側面を示唆している。ラットレイとヒーリーは[96]、攻撃的なサイバー作戦を分類するための12の要因からなる枠組みを提案している。これは戦争におけるサイバー作戦に特化したものではなく、実証的な評価も行われていない。さらに最近では、ムーアがイベントベースとプレゼンスベースの攻撃的サイバー作戦を区別する枠組みを提案している[19]。この枠組みは戦争の文脈により適しているが、戦争における広範な実証的証拠に基づいて評価されたものではない。 |
Specifically elaborating on relations between cyberspace and other domains, Egloff and Shires propose “three logics of integration” for categorizing how cyber capabilities can be integrated with noncyber capabilities [20]. Cyber operations can substitute conventional operations by achieving effects instead of conventional operations, support conventional operations by increasing the conventional operations’ power, precision, range, or resilience, and finally complement conventional operations by acting in addition to conventional means thus adding a new course of action to the actor’s repertoire [20]. The logics of substitution, support, and complementation show the realms of possibility for how cyberspace and noncyber domains can be interrelated when conducting cyber operations. |
サイバー空間とその他の領域の関係について特に詳しく述べているのは、エグロフとシャイアーズで、サイバー能力を非サイバー能力と統合する方法を分類する「統合の3つの論理」を提案している[20]。サイバー作戦は、従来の作戦に代わって効果を達成することで従来の作戦に取って代わることもでき、従来の作戦のパワー、精度、範囲、レジリエンスを高めることで従来の作戦を支援することもでき、さらに従来の手段に加えて行動することで従来の作戦を補完することもでき、それによって行動主体のレパートリーに新たな行動様式を加えることもできる[20]。 代用、支援、補完の論理は、サイバー作戦を遂行する際にサイバー空間と非サイバー空間を相互に関連させる可能性を示している。 |
None of the above perspectives and proposed models are simultaneously readily applicable for systematic analysis of larger data sets, evaluated on data other than few oft-cited operations, and tailored to elucidate insights on the utility of offensive cyber operations in war. Still, their underlying ideas suggest useful starting points for developing such a model. |
上記の視点や提案されたモデルは、いずれも体系的な分析に即座に適用できるものではない。より大規模なデータセットの分析、少数のよく引用される作戦以外のデータに基づく評価、戦争における攻撃的サイバー作戦の有用性に関する洞察の解明に適合するものではない。しかし、その根底にある考え方は、そのようなモデルを開発するための有用な出発点となる。 |
Based on these insights, this section develops and introduces the TECI-model. The model is then applied on data in subsequent sections. TECI spans four operationalized variables: the target, effect, and complexity of a cyber operation as well as its degree of integration with conventional operations. The four variables were carefully chosen as they reveal aspects of cyber operations key to their use and utility in war (While other variables such as actor types and attribution could be included, these are less relevant than the TECI-variables when examining militaries’ use of cyber operations in war. This article only examines operations by state actors, leaving little reason for adding an ‘actor’-variable. Similarly, the question of attribution is not important for examining the utility of cyber operations in war. Attribution is certainly a relevant parameter in conflicts short of war. See [97, 98]. However, it is much less relevant once warfighting has commenced.). To assess the utility of an offensive cyber operation in warfighting, one must have insights into who the operation is affecting (target), how it is affecting the target (effect), how costly, difficult, and time-consuming it is to conduct and defend against (complexity), and how it may be a force-multiplier for the warfighting (integration). Tailored to the study of war, readily applicable for analysis of larger data sets, and empirically evaluated in this paper, TECI delivers exactly these necessary insights to assess the utility of cyber operations in war. |
これらの洞察に基づき、本セクションではTECIモデルを開発し、紹介する。このモデルは、その後のセクションでデータに適用される。TECIは、サイバー作戦のターゲット、影響、複雑性、および通常作戦との統合の度合いの4つの運用変数にまたがる。4つの変数は、戦争におけるサイバー作戦の使用と有用性の鍵となる側面を明らかにするものとして慎重に選択されたものである(行為者のタイプや帰属などの他の変数も含まれる可能性はあるが、戦争における軍のサイバー作戦の使用を検証する場合には、TECI変数ほど関連性は高くない)。本稿では国家主体による作戦のみを検証しており、「主体」変数を追加する理由はほとんどない。同様に、帰属の問題は、戦争におけるサイバー作戦の有用性を検証する上では重要ではない。帰属は、戦争に至らない紛争においては確かに重要なパラメータである。[97, 98]を参照。しかし、戦争行為が開始された後は、関連性は大幅に低下する。戦争行為における攻撃的サイバー作戦の有用性をアセスメントするには、その作戦が誰に影響を及ぼすのか(ターゲット)、ターゲットにどのような影響を及ぼすのか(効果)、実施および防御にどれほどの費用、困難、時間が必要なのか(複雑性)、そして、戦争行為における戦力増強要因となり得るのか(統合性)を洞察する必要がある。戦争研究に適合し、より大規模なデータセットの分析にも容易に適用でき、本稿で実証的に評価されたTECIは、まさに戦争におけるサイバー作戦の有用性をアセスメントするために必要な洞察をもたらす。 |
The first variable is the target of a cyber operation. It is a categorical variable denoting the type of entity or entities whose IT-systems are directly affected by the operation. It distinguishes between four categories of targets. The first is critical infrastructure and includes entities in the transportation, energy, utilities, and ICT sectors. The second category, government, covers public authorities across local, regional, and national levels as well as military entities. The third is media, which comprises entities involved in mass communication such as newspapers, broadcasters, and online news media. The fourth category, other targets, covers any other type of target not included in the preceding categories. The four categories, thus pick out and differentiate between targets that are typically considered key for both the defender and the attacker to control or influence in order to further their war efforts. |
最初の変数は、サイバー作戦の対象である。これはカテゴリー変数であり、そのITシステムが作戦によって直接影響を受ける事業体の種類を示す。これは4つのカテゴリーの対象を区別する。1つ目は重要なインフラであり、交通、エネルギー、公益事業、ICTセクターの事業体が含まれる。2つ目のカテゴリーである政府は、軍事事業体だけでなく、地方、地域、国家レベルの公共機関をカバーする。3番目はメディアで、新聞、放送局、オンラインニュースメディアなどのマスメディアに関わる事業体を含む。4番目のカテゴリーであるその他の標的は、前述のカテゴリーに含まれないその他のタイプの標的をカバーする。この4つのカテゴリーは、防衛側と攻撃側の双方が戦争を有利に進めるために支配または影響を及ぼすことが重要であると一般的に考えられている標的を特定し、区別するものである。 |
The second variable gets at the effects of a cyber operation. It is an ordinal variable that measures the direct effects experienced by a cyber operation’s target entity or entities based on the coding of the operation’s cyber weapon. The variable’s scale ranges from no effects to low, medium, and high effects. |
2つ目の変数は、サイバー作戦の効果を測定する。これは順序変数であり、サイバー作戦の標的となった事業体が経験した直接的な効果を、そのサイバー兵器のコード化に基づいて測定する。この変数の尺度は、効果なしから低、中、高の効果までである。 |
No effects straightforwardly denote the absence of effects of a cyber operation on its intended target, for example in the case of premature discovery. Low effects are defined as the disruption of IT-systems by temporarily undermining their functionality as well as the exfiltration of data from IT-systems. A DDoS-attack or data theft would constitute a low-effect operation. Cyber operations with a low effect importantly do not produce irreversible effects on their targets. Medium effects cover cyber operations that render data permanently inaccessible or, in essence, destroys data. This is an irreversible and therefore more severe effect, but it is importantly limited to the logical layer of cyberspace such that no physical objects are irreversibly damaged. A wiper attack deleting data would be a medium-effect operation (Ransomware attacks, where actors encrypt data with the intent of receiving monetary compensation before decrypting the data, could constitute either medium or low severity depending on the actual effects on data. During warfighting, if the data is decrypted once a target pays an actor, the attack constitutes low severity since the target’s access to the data was disrupted and not irreversibly blocked. If the data is not decrypted, however, the attack would constitute medium severity since the target’s data are permanently and irreversibly inaccessible. Ransomware could even fall into the high severity effects category if the data encryption somehow caused physical damage.). The final high effects category contains operations whose effects amount to physical destruction. These operations cause irreversible damage to hardware or other physical objects. The physical destruction need not present itself in the physical layer of cyberspace only; it may involve the destruction of other physical objects such as industrial hardware like generators brought about by malicious code. A cyber operation damaging hardware or other physical objects in a power grid would thus a high-effect operation. |
効果なしとは、例えば早期に発見された場合のように、意図した標的に対するサイバー作戦の効果がまったくなかったことを端的に示す。低影響とは、ITシステムの機能が一時的に損なわれることによる混乱や、ITシステムからのデータ流出を指す。DDoS攻撃やデータ盗難は低影響の作戦に該当する。低影響のサイバー作戦では、ターゲットに不可逆的な影響は及ぼさない。中影響とは、データが恒久的にアクセス不能になるサイバー作戦、つまり本質的にはデータの破壊を指す。これは不可逆的で、したがってより深刻な影響であるが、物理的な物体が不可逆的に損傷することはないように、サイバー空間の論理層に限定される。データを消去するワイパー攻撃は中程度の影響を与える作戦である(ランサムウェア攻撃は、データを暗号化して復号前に金銭的補償を得ることを意図する行為であり、データへの実際の影響に応じて、中程度または低度の深刻度となる可能性がある。戦闘中、標的が攻撃者に支払うことでデータが一度復号化された場合、攻撃の深刻度は低くなる。なぜなら、標的のデータへのアクセスが妨害されただけで、不可逆的にブロックされたわけではないからだ。しかし、データが復号化されない場合、標的のデータは恒久的に不可逆的にアクセス不能となるため、攻撃の深刻度は中程度となる。ランサムウェアは、データ暗号化が何らかの形で物理的損害を引き起こした場合、深刻度が高いカテゴリーに分類される可能性もある。最終的な「重大な影響」カテゴリーには、物理的な破壊に相当する影響をもたらす作戦が含まれる。これらの作戦は、ハードウェアやその他の物理的対象に不可逆的な損害を与える。物理的な破壊は、サイバー空間の物理層のみで発生するとは限らず、悪意のあるコードによって引き起こされる発電機のような産業用ハードウェアなどのその他の物理的対象の破壊を伴う可能性もある。したがって、電力網のハードウェアやその他の物理的対象に損害を与えるサイバー作戦は、重大な影響をもたらす作戦となる。 |
In sum, this second variable gets at a central aspect of a cyber operation —its effect on target entities— and delineates operations based on the types of these direct effects, with irreversible effects and physical effects understood to be more severe than reversible and nonphysical effects, respectively. |
まとめると、この2番目の変数はサイバー作戦の中心的な側面である標的事業体への影響を捉え、不可逆的影響と物理的影響はそれぞれ可逆的影響と非物理的影響よりも深刻であると理解される。 |
The third variable measures a cyber operation’s complexity. As an ordinal variable, it assumes one of three ordered categories from low to medium and high complexity. Complexity is understood as the scale and technical sophistication of the planning, staging, and execution of a given cyber operation. The complexity is thus positively correlated with the operation’s costs and the time needed to plan, stage, and execute it. Additionally, the operation’s complexity is positively correlated with its target specificity. If an operation targets a very specific entity or a set of specific entities with a very specific effect —such as malware aimed at a certain brand of industrial control systems running certain hardware— the operation is, ceteris paribus, less capable of replicating these effects against other entities. This high degree of target specificity makes the operation more complex as more time and resources are needed to tailor the appropriate aspects of the operation to match its distinctive target or set of distinctive targets (An operation targeting a single, specific entity is understood as more complex than one indiscriminately affecting hundreds of random targets. An operation targeting multiple very specific entities is of course more complex than one targeting just the single one.). |
3番目の変数は、サイバー作戦の複雑さを測定する。順序変数として、低~中~高の3つのカテゴリーのいずれかに分類される。複雑さとは、特定のサイバー作戦の計画、準備、実行の規模と技術的洗練度を意味する。したがって、複雑さは作戦のコストおよび計画、準備、実行に必要な時間と正の相関関係にある。さらに、作戦の複雑性は、その標的の特異性と正の相関がある。作戦が非常に特異な事業体、または特定の効果を持つ特異な事業体の集合体を標的とする場合、例えば、特定のハードウェアを稼働する産業用制御システムの特定のブランドを標的とするマルウェアなど、他の事業体に対しては、他の条件が同じであれば、これらの効果を再現することはより困難となる。この標的の特異性の高さは、その独特な標的または独特な標的の集合に適合するように作戦の適切な側面を調整するために、より多くの時間とリソースが必要となるため、作戦をより複雑にする(単一の特定の事業体を標的とする作戦は、無差別に数百のランダムな標的に影響を与える作戦よりも複雑であると理解される。複数の非常に特定の事業体を標的とする作戦は、もちろん単一の事業体を標的とする作戦よりも複雑である)。 |
However, the complexity and its correlated costs are difficult to measure directly in most empirical evidence of cyber operations. The cost, duration, or intended target specificity of operations are rarely divulged by their actors. It is nevertheless more often possible to identify the cyber weapons used in an operation, although this identification process may be time-consuming. We define a cyber weapon as the computer code —in the form of malware or other tools— utilized by a cyber operation to achieve a technical effect on targets in or through cyberspace. It is worth emphasizing that the cyber weapon need not be malware but could involve utilizing other tools and techniques, even legitimate ones employed in a malicious way [36]. |
しかし、サイバー作戦のほとんどの実証的証拠では、その複雑性と関連コストを直接測定することは困難である。作戦のコスト、期間、または意図する標的の特異性は、その実行者によって明かされることはほとんどない。とはいえ、その識別プロセスには時間がかかる可能性はあるものの、作戦で使用されたサイバー兵器を特定できる場合の方が多い。 サイバー兵器とは、サイバー作戦によってサイバー空間内またはサイバー空間を通じて標的に技術的効果をもたらすために使用される、マルウェアやその他のツールの形態をとるコンピュータコードである。 強調すべきは、サイバー兵器はマルウェアである必要はなく、他のツールや技術、さらには悪意を持って使用される合法的なツールや技術も含まれる可能性があるということである[36]。 |
Importantly, a cyber weapon can act as a proxy for an operation’s costs in time and money, target specificity, and thus its complexity in lieu of other evidence. That is, the use of a highly complex cyber weapon indicates a highly complex operation and vice versa. To find the complexity of a cyber operation, the model therefore analyzes the technical complexity of the operation’s cyber weapon. |
重要なのは、サイバー兵器は、時間や費用、標的の特定性など、作戦の複雑性を代用するものとして、他の証拠に代わるものとして機能し得るということである。つまり、高度に複雑なサイバー兵器の使用は、高度に複雑な作戦を示唆し、その逆もまた真実である。したがって、このモデルでは、サイバー作戦の複雑性を把握するために、その作戦で使用されたサイバー兵器の技術的複雑性を分析する。 |
The complexity variable is thus operationalized as follows. High complexity covers operations using novel malware or tools that have not been observed before, for example because they utilize zero-days. Such operations are highly complex because they necessitate the time-consuming and costly development of cyber weapons, often with a particular target in mind. To illustrate with a typical example, Stuxnet would be categorized as a highly complex cyber weapon and Operation Olympic Games as a highly complex operation. |
したがって、複雑性の変数は以下のように定義される。高度な複雑性は、ゼロデイ攻撃に利用されるなど、これまで確認されていない新しいマルウェアやツールを使用する作戦を指す。このような作戦は、特定の標的を念頭に置いて、時間と費用のかかるサイバー兵器の開発を必要とするため、高度な複雑性を持つ。典型的な例を挙げると、Stuxnetは高度な複雑性を持つサイバー兵器であり、オリンピック作戦は高度な複雑性を持つ作戦である。 |
Medium complexity covers operations utilizing already known malware or tools, including modified versions of said malware or tools. These are less complex because they do not involve the same time-consuming and costly novel developments, but they are still complex in that they necessitate some degree of target-specific preparation, planning, and execution. An example of medium complexity is the 2017 NotPetya-operation utilizing, i.e. EternalBlue exploits, which had previously been used in the WannaCry-ransomware campaign and allegedly been leaked from the NSA [99, 100]. The original deployment of EternalBlue amounts to high complexity; the reuse of those exploits even if slightly modified is what drives an operation into medium complexity. |
中程度の複雑性は、既知のマルウェアやツールを利用する作戦を指し、これには当該のマルウェアやツールの修正版も含まれる。これらは、時間と費用のかかる新規開発を伴わないため、複雑性は低い。しかし、ある程度の標的特化型の準備、計画、実行を必要とするという点では、依然として複雑である。中程度の複雑さの例としては、2017年の「NotPetya」作戦が挙げられる。これは、以前「WannaCry」ランサムウェアキャンペーンで使用され、NSAから流出したとされる「EternalBlue」エクスプロイトを利用している[99, 100]。 EternalBlueの当初の展開は、高い複雑さである。エクスプロイトをわずかに変更して再利用することで、作戦が中程度の複雑さになる。 |
Finally, low complexity operations cover those utilizing only DDoS, password spraying, or other simple brute-forcing methods, which are cheaper, easier, and faster to prepare, plan, and execute just as they are suitable for replication against any other targets, indicating low target specificity [101–105]. |
最後に、低複雑性攻撃は、DDoS、パスワードスプレー、またはその他の単純なブルートフォース法のみを使用するものを対象とし、これらは、準備、計画、実行がより安価で容易かつ迅速であり、他のあらゆる標的に対する複製にも適していることから、標的の特異性が低いことを示している[101-105]。 |
Of course, operations may involve the use of multiple different cyber weapons such as a mixture of the novel use of malware or tools, recycled malware, and DDoS attacks. This is completely in line with the above formulation of the complexity variable, as will be explained below. |
もちろん、作戦には、マルウェアやツールの新しい使用法、再利用されたマルウェア、DDoS攻撃の混合など、複数の異なるサイバー兵器が使用される可能性がある。これは、以下で説明するように、上記の複雑性の変数に関する定義と完全に一致する。 |
For an operation to be considered of high complexity, it must use novel malware or tools against its target regardless of its use of other cyber weapons. This means an operation involving novel malware, recycled malware, and DDoS-attacks would be classified as highly complex. The medium complexity category is governed by the two-pronged condition that the operation does not use novel malware or tools but does use already known malware or tools against its target regardless of its use of other cyber weapons. This means operations using recycled malware and DDoS-attacks would be of medium complexity whereas operations using recycled as well as novel malware, e.g. would not. Lastly, low complexity operations are governed by the three-pronged condition that the operation does not use novel malware or tools, does not use recycled malware or tools, but does use DDoS, password spraying, or other brute-forcing methods as its cyber weapon. Operations using any type of malware-based exploit against their targets would thus not be considered low complexity; those employing only DDoS-attacks against their targets would. |
作戦が高度な複雑性を持つと見なされるためには、他のサイバー兵器の使用に関わらず、標的に対して新しいマルウェアやツールを使用しなければならない。つまり、新しいマルウェア、再利用されたマルウェア、DDoS攻撃を伴う作戦は、高度な複雑性を持つと分類される。中程度の複雑さのカテゴリーは、新しいマルウェアやツールは使用しないが、他のサイバー兵器の使用に関わらず、既知のマルウェアやツールを標的に使用するという2つの条件によって規定される。つまり、リサイクルされたマルウェアやDDoS攻撃を使用する作戦は中程度の複雑さであるが、リサイクルされたマルウェアや新しいマルウェア(例えば)を使用する作戦はそうではないということである。最後に、低複雑性作戦は、新しいマルウェアやツールを使用せず、再利用されたマルウェアやツールも使用しないが、DDoS攻撃、パスワードスプレー攻撃、またはその他のブルートフォース攻撃をサイバー兵器として使用するという3つの条件によってガバナンスされる。標的に対してあらゆる種類のマルウェアベースのエクスプロイトを使用する作戦は、低複雑性とはみなされない。標的に対してDDoS攻撃のみを使用する作戦は、低複雑性とみなされる。 |
The fourth and final variable, integration, is ordinal and covers four ordered categories from no to low, medium, and high degrees of integration. This range is based on the degree to which a cyber operation is coordinated with and thus integrated into events into warfighting in the conventional domains. |
4つ目の最後の変数である統合は順序性があり、統合の度合いが低いものから中程度、高いものまで、4つのカテゴリーに分類される。この範囲は、サイバー作戦がどの程度調整され、その結果、従来の領域における戦闘に統合されているかという度合いに基づいている。 |
No integration simply corresponds to the absence of any coordination and thus integration between events and capabilities in cyberspace and noncyber domains. |
統合が全くないということは、サイバー空間と非サイバー領域における事象と能力の間の調整や統合が全くないことを意味する。 |
Low integration picks out cyber operations whose effects are aligned with the objective of effects delivered by conventional capabilities without directly influencing or being influenced by these. This amounts to a low degree of coordination because there is no direct dependency between the cyber and noncyber operation. Still, the low-integration cyber effects are at least loosely coordinated with the noncyber operation in terms of their timing, targeting, and their general purpose if the effects are to truly stand in addition to the noncyber operation and its objective. This loose coordination in timing, target, and purpose account for the evident albeit low degree of integration. An example of low integration is the US Operation Glowing Symphony countering ISIS in cyberspace alongside the conventional campaign against the terrorist group. The operations were aligned in timing, targeting, and overall purpose [106]. |
低統合は、従来の能力が直接的に影響を与えたり、影響を受けたりすることなく、その効果を従来の能力がもたらす効果の目的と一致させるサイバー作戦を指す。これは、サイバー作戦と非サイバー作戦の間に直接的な依存関係がないため、低度の調整に相当する。それでも、低統合のサイバー効果は、そのタイミング、標的、およびその目的が非サイバー作戦と本当に補完関係にある場合、少なくともそのタイミング、標的、および目的の面で非サイバー作戦と緩やかに調整されている。タイミング、標的、目的におけるこの緩やかな調整が、統合の度合いが低いとはいえ、明白な理由である。統合の度合いが低い例としては、米国の「Operation Glowing Symphony」が挙げられる。これは、サイバー空間でISISに対抗するもので、テロリスト集団に対する従来のキャンペーンと並行して実施された。この作戦は、タイミング、標的、全体的な目的において調整されていた[106]。 |
Medium integration occurs when a cyber operation is coordinated with noncyber capabilities in the planning phase when military staffs plan and decide between cyber and noncyber courses of action. A medium-integration cyber operation is thus carried out to achieve an operational goal of the warfighting that could have been achieved by other capabilities. Medium integration thus creates cross-domain dependencies by necessitating alignment in at least the battle rhythms of cyber and noncyber planning entities, resulting in a higher level of integration than low integration operations. Importantly, the TECI-model is concerned specifically with cyber operations in the context of warfighting contrary to other models’ focus on contests short of war. In the warfighting-focused TECI-model, the cross-domain dependency in the medium integration logic precisely arises because there is in fact a war “going on around” the cyber and noncyber operations under consideration. The cyber operation, if chosen to achieve an operational goal of the warfighting, is not happening in a vacuum but must fit in and be somewhat aligned with the noncyber efforts characterizing the warfighting at that point in time at least in the planning phase —e.g. its battle rhythm, targets, and objectives. |
中程度の統合は、軍事スタッフがサイバーおよび非サイバーの行動方針を計画・決定する計画段階において、サイバー作戦が非サイバー能力と調整される場合に発生する。したがって、中程度の統合によるサイバー作戦は、他の能力によって達成可能であった戦闘作戦の目標を達成するために実施される。中程度の統合は、少なくともサイバーおよび非サイバーの計画事業体の戦闘リズムを調整する必要があるため、クロスドメインの相互依存関係を生み出し、低統合作戦よりも高いレベルの統合を実現する。重要なのは、TECIモデルが、他のモデルが戦争に至らない競争に焦点を当てているのに対し、戦闘を前提としたサイバー作戦に特に着目していることである。戦闘を前提としたTECIモデルでは、中間統合のロジックにおけるクロスドメインの依存関係は、検討中のサイバーおよび非サイバー作戦の「周辺で」実際に戦争が「進行中」であるため、必然的に生じる。サイバー作戦は、戦闘作戦目標を達成するために選択された場合、真空状態の中で行われるのではなく、少なくとも計画段階においては、その時点での戦闘作戦の特徴である非サイバーの取り組みに適合し、ある程度整合性が取れていなければならない。例えば、戦闘リズム、目標、目的などである。 |
Finally, high integration covers cyber operations that are directly coordinated with noncyber operations such that the cyber effects contribute to the success of a noncyber operation. In this case, robust and direct dependencies exist between cyber and noncyber operations through, for example, deconfliction or precisely timed effects necessary for progressing the respective operations. This necessitates comprehensive coordination and alignment in battle rhythms between cyber and noncyber capabilities not only in the planning phase —as in the case of medium integration— but also during the execution of the operation itself. A cyber operation characterized by direct coordination with noncyber capabilities throughout its operational life cycle thus exhibits a higher form of integration than the medium-integration where the coordination chiefly occurs before the cyber operation is carried out. An example of high integration is the Israeli Operation Orchard, where cyber assets allegedly disabled Syrian air defenses during an air strike, contributing to the conventional operation’s success through real-time cross-domain dependencies [47]. |
最後に、高度な統合は、サイバー効果が非サイバー作戦の成功に貢献するように、非サイバー作戦と直接的に調整されるサイバー作戦をカバーする。この場合、例えば、それぞれの作戦の進行に必要な効果の調整やタイミングの正確さなどによって、サイバー作戦と非サイバー作戦の間に強固で直接的な依存関係が存在する。このため、中程度の統合の場合のように計画段階だけでなく、作戦の実行中にも、サイバー能力と非サイバー能力の間の戦闘リズムにおける包括的な調整と整合が必要となる。サイバー作戦は、その運用ライフサイクル全体を通じて非サイバー能力との直接的な調整を特徴とし、主にサイバー作戦が実施される前に調整が行われる媒体統合よりも高度な統合形態を示す。高度な統合の例としては、イスラエルのオレンジ作戦がある。この作戦では、サイバー能力が空爆中にシリアの防空能力を無効化し、リアルタイムのクロスドメイン依存関係を通じて通常作戦の成功に貢献したとされる[47]。 |
In sum, the integration variable explicates and orders the ways in which cyber operations can be integrated with noncyber operations based on the extent of cross-domain coordination and dependencies required. |
まとめると、統合変数は、必要なクロスドメインの調整と依存の程度に基づいて、サイバー作戦を非サイバー作戦と統合する方法を明らかにし、順序付ける。 |
A systematic analysis of Russian cyber operations in Ukraine |
ウクライナにおけるロシアのサイバー作戦の体系的分析 |
This section applies the TECI-model to data from the 2022 Russo–Ukrainian War to analyze trends in the use of offensive cyber operations in conventional warfighting. |
このセクションでは、TECIモデルを2022年の露ウクライナ戦争のデータに適用し、通常戦における攻撃的サイバー作戦の使用傾向を分析する。 |
The analysis is concerned only with offensive cyber operations conducted by Russian state actors against Ukrainian targets. This is for two reasons. First, data sources examined by this article are mainly focused on operations by Russian state actors. Second, to analyze the use of cyber operations in conventional warfighting, the data should be comprised of operations against entities that take part in the warfighting. The data is further limited to operations between January and December 2022, thereby including the immediate preparations for war in January and February. |
分析の対象は、ロシアの国家主体がウクライナを標的として実施した攻撃的サイバー作戦のみである。その理由は2つある。第1に、本記事で調査したデータソースは主にロシアの国家主体による作戦に焦点を当てている。第2に、通常戦におけるサイバー作戦の利用を分析するには、データは戦闘に参加する事業体に対する作戦で構成される必要がある。さらに、データは2022年1月から12月までの作戦に限定されており、1月と2月の戦争直前の準備も含まれている。 |
The analysis is divided into four subsections matching the target, effects, complexity, and integration variables. Trends are presented and accompanied by emblematic examples. Major findings are summarized in a concluding subsection. |
分析は、標的、影響、複雑性、統合の変数に一致する4つの小項目に分けられている。傾向が示され、象徴的な例が添えられている。主な調査結果は、結論の小項目で要約されている。 |
Targets |
標的 |
Overall, Russian cyber operations predominantly targeted Ukrainian critical infrastructure and government entities. The results of the TECI-model’s target analysis are shown in Fig. 1. This indicates Russia sought to undermine Ukrainian war efforts through offensive cyber operations, directly by targeting the Ukrainian state and indirectly by targeting functions critical to the stability of Ukrainian society. |
全体として、ロシアのサイバー作戦は主にウクライナの重要インフラおよび政府事業体を標的にしていた。TECIモデルの標的分析の結果は図1に示されている。これは、ロシアが攻撃的なサイバー作戦を通じて、ウクライナ政府を直接標的にし、またウクライナ社会の安定に不可欠な機能を間接的に標的にすることで、ウクライナの戦争努力を弱体化させようとしていたことを示している。 |
|
Figure 1. |
図1 |
Distribution of target type for Russian cyber operations with identifiable targets in CPI data (n = 42). |
CPIデータで識別可能な標的に対するロシアのサイバー作戦の標的タイプの分布(n=42)。 |
Critical infrastructure comprises the transportation, energy, utilities, and ICT sectors. The CPI data includes 47 operations by Russian state actors with 42 identifiable Ukrainian targets [107]. The transportation sector was targeted twice, the energy sector four times, and the ICT sector 10 times. Altogether, critical infrastructure accounts for 38% of identifiable targets in CPI’s data. |
重要インフラは、運輸、エネルギー、公益事業、およびICTセクターで構成される。CPIデータには、ロシアの国家行為者による47件の作戦が含まれ、42件の識別可能なウクライナの標的が存在する[107]。運輸セクターは2回、エネルギーセクターは4回、ICTセクターは10回標的とされた。全体として、重要インフラはCPIのデータにおける識別可能な標的の38%を占める。 |
In April, Microsoft published target types for an allegedly representative selection of Russian cyber operations since the invasion [36]. These constitute a subset of 57 targets. Seven targets belong to the energy sector and 12 to the ICT sector. An unspecified number of operations targeted the transportation sector, which is grouped with other target types, although an operation around 17–23 March targeting a transportation entity is explicitly mentioned [36]. Thus, critical infrastructure entities were likely targeted at least 20 times in the presented subset. This amounts to roughly 35% of targets, matching CPI’s 38%. Additionally, until late April, more than 40% of data-destroying operations targeted critical infrastructure [36]. |
4月には、マイクロソフトが、侵攻以降のロシアのサイバー作戦の代表者とされる標的の種類を公表した[36]。これらは57の標的のサブセットを構成している。7つの標的はエネルギーセクターに属し、12の標的はICTセクターに属する。不特定の数の作戦が交通セクターを標的にしており、これは他の標的の種類とグループ化されているが、3月17日から23日にかけて交通事業体を標的にした作戦は明確に言及されている[36]。したがって、提示されたサブセットでは、重要なインフラ事業体が少なくとも20回は標的にされていた可能性が高い。これは標的の約35%に相当し、CPIの38%と一致する。さらに、4月下旬まで、データ破壊活動の40%以上が重要なインフラを標的にしていた[36]。 |
The government category consists of public authorities across national, regional, and local levels including military entities. Of the 57 targets in Microsoft’s data, two are military entities and 19 are national authorities [36]. The subset does not specify the number of targets in regional and local government, which are grouped with other target types. Yet, the Microsoft data explicitly describes two operations targeting regional authorities around 17–23 March and 3–9 March [36]. This means all levels of government are targeted at least 23 times accounting for 40% of the subset. Microsoft also reports that government entities account for 32% of targets by Russian data-destroying operations [36]. In comparison, 14 of the 42 targets in CPI’s data can be categorized as government entities [107]. This amounts to 33% —largely similar to the Microsoft data. |
政府カテゴリーには、軍事組織を含む国家、地域、地方レベルの公共機関が含まれる。Microsoftのデータにおける57の標的のうち、2つは軍事組織であり、19は国家機関である[36]。このサブセットでは、地方および地方自治体の標的の数は特定されていない。それらは他の標的タイプとグループ化されている。しかし、Microsoftのデータでは、3月17日~23日および3月3日~9日頃に地方当局を標的とした2つの作戦が明確に記述されている[36]。これは、すべてのレベルの政府が少なくとも23回標的とされており、その割合はサブセットの40%に達することを意味する。また、Microsoftは、ロシアによるデータ破壊活動では、政府機関が標的の32%を占めていると報告している[36]。これに対し、CPIのデータでは、42件の標的のうち14件が政府機関に分類されている[107]。これは33%に相当し、Microsoftのデータとほぼ同様である。 |
The remaining categories are media and other targets. Only four of 57 targets or seven % are described as media entities in the Microsoft subset [36]. Six operations or 14% target the media in CPI’s data [107]. Another six targets in CPI’s data can be classified as other targets, accounting for the remaining 14% [107]. In Microsoft’s subset, 11 targets appear in an “other targets” category [36]. The analysis above found at least two of these were regional government entities while at least one was a transportation entity. This leaves at most eight other targets per the model. Microsoft’s subset further reports two targets in the consumer retail sector which brings the number of other targets to 10. Similar to CPI, then, roughly 17% of Microsoft’s subset constitute other targets. |
残りのカテゴリーはメディアおよびその他の対象である。マイクロソフトのサブセットでは、57の対象のうちメディア事業体とされるのはわずか4件、7%である[36]。CPIのデータでは、6つの事業体または14%がメディアを対象としている[107]。CPIのデータでは、さらに6つの対象がその他の対象として分類され、残りの14%を占めている[107]。Microsoft のサブセットでは、「その他の標的」カテゴリーに 11 の標的が含まれている [36]。 上記の分析では、これらのうち少なくとも 2 つは地方自治体の事業体であり、少なくとも 1 つは運輸事業体であることが判明した。 したがって、モデルごとのその他の標的は最大でも 8 つとなる。 Microsoft のサブセットでは、さらに消費者向け小売セクターの 2 つの標体が報告されており、その他の標的の数は 10 となる。 CPI と同様に、Microsoft のサブセットのおよそ 17% がその他の標的である。 |
In sum, as shown in Fig. 1, Russian cyber operations targeted other targets and media considerably less frequently than critical infrastructure and government. While media and other targets may be less important for Ukraine’s war efforts than government and critical infrastructure, they still include entities which provide services of importance for the stability of Ukrainian society. |
まとめると、図1に示されているように、ロシアのサイバー作戦は、重要インフラや政府よりも、他の標的やメディアを標的にする頻度がはるかに低かった。メディアやその他の標的は、政府や重要インフラよりもウクライナの戦争努力にとって重要ではないかもしれないが、それでもウクライナ社会の安定にとって重要なサービスを提供する事業体は含まれている。 |
Effects |
影響 |
Analyzing the effects of Russian cyber operations, this subsection finds that a large share of operations had payloads coded to destroy data and thus sought to achieve medium effects while another large share sought low effects through disruption and data exfiltration. Only one operation sought high effects in the form of physical destruction, although there is no clear evidence of this effect materializing. The data further suggest many operations coded to achieve medium and low effects in fact failed to achieve them, although the fog of war in Ukrainian cyberspace inevitably clouds any clear conclusion on this point. The results of the effects analysis are summarized in Fig. 2. |
ロシアのサイバー作戦の影響を分析した結果、作戦の大部分はデータを破壊するようコード化されたペイロードを使用しており、中程度の影響を及ぼそうとしていたことが分かった。また、別の大部分は混乱とデータ抽出により低レベルの影響を狙っていた。物理的な破壊という形で高レベルの影響を狙った作戦は1件のみであったが、この影響が実際に生じたことを示す明確な証拠はない。さらに、データは、中程度および低程度の効果を達成するようにコード化された多くの作戦が、実際にはそれらの効果を達成できなかったことを示唆している。ただし、ウクライナのサイバー空間における戦場の霧は、この点に関する明確な結論を必然的に曇らせる。効果分析の結果は図2に要約されている。 |
|
Figure 2. Distribution of effect types for Russian cyber operations with identifiable effects in CPI data (n = 29). |
図2 CPIデータで識別可能な効果を持つロシアのサイバー作戦の効果タイプの分布(n = 29)。 |
In total, the effects of 29 operations could be identified in CPI’s data as assessed by their payloads. Microsoft’s reporting reveals the technical effects of at least 38 cyber operations in their April report, excluding an unreported number of operations with effects amounting to disruption and data exfiltration, and at least 48 cyber operations in their June report, although many of these were likely also included in the April report. |
合計すると、ペイロードのアセスメントにより、CPIのデータで29件の作戦の効果を識別することができた。マイクロソフト社の報告書では、4月の報告書では少なくとも38件のサイバー作戦の技術的効果を明らかにしており、影響が混乱とデータ流出に留まる報告されていない作戦の件数は除外されている。また、6月の報告書では少なくとも48件のサイバー作戦を明らかにしているが、その多くは4月の報告書にも含まれている可能性が高い。 |
The only Russian operation whose payload was coded to achieve high effects was discovered on April 8. It targeted industrial control systems in Ukrainian power grid substations [36, 107]. The operation utilized malware now known as Indstroyer2 and the data-destroying CaddyWiper-malware [108]. The former was a modified version of Industroyer-malware used in cyber operations against the Ukrainian power grid in 2016 [108]. According to technical analyses, the Industroyer2 operation sought physically destructive effects, attempting to affect control systems and cut the power for up to two million Ukrainians [36, 108, 109]. Discovered quickly after payload deployment, the operation ultimately did not affect the power grid [108]. Had it been successful, it would have been a strong case for high effects. While Industroyer2 may have destroyed some hardware even if the power grid was not affected and CaddyWiper could have destroyed data on some systems, there is no evidence of this. Still, even as the Industroyer2-operation’s effects did not materialize, it was coded to achieve high effects —and was the only Russian operation to do so. |
ペイロードが高度な効果を達成するようにコード化された唯一のロシアの作戦は、4月8日に発見された。これは、ウクライナの送電網変電所の産業用制御システムを標的としていた[36, 107]。この作戦では、現在Indstroyer2として知られるマルウェアと、データを破壊するCaddyWiperマルウェアが利用された[108]。前者は、2016年にウクライナの電力網に対するサイバー作戦で使用されたIndustroyerマルウェアの修正版である[108]。技術的分析によると、Industroyer2作戦は物理的な破壊効果を狙っており、制御システムに影響を与え、最大200万人のウクライナ人の電力を遮断しようとしていた[36, 108, 109]。ペイロードが展開された後、すぐに発見されたため、この作戦は最終的に電力網に影響を及ぼすことはなかった [108]。 もし成功していた場合、大きな影響を及ぼした可能性が高い。 Industroyer2は、電力網に影響を及ぼさなかったとしても、一部のハードウェアを破壊した可能性があり、CaddyWiperは一部のシステム上のデータを破壊した可能性があるが、その証拠はない。それでも、Industroyer2作戦の効果が現れなかったとしても、高い効果を達成するようにコード化されていた。そして、ロシアによる作戦でそのようなコード化がなされていたのは、この作戦だけである。 |
Medium effects consist in data destruction. Numerous Russian operations in the CPI and Microsoft data fit this category. It is unclear, though, to what extent these effects materialized, i.e. whether the data-destructive effects coded in the cyber weapons were actually triggered on target systems. Some reporting suggests many failed. |
中程度の影響は、データの破壊である。CPIとマイクロソフトのデータに対する多数のロシアによる作戦が、このカテゴリーに該当する。しかし、これらの影響がどの程度まで現れたのか、すなわち、サイバー兵器にコード化されたデータの破壊的な影響が標的システム上で実際に引き起こされたのかどうかは不明である。一部の報告では、多くの攻撃が失敗したと示唆している。 |
Microsoft’s April report describes “destructive” cyber operations as a prominent part of Russian activities in Ukrainian cyberspace [36]. This is Microsoft’s terminology for data-destroying operations. Microsoft reports a data set of 37 operations from 23 February until 8 April that deployed data-destroying cyber weapons [36]. In June, Microsoft claimed having witnessed “multiple waves” of data-destroying operations targeting 48 unique Ukrainian entities [2]. |
マイクロソフトの4月の報告書では、「破壊的」サイバー作戦がウクライナのサイバー空間におけるロシアの活動の主要な部分を占めていると述べている[36]。これは、データ破壊作戦に対するマイクロソフトの用語である。マイクロソフトは、2月23日から4月8日までの37件の作戦でデータ破壊サイバー兵器が展開されたと報告している[36]。6月には、マイクロソフトは、ウクライナの48の異なる事業体を標的とした「複数の波」のデータ破壊活動を目撃したと主張している[2]。 |
Likewise, in CPI’s data, numerous operations appear to have deployed cyber weapons coded to achieve medium effects. Some of these operations are also described in Microsoft’s data. At least 12 operations in CPI’s data can be classified as seeking data destruction based on observed effects or utilized cyber weapons [107]. Moreover, every identified Russian operation utilizing novel cyber weapons, which is therefore highly complex per the model and among the most costly operations, sought to destroy data [36]. That Russia sought data-destroying effects in the operations they spent the most time and resources on suggests that medium effects were prioritized. They constitute 41% of identified effects in CPI’s data. |
同様に、CPIのデータでは、中程度の効果を狙ったサイバー兵器が多数展開されているように見える。これらの活動の一部は、マイクロソフトのデータでも説明されている。CPIのデータでは、少なくとも12の活動が、観測された効果や利用されたサイバー兵器に基づいて、データ破壊を目的としていると分類できる[107]。さらに、新しいサイバー兵器を利用したすべての識別されたロシアの作戦は、モデル上極めて複雑であり、最も費用のかかる作戦のひとつであるため、データの破壊を目的としていた[36]。ロシアが最も時間とリソースを費やした作戦でデータの破壊効果を狙っていたことは、中程度の効果を優先していたことを示唆している。CPIのデータで識別された効果の41%を占めている。 |
The analysis is complicated by difficulties confirming actual effects of cyber operations described in the data before they are discovered and mitigated. Microsoft’s June assessment said data-destroying operations had been more prevalent than the reporting at the time made them out to be [2]. The assessment does not reveal the success rate of Russian operations but states that defensive measures until late June had “withstood attacks far more often” than not [2]. If true, many operations coded to achieve medium effects likely failed to achieve them. Scholars and companies like Microsoft have posited the migration of Ukrainian data to cloud services hosted in NATO countries, where Russia is less willing and able to strike, as one factor limiting the impact of Russia’s data-destructive cyber operations [2, 30, 110]. Nevertheless, both CPI and Microsoft data indicate that a large share of Russian operations at least attempted to deploy cyber weapons coded to achieve medium effects. |
データが発見され、低減される前に、サイバー作戦の実際の影響を確認することが困難であることが、分析を複雑にしている。マイクロソフトの6月のアセスメントでは、データ破壊作戦は、当時報告されていたよりも広範に行われていたと述べている[2]。このアセスメントでは、ロシアの作戦の成功率は明らかにされていないが、6月下旬までの防御策は「攻撃に耐えることができた」ことが「攻撃に耐えられなかった」ことよりも多かったと述べている[2]。もしこれが事実であれば、中程度の影響を及ぼすことを目的とした多くの作戦は、おそらくその目的を達成できなかったことになる。学者やマイクロソフトのような企業は、ロシアが攻撃を行う意欲や能力が低いNATO加盟国でホストされているクラウドサービスへのウクライナのデータの移行を、ロシアのデータ破壊を目的としたサイバー作戦の影響を限定する要因のひとつとして挙げている[2, 30, 110]。しかし、CPIとマイクロソフトのデータは、ロシアによる攻撃の多くが、少なくとも中程度の影響を及ぼすようコード化されたサイバー兵器の展開を試みていたことを示している。 |
Low effects amount to data exfiltration or disruption of systems. The analysis finds a large share of Russian operations employing cyber weapons coded to achieve such low effects. The prevalence is comparable to and possibly greater than the prevalence of medium effects. It is again unclear how often these low effects materialized on target systems. |
低影響とは、データの外部流出やシステムの混乱を指す。分析の結果、ロシアによる攻撃の多くが、このような低影響を及ぼすようコード化されたサイバー兵器を使用していたことが判明した。その割合は、中程度の影響を及ぼすようコード化されたサイバー兵器の割合と同等か、場合によってはそれを上回る可能性がある。これらの低影響が標的のシステム上でどの程度の頻度で実現されたのかは依然として不明である。 |
In CPI’s data, a total of 16 operations can be classified as pursuing either disruption or data exfiltration based on observed effects or cyber weapons like DDoS-attacks or data-stealing malware [107]. This is more than the 12 data-destroying operations. Microsoft does not report the precise prevalence of low effects operations. Instead, the April report observes that Russian state actors have “routinely” attempted to disrupt in addition to destroy data on networks belonging to government and critical infrastructure entities [36]. Microsoft elsewhere describes that Russian state actors both destroy and exfiltrate data on targeted systems [36]. Microsoft’s reporting thus indicates that low effects constitute a nontrivial share of observed effects on Ukrainian targets. |
CPIのデータでは、DDoS攻撃やデータ窃取マルウェアなどの観測された影響やサイバー兵器に基づいて、合計16件の作戦が混乱またはデータ抽出を目的としていると分類できる[107]。これは、データ破壊を目的とした12件の作戦よりも多い。マイクロソフトは、低影響作戦の正確な蔓延率を報告していない。代わりに、4月の報告書では、ロシアの国家行為者が「日常的に」、政府および重要インフラ事業体のネットワーク上のデータの破壊に加えて、混乱を引き起こそうとしていることが観察されている[36]。マイクロソフトは別の箇所で、ロシアの国家行為者が標的システム上のデータの破壊と抽出の両方を行っていると説明している[36]。したがって、マイクロソフトの報告は、ウクライナの標的で観察された影響の非無視できる割合が低影響であることを示している。 |
In sum, Microsoft and CPI data suggest a large share of Russian operations were coded to achieve low effects through disruption or data exfiltration. The data do not permit estimating a precise success rate for these low effects. If Microsoft’s assessment that Ukrainian defenses succeeded more often than not is true, many low effects may have failed. |
まとめると、マイクロソフトとCPIのデータは、ロシアの作戦の大部分が、混乱やデータ抽出を通じて低レベルの効果を達成するようにコード化されていることを示唆している。これらのデータでは、これらの低レベルの効果の正確な成功率を推定することはできない。ウクライナの防御が成功したケースの方が多いというマイクロソフトのアセスメントが正しいとすれば、多くの低レベルの効果は失敗した可能性がある。 |
The final category of no effects denotes a cyber operation’s failure to achieve its effects, which has been touched upon in the preceding analyses. Based on these, four points are noteworthy. First, it is often difficult to obtain reliable evidence for the effects of reported cyber operations. This complicates the analysis. Second, despite this, our analysis suggests that at least some Russian operations fail such that the effects coded in their cyber weapons do not materialize on target systems. The data includes several such failures. Other sources corroborate Microsoft’s claim on the success of Ukrainian defenses [111, 112]. Third, it is clear, however, that Russia has succeeded to some extent in achieving medium and low effects. Several such successes are evident in the data. What is also clear, as a fourth point, is the absence of high effects. |
最後の「影響なし」のカテゴリーは、サイバー作戦がその効果を達成できなかったことを意味し、これは前述の分析でも触れた。これらを踏まえると、4つの点が注目に値する。第一に、報告されたサイバー作戦の影響について、信頼できる証拠を入手することはしばしば困難である。これは分析を複雑にする。第二に、それにもかかわらず、我々の分析では、少なくとも一部のロシアの作戦は、そのサイバー兵器にコード化された影響が標的システム上で実現されないような失敗を犯していることが示唆されている。データには、そのような失敗例がいくつか含まれている。他の情報源も、ウクライナの防衛が成功したというマイクロソフトの主張を裏付けている[111, 112]。第三に、しかし、ロシアが中程度および低程度の影響をある程度達成していることは明らかである。そのような成功例はデータにもいくつか見られる。第四に、高影響の欠如も明らかである。 |
Complexity |
複雑性 |
This subsection analyzes the complexity of Russian cyber operations based on the low, medium, and high complexity categories reflecting the respective use of DDoS or other simple brute-forcing methods, known malware and tools, and novel malware and tools. The majority of operations across the period of observation are of medium complexity but the ratio between complexity categories changes through time. See Fig. 3 for the overall distribution of complexity types in Russian cyber operations. |
この小項では、DDoS攻撃やその他の単純なブルートフォース法、既知のマルウェアやツール、新しいマルウェアやツールの使用状況を反映した低、中、高の複雑さのカテゴリーに基づいて、ロシアのサイバー作戦の複雑さを分析する。 観測期間中の作戦の大部分は中程度の複雑さであるが、複雑さのカテゴリー間の比率は時とともに変化している。 ロシアのサイバー作戦における複雑さのタイプ全体の分布については図3を参照のこと。 |
|
Figure 3. Distribution of complexity of Russian cyber operations with identifiable complexity types in CPI data (n = 29). |
図3 CPIデータで識別可能なロシアのサイバー作戦の複雑さの分布(n=29)。 |
The complexity of 29 Russian operations can be identified in CPI’s data [107]. 18 are medium complexity operations, nine are high complexity, and two are low complexity. Microsoft’s reporting reveals a comparable ratio with nine high complexity operations, an unspecified number of medium complexity operations that is likely in the high 20’s to low 30’s, and four low complexity operations. |
CPIのデータでは、ロシアによる29件の作戦の複雑性を識別できる[107]。そのうち18件は中程度の複雑性、9件は高複雑性、2件は低複雑性である。マイクロソフト社の報告では、高複雑性作戦が9件、中複雑性作戦が20件後半から30件前半と思われる不特定の数、低複雑性作戦が4件となっている。 |
A total of nine high complexity operations are evident across CPI and Microsoft data [36, 107]. These operations utilized malware and tools not deployed previously —even in modified versions. One operation took place in the run-up to the invasion, four operations coincided with the invasion’s beginning, and two operations were discovered three and four weeks into the invasion. The remaining two operations occurred much later in September and October, suggesting a 6-month hiatus in the interim [36, 107, 113]. High complexity operations thus coincided with the outbreak of warfighting and dropped in prevalence as warfighting continued until a sudden but short-lived return in the fall. |
CPIとマイクロソフトのデータによると、合計9件の高度な複雑性を持つ作戦が明らかになっている[36, 107]。これらの作戦では、修正版であっても、これまで展開されていなかったマルウェアやツールが使用された。1件の作戦は侵攻の直前に行われ、4件の作戦は侵攻の開始と同時に行われ、2件の作戦は侵攻から3週間後と4週間後に発見された。残りの2つの活動は9月と10月に発生しており、その間6か月間活動が休止していたことが示唆されている[36, 107, 113]。このように、高度な複雑性を持つ活動は戦争の勃発と時を同じくして発生し、戦争が継続するにつれて減少したが、秋には突然、短期間ながら再び増加した。 |
For example, Russia deployed data-destroying malware against critical infrastructure and government entities on 23 February, hours before the conventional invasion commenced [36]. This “FoxBlade”-malware had not previously been observed [114]. FoxBlade was designed to target specific systems and only propagate on specific networks, showing high target specificity [36]. Technical analyses by ESET indicate that actors behind the FoxBlade-operation likely compromised the targets several weeks before 23 February [115]. This implies high costs in terms of resources and time. The novelty, target specificity, and cost of the FoxBlade-operation point to it being high complexity. |
例えば、ロシアは2月23日、通常戦の開始数時間前に、データ破壊マルウェアを重要なインフラおよび政府事業体に展開した [36]。この「FoxBlade」マルウェアは、それまで観測されたことはなかった [114]。FoxBladeは特定のシステムを標的にし、特定のネットワーク上でのみ拡散するように設計されており、高い標的特異性を示している[36]。ESETによる技術的分析によると、FoxBlade作戦の背後にいる攻撃者は、2月23日の数週間前に標的を侵害した可能性が高い[115]。これは、リソースと時間という観点で高いコストを要することを意味する。FoxBlade作戦の新規性、標的特異性、およびコストは、その作戦が高度な複雑性を備えていることを示している。 |
Another example of high complexity is the 24 February attack on Viasat that left Ukrainian customers, including parts of Ukrainian military, without internet [36, 116, 117] (Some have questioned whether AcidRain had a sizeable and long-lasting impact on Ukrainian military communications [118]. This does not change the classification of the AcidRain operation as highly complex per the TECI-model given the nondisputed reports of its utilizing novel malware. It does, however, underscore that even a highly complex cyber operation is not automatically guaranteed to succeed.). The operation utilized novel “AcidRain”-malware, which was unique for the operation and so indicates high complexity [107, 117]. Besides AcidRain and FoxBlade, the high complexity operations utilized specifically developed and novel malware now known as WhisperGate, SonicVote, Lasainraw, DesertBlade, CaddyWiper, FiberLake, and Prestige ransomware [36, 114, 115, 119, 120]. Some have since been recycled in other operations, in which case they signify medium rather than high complexity. |
高複雑性のもう一つの例は、2月24日のViasatに対する攻撃で、ウクライナ軍の一部を含むウクライナの顧客がインターネットにアクセスできなくなったことである[36, 116, 117](一部では、AcidRainがウクライナ軍のコミュニケーションに多大かつ長期的な影響を与えたかどうか疑問視する声もある[118]。このことは、その作戦が新しいマルウェアを使用しているという疑いの余地のない報告があることから、TECIモデルに基づく高度に複雑なAcidRain作戦という分類を変えるものではない。しかし、高度に複雑なサイバー作戦であっても、自動的に成功が保証されるわけではないことを強調している。この作戦では、新しい「AcidRain」マルウェアが使用された。これはこの作戦に特有のものであり、高度な複雑性を示すものである[107, 117]。AcidRainやFoxBladeの他にも、WhisperGate、SonicVote、Lasainraw、DesertBlade、CaddyWiper、FiberLake、およびPrestigeランサムウェアとして現在知られている、特に開発された新しいマルウェアが、高度な複雑性を持つ活動で利用されている[36, 114, 115, 119, 120]。 そのうちのいくつかは、その後他の活動で再利用されており、その場合は、高度な複雑性ではなく中程度の複雑性を示す。 |
Medium complexity operations over time become the most prevalent in the CPI and Microsoft data. These operations utilize previously observed malware or tools by either recycling those cyber weapons without alterations or modifying them to some extent. |
中程度の複雑さの攻撃は、時間の経過とともに、CPIとマイクロソフトのデータで最も多く見られるようになる。これらの攻撃では、以前に観測されたマルウェアやツールを再利用するか、ある程度変更を加えて使用する。 |
Microsoft’s April report shows that at least FoxBlade, SonicVote, and DesertBlade are utilized in new operations after their discovery [36]. In other reporting, Microsoft describes CaddyWiper as being recycled [114]. Moreover, Microsoft generally observes that Russian state actors tend to modify utilized malware between operations [36]. As analyzed above, in Microsoft’s April report, only 5 of 37 data-destructive incidents between 23 February and 8 April were high complexity operations [36]. Although the data does not allow for a detailed analysis of every incident, the relatively small number of incidents attributable to high complexity operations suggests that a large share of the 37 incidents could be attributed to operations using recycled or modified malware. |
マイクロソフト社の4月の報告書では、少なくともFoxBlade、SonicVote、DesertBladeは、発見後も新たな活動で利用されていることが示されている [36]。 別の報告書では、マイクロソフト社はCaddyWiperが再利用されていると説明している [114]。 さらに、マイクロソフト社は一般的に、ロシアの国家機関が活動の間に利用するマルウェアを変更する傾向があることを観察している [36]。上述の分析によると、マイクロソフトの4月の報告書では、2月23日から4月8日までの間に発生したデータ破壊インシデント37件のうち、高度な複雑性を持つ作戦とされたのは5件のみであった [36]。 データでは個々のインシデントの詳細な分析はできないが、高度な複雑性を持つ作戦とされたインシデントの数が比較的少ないことから、37件のインシデントの多くは、再利用または修正されたマルウェアを使用する作戦によるものである可能性が高い。 |
Roughly 31% of Russian operations in CPI’s data are of high complexity whereas 62% are medium and 7% are low complexity [107]. Thus, for the entire period from January until December, medium complexity operations are almost twice as prevalent as high complexity operations. This trend is reversed in the beginning of the invasion, however. Seven cases of high complexity operations in the CPI data occur before 17 March within the first month of warfighting. Conversely, 16 of 18 medium complexity operations occur after 22 March. Essentially, Russia mostly conducted high complexity operations in the war’s first weeks after which medium complexity operations become more frequent while high complexity operations disappear until the fall. |
CPIのデータにおけるロシアの活動のおよそ31%は高複雑度のものであり、62%は中程度、7%は低複雑度のものである[107]。したがって、1月から12月までの全期間において、中程度複雑度の活動は高複雑度の活動のほぼ2倍の頻度で発生している。しかし、侵攻の初期にはこの傾向は逆転する。CPIのデータにおける高複雑度活動の7件は、戦闘開始から1か月以内の3月17日以前に発生している。逆に、中程度の複雑性を持つ作戦の18件のうち16件は3月22日以降に発生している。基本的に、ロシアは戦争の最初の数週間は主に高複雑性作戦を実施し、その後は中程度の複雑性を持つ作戦がより頻繁に行われるようになり、秋までは高複雑性作戦は行われなくなった。 |
Low complexity operations cover the use of DDoS-attacks. Only few of the observed cyber operations fall into this category. Microsoft’s reporting includes four cyber operations utilizing DDoS [36]. The CPI data includes two cases [107]. Russian state actors thus rarely utilized DDoS-attacks. Moreover, all low complexity operations except one occurred before the war. The sole exception is the use of DDoS in conjunction with AcidRain-malware in the operation against Viasat on the invasion’s first day. |
低複雑性作戦にはDDoS攻撃の使用が含まれる。観測されたサイバー作戦のうち、このカテゴリーに該当するものはわずかである。Microsoftの報告書には、DDoSを使用した4件のサイバー作戦が含まれている[36]。CPIデータには2件の事例が含まれている[107]。したがって、ロシアの国家主体がDDoS攻撃を利用することはまれである。さらに、低複雑性攻撃は1件を除いてすべて戦争前に発生している。唯一の例外は、侵攻初日にViasatに対する攻撃で、AcidRainマルウェアと併用したDDoS攻撃である。 |
In short, Russia deprioritized low complexity nonmalware operations once warfighting commenced in favor of initially high and later medium complexity operations. |
つまり、ロシアは戦争が始まると、低複雑性でマルウェアを使用しない攻撃の優先順位を下げ、当初は高複雑性、後に中複雑性の攻撃を優先した。 |
Integration |
統合 |
Analyzing the integration between cyber and noncyber capabilities, this subsection finds relatively few Russian cyber operations integrated with conventional operations. For most cyber operations, there is no evidence to suggest their being integrated with other capabilities. When integration is evident, though, it is predominantly in the form of low integration and largely in the first weeks of the war. Across the CPI and Microsoft data, a total of nine cyber operations could be identified as constituting some form of integration. The results are summarized in Fig. 4. |
サイバー能力と非サイバー能力の統合を分析したこの小項では、ロシアのサイバー作戦で通常作戦と統合されたものは比較的少ないことが分かった。ほとんどのサイバー作戦では、他の能力と統合されたことを示す証拠は見つからなかった。ただし、統合が明らかな場合、そのほとんどは低レベルの統合であり、主に戦争の最初の数週間に実施されている。CPIとマイクロソフトのデータ全体を通じて、何らかの統合形態をとっていると識別されたサイバー作戦は合計9件であった。結果は図4に要約されている。 |
|
Figure 4. |
図4 |
Distribution of integration types of Russian cyber operations identifiable in CPI and Microsoft data (n = 9). |
CPIとマイクロソフトのデータで識別可能なロシアのサイバー作戦の統合タイプの分布(n = 9)。 |
High integration occurs when a cyber operation is supporting a noncyber operation to contribute to its successful completion. The analysis shows two Russian cyber operations that live up to this standard. The first case is the cyber operation against the Zaporizhzhia nuclear powerplant discovered on 2 March [2]. A Russian state actor moved laterally on networks belonging to the nuclear power company running the facility. A day later, Russian conventional forces attacked and occupied the nuclear plant with video footage suggesting the attack was planned in advance [121]. In the absence of public evidence of other actions or intentions of the actor besides their lateral movement, it is not possible to indisputably prove that the cyber operation supported the conventional operation. Since the cyber operation closely preceded the conventional operation and Ukrainian forces were present at the plant, though, it is conceivable that the cyber operation sought to collect intelligence on the plant to support a later conventional attack. On this reading, the Zaporizhzhia operation constitutes high integration. |
高度な統合は、サイバー作戦が非サイバー作戦を支援し、その成功に貢献する場合に発生する。分析では、この標準を満たす2つのロシアのサイバー作戦が確認された。最初のケースは、3月2日に発見されたザポリージャ原子力発電所に対するサイバー作戦である[2]。ロシアの国家主体が、その施設を運営する原子力発電会社のネットワーク上で水平移動した。その翌日、ロシアの通常戦力部隊が原子力発電所を攻撃し占領した。その攻撃は事前に計画されていたことを示すビデオ映像が残されている[121]。アクターによる他の行動や意図を示す公開された証拠がないため、サイバー作戦が通常作戦を支援したことを明確に証明することはできない。しかし、サイバー作戦は通常作戦に先立って行われたものであり、ウクライナ軍が原子力発電所に駐留していたことから、サイバー作戦は後の通常攻撃を支援するために発電所に関する情報を収集しようとした可能性がある。この解釈に基づけば、ザポリージャ作戦は高度な統合を構成する。 |
The second case is the AcidRain-operation against Viasat on 24 February. According to Victor Zhora, deputy chairman of Ukrainian cybersecurity agency SSSCIP, the effects were a “huge loss in communications in the very beginning of the war” [122]. US Secretary of State Antony Blinken stated the operation intended to disrupt Ukrainian command and control [123]. Subsequent reports have questioned whether AcidRain had a “huge” impact on Ukrainian military communication systems or rather impacted a backup communication method [118]. Either way, the operation sought to disrupt Ukrainian C2 and contribute positively to Russia’s concurrent offensive, satisfying the supportive integration logic. The AcidRain-operation is thus a case of high integration of cyber and noncyber capabilities. |
2つ目の事例は、2月24日のViasatに対するAcidRain作戦である。ウクライナのサイバーセキュリティ機関SSSIPの副会長であるVictor Zhora氏によると、その影響は「戦争の初期段階におけるコミュニケーションの大きな損失」であったという[122]。米国務長官のアンソニー・ブリンケンは、この作戦はウクライナの指揮統制を混乱させることを意図したものだと述べた[123]。その後の報告では、AcidRainがウクライナ軍の通信システムに「甚大な」影響を与えたのか、それともバックアップの通信手段に影響を与えたのかが疑問視されている[118]。いずれにしても、この作戦はウクライナのC2を混乱させ、同時に行われていたロシアの攻撃に積極的に貢献することを目的としており、支援的統合ロジックを満たしている。したがって、AcidRain作戦はサイバーおよび非サイバー能力の高度な統合の事例である。 |
Medium integration refers to cyber capabilities coordinated with conventional capabilities in the planning phase of an operation, for example when military staffs decide between cyber and noncyber courses of action. The analysis finds only one case, namely the Industroyer2-operation against Ukrainian substations on April 8 [36, 107, 108]. As shown in the effects analysis, although it was ultimately prevented, the cyber operation sought the physical destruction of hardware in substations to shut off electricity for millions of Ukrainians. This effect could reasonably have been achieved by conventional means. One method would be a missile attack similar to the thousands already conducted by Russia [124]. In fact, Russia routinely used missiles to damage Ukrainian critical infrastructure [125]. Instead of achieving the destructive effect through a kinetic explosion, the Industroyer2-operation sought to achieve it through malware, thus suggesting that some form of coordination and deconfliction of cyber and noncyber capabilities in the planning phase had preceded the execution of the operation. It is thus a case of medium integration. The data indicate no other plausible cases. |
中程度の統合とは、作戦の計画段階でサイバー能力が通常戦力と調整されることを指し、例えば軍事スタッフがサイバー作戦と通常戦力のどちらの行動方針をとるかを決定する場合などがこれに該当する。分析の結果、該当する事例は1件のみ、すなわち4月8日にウクライナの変電所に対して実施されたIndustroyer2作戦のみであることが判明した[36, 107, 108]。影響分析で示されているように、最終的には阻止されたものの、このサイバー作戦は、変電所のハードウェアを物理的に破壊して、数百万人のウクライナ人の電気を遮断することを目的としていた。この影響は、従来の手段によっても十分に達成可能であった。その手段の一つは、ロシアがすでに数千回実施しているミサイル攻撃である [124]。実際、ロシアは日常的にミサイルを使用してウクライナの重要インフラに損害を与えていた [125]。運動爆発による破壊効果を狙うのではなく、Industroyer2作戦ではマルウェアによって破壊効果を狙ったため、作戦の実行に先立って、計画段階でサイバーおよび非サイバー能力の何らかの調整とデコンフリクトが行われたことが示唆される。したがって、これは中程度の統合の事例である。データからは、他に妥当な事例は見当たらない。 |
Low integration means that cyber capabilities are aligned with noncyber capabilities in terms of timing, targeting, and general purpose without directly supporting the latter. With CPI and Microsoft data showing six cases of low integration, it is the most prevalent form of integration. One of the six cases is the FoxBlade operation against government entities discovered on 23 February. This cyber operation sought to destroy data on government servers [2, 36]. Meanwhile, Russia conducted missile attacks in the beginning of the war against a specific government data center [2, 126]. In other words, conventional capabilities also targeted government entities’ access to data in the war’s beginning. This means FoxBlade was aligned with conventional strikes on the data center in terms of timing, targeting, and the general purpose of denying the government access to data. It is then a case of low integration. |
低統合とは、サイバー能力がタイミング、標的、および汎用性の観点で非サイバー能力と調整されているものの、後者を直接支援するものではないことを意味する。CPIとマイクロソフトのデータでは、低統合の事例が6件確認されており、統合の最も一般的な形態である。6件の事例のうちの1つは、2月23日に発見された政府事業体に対するFoxBlade作戦である。このサイバー作戦は、政府サーバー上のデータを破壊することを目的としていた[2, 36]。一方、ロシアは戦争の初期段階で、特定の政府データセンターに対してミサイル攻撃を実施した[2, 126]。つまり、従来の能力も戦争の初期段階では、政府事業体のデータへのアクセスを標的にしていた。これは、タイミング、標的、そして政府のデータへのアクセスを妨害するという一般的な目的において、FoxBladeがデータセンターに対する従来の攻撃と一致していたことを意味する。したがって、これは低統合の事例である。 |
The five other cases of low integration in the data are evident on 17 February, between 28 February and 1 March, 4 March, 11 March, and 29 April [2, 36, 127]. Together with the FoxBlade operation on 23 February, the data suggest that low integration is primarily present in the war’s beginning —as was the case for medium and high integration. This coincides with the Russian spring offensive. Notably, though, Microsoft has reported that Russian missile attacks in October coincided with data-destroying cyber operations against critical infrastructure [113]. The cyber operations were thus associated with missile attacks in terms of timing, targets, and geography, indicating low integration [113]. These plausible cases of low integration came after a months-long hiatus in data-destructive cyber operations per Microsoft, which is also evident in our analysis of CPI data. Although the reported data lack detail, they point to Russia pursuing low integration during the Ukrainian fall offensive after a long hiatus without integration since their own offensive. |
データにおける低統合の他の5つの事例は、2月17日、2月28日から3月1日、3月4日、3月11日、4月29日に明白である[2, 36, 127]。2月23日のFoxBlade作戦と併せて、データは、低統合が主に戦争の初期に存在していたことを示唆している。これは、中程度および高統合の場合と同様である。これは、ロシアの春の攻勢と一致する。注目すべきは、Microsoftが、10月のロシアのミサイル攻撃は、重要インフラに対するデータ破壊サイバー作戦と一致していたと報告していることである[113]。したがって、このサイバー作戦は、タイミング、標的、地理的な観点からミサイル攻撃と関連しており、統合の度合いが低いことを示している[113]。 このような統合の度合いが低いと思われる事例は、マイクロソフト社によると、データ破壊を目的としたサイバー作戦が数か月間中断した後に発生しており、これはCPIデータの分析でも明らかである。 報告されたデータは詳細に欠けるが、ロシアがウクライナの秋の攻勢時に、自らの攻勢以来、統合を伴わない長い中断期間を経て、統合の度合いが低いことを示している。 |
Altogether, the analysis found nine operations constituting integration between cyber and noncyber capabilities. No integration is thus the most prevalent integration category. The analysis is complicated, however, by limited access to data on both cyber and conventional operations in Ukraine. Even with this caveat, the analysis suggests a large majority of Russian cyber operations were not integrated with noncyber capabilities. This echoes the findings of Bateman as well as Mueller et al. [28, 30]. |
分析の結果、サイバーおよび非サイバー能力の統合を構成する作戦は9件であることが判明した。統合なしが最も多い統合カテゴリーである。ただし、ウクライナにおけるサイバーおよび通常作戦に関するデータへのアクセスが限られているため、分析は複雑になっている。この注意書きがあるにもかかわらず、分析結果は、ロシアのサイバー作戦の大半は非サイバー能力と統合されていないことを示唆している。これは、バトマンの研究結果と同様、ミューラーらの研究結果とも一致している[28, 30]。 |
Four notable trends |
4つの注目すべき傾向 |
In applying the TECI-model on Russian cyber operations in Ukraine, the article finds four notable trends. First, Russian operations rarely sought physically destructive high effects, opting instead for medium or low effects. Second, the effects often failed to materialize. In particular, there are no known successful high effects. Third, over time, Russia mostly conducted medium complexity operations by recycling or modifying used malware and tools, although they opted for high complexity operations using novel malware and tools in the war’s first weeks. Fourth, Russian cyber operations were seldom integrated with noncyber capabilities, and when they were it was predominantly in the war’s first weeks and in the form of low integration. |
本記事では、TECIモデルをウクライナにおけるロシアのサイバー作戦に適用し、4つの注目すべき傾向を見出している。まず、ロシアの作戦は物理的な破壊による高い効果をめったに求めず、代わりに中程度または低効果を選んでいる。次に、その効果はしばしば実現しなかった。特に、高い効果を成功させた事例は知られていない。第三に、ロシアは、戦争の最初の数週間は新しいマルウェアやツールを使用した高難度の作戦を選択していたが、その後は使用済みのマルウェアやツールを再利用または修正することで、主に中程度の難度の作戦を実施した。第四に、ロシアのサイバー作戦は、サイバー以外の能力と統合されることはほとんどなく、統合されたとしても、それは戦争の最初の数週間に限られ、統合の度合いも低かった。 |
These findings largely corroborate and add detail to studies published since the outbreak of war [128, 31, 32, 30]. In their 2023 report, Mueller et al. [30] conclude that Russia struggled to integrate cyber and conventional operations and that observed cyber operations mostly opted for “disruption” instead of “degradation” without targeting military entities as often as expected. They argue cyber operations may be more apt at shaping strategic interactions than determining tactical outcomes where conventional means prove better suited, pithily noting: “Why hack what you can destroy?” [30]. Even as the trends in the mentioned studies and this article are largely similar, utilizing a common model such as TECI would have improved the ability to systematically compare and discuss the trends and their hypothesized explanations between the studies. |
これらの調査結果は、戦争勃発後に発表された研究結果を概ね裏付け、さらに詳細を追加するものである [128, 31, 32, 30]。 2023年の報告書で、ミューラー氏らは [30] 、ロシアはサイバー作戦と通常作戦の統合に苦戦しており、観測されたサイバー作戦のほとんどは、想定されていたほど軍事事業体を標的にせず、「機能低下」ではなく「機能破壊」を選択していたと結論付けている。彼らは、サイバー作戦は、通常手段の方が適している戦術的な結果を左右するよりも、戦略的な相互作用を形成するのに適している可能性があると主張し、「破壊できるものをなぜハッキングするのか?」と簡潔に指摘している[30]。前述の研究と本記事の傾向は概ね類似しているが、TECIのような共通のモデルを利用すれば、研究間の傾向とその仮説的説明を体系的に比較・議論する能力が改善されたであろう。 |
Limited with exceptions: the utility of cyber operations in war |
例外はあるが限定的:戦争におけるサイバー作戦の有用性 |
What do the analyzed trends from Ukraine reveal about the utility of offensive cyber operations in war? This section examines the question in three parts by assessing the utility on strategic, operational, and tactical levels of warfighting. Besides its use in Western military doctrine, the tripartition of warfighting clarifies and delineates where cyber operations may be of utility in the complex and wide-ranging phenomenon of warfighting. What is of utility for a platoon of soldiers in battle —and the characteristics that govern whether a cyber operation can be of such utility— may be different from what is of utility when organizing a nation’s resources to win a war. The tripartition is a simple methodological framework for finding these differences. |
ウクライナにおける分析された傾向は、戦争における攻撃的サイバー作戦の有用性について何を明らかにしているのだろうか? このセクションでは、戦争遂行における戦略、作戦、戦術の各レベルにおける有用性をアセスメントすることで、この問題を3つのパートに分けて検証する。西側の軍事理論における使用法に加え、戦争遂行の3つの区分は、複雑かつ広範な戦争遂行の現象においてサイバー作戦が有用となり得る領域を明確化し、区分するものである。戦闘中の小隊の兵士にとって有用なものは何か、そして、サイバー作戦がそのような有用性を持つかどうかを決定する特性は何か、という点については、戦争に勝つために国家の資源を組織化する際に有用なものと異なる可能性がある。3つの区分は、これらの相違を見出すための単純な方法論的枠組みである。 |
The strategic level of warfare concerns a state’s disposition of national resources and instruments of power to wage war [129]. These get at not only a nation’s ability but also its will to wage war. To achieve strategic utility a cyber operation must therefore generate advantages on this strategic level by improving one’s own or undermining the adversary’s ability or will to wage war by affecting national resources or instruments of power. |
戦争の戦略レベルでは、国家の国家資源の配分と戦争遂行のための手段が問題となる[129]。これらは国家の能力だけでなく、戦争遂行の意志にも関わる。戦略的有用性を達成するためには、サイバー作戦は国家資源や戦争遂行の手段に影響を与えることで、自国の能力を改善し、あるいは敵国の能力や戦争遂行の意志を損なうことで、この戦略レベルで優位性を生み出さなければならない。 |
The operational level concerns military campaigns deploying larger military units in larger geographic areas —theaters of operations— to realize operational objectives that contribute to strategic goals [129]. Operational utility entails providing military advantages against the adversary in a specific theater of operations. A cyber operation should thus improve the ability of units in a theater to accomplish objectives, for example by worsening the adversary’s general combat effectiveness in the specific theater. |
作戦レベルは、より広大な地理的領域(作戦地域)に大規模な軍事部隊を展開し、戦略目標に貢献する作戦目標を達成する軍事キャンペーンに関わるものである。[129] 作戦上の有用性は、特定の作戦地域において敵対者に対する軍事的優位性を提供することを意味する。したがって、サイバー作戦は、例えば特定の作戦地域における敵対者の戦闘能力全般を低下させることによって、作戦地域内の部隊が目標を達成する能力を改善すべきである。 |
The tactical level concerns task-specific deployment of smaller military units in specific terrain generating effects that contribute to larger operational objectives through, e.g. localized engagements with adversarial forces [129]. Cyber operations achieve tactical utility by generating advantages for a friendly unit in its assigned task, for example against an adversarial unit. This could involve worsening the adversarial unit’s ability to maneuver, fire, survive, or otherwise succeed in the local engagement. |
戦術レベルでは、特定の地形におけるより小規模な軍事部隊の任務特化型展開が問題となる。これにより、例えば敵対的部隊との局地的な交戦を通じて、より大きな作戦目標に貢献する効果が生成される[129]。サイバー作戦は、例えば敵対的部隊に対する任務において、味方部隊に優位性をもたらすことで戦術的効用を達成する。これには、敵対的部隊の機動、射撃、生存、または局地的な交戦におけるその他の成功能力を低下させることが含まれる可能性がある。 |
In sum, the strategic, operational, or tactical utility of a cyber operation is a matter of generating advantages on the corresponding levels of warfare. These different levels of warfighting can overlap [129]. A general advantage for units in a theater could spill over to the tactical level by creating a local advantage in a specific battle. Disrupting a power grid, which undermines national resources and provides strategic utility, could provide operational utility by limiting access to electricity, which worsens the combat effectiveness of units in an entire theater. This means a cyber operation can be of utility on multiple levels. |
要約すると、サイバー作戦の戦略的、作戦的、戦術的有用性とは、対応する戦闘レベルで優位性を生成することである。これらの異なる戦闘レベルは重複することがある[129]。ある戦域における部隊の一般的な優位性は、特定の戦闘における局地的な優位性を生み出すことで戦術レベルに波及する可能性がある。電力網を混乱させることで国家資源を損傷させ、戦略的な有用性を実現できるが、それによって戦域全体の部隊の戦闘能力が低下し、電力へのアクセスが制限されることで作戦上の有用性が実現できる可能性もある。つまり、サイバー作戦は複数のレベルで有用性を発揮できるということである。 |
Strategic utility |
戦略的有用性 |
Previous research both question and advocate for the strategic utility of cyber operations. Maschmeyer sees the trilemma of speed, intensity, and control as limiting the strategic potential [6]. Smeets instead writes of the strategic promise of cyber operations as force-multipliers and independent assets [14]. This article qualifies these perspectives as they pertain to the strategic utility of cyber operations in warfighting. Indeed, this article argues that, while no single cyber operation is likely to achieve strategic utility on its own, the impact of multiple sustained cyber operations can cumulatively achieve strategic utility. This appears to be the case for Russia in Ukraine, although the utility has been costly and dwarfed by the cumulative utility of conventional operations. |
これまでの研究では、サイバー作戦の戦略的有用性について疑問を呈する意見と支持する意見の両方が見られる。Maschmeyerは、速度、強度、制御のトリレンマが戦略的可能性を制限すると考えている[6]。Smeetsは、サイバー作戦の戦略的潜在力について、戦力増強効果と独立した資産として書いている[14]。本稿では、戦闘におけるサイバー作戦の戦略的有用性に関連するこれらの見解を検証する。実際、本稿では、単独のサイバー作戦が戦略的有用性を達成することはまずないが、持続的な複数のサイバー作戦のインパクトは累積的に戦略的有用性を達成しうると論じている。これはウクライナにおけるロシアのケースに当てはまると思われるが、その有用性はコストがかさみ、通常作戦の累積的有用性に比べると取るに足らない。 |
Prima facie, the target analysis of Russian cyber operations indicated a large potential for strategic utility. Russia predominantly targeted critical infrastructure and government entities, which fall under Ukraine’s national resources and instruments of power important for their ability and will to wage war. Analyses of other model variables sow doubt about this potential, however. Especially the effects analysis reveals the limitations of Russia’s cyber operations. |
一見したところ、ロシアのサイバー作戦のターゲット分析は、戦略的有用性の大きな可能性を示唆している。ロシアは主に、ウクライナの戦争遂行能力と意志にとって重要な国家資源と権力手段に該当する、重要なインフラと政府事業体を標的にしていた。しかし、他のモデル変数の分析は、この可能性に疑問を投げかけている。特に、効果分析はロシアのサイバー作戦の限界を明らかにしている。 |
If a single cyber operation is to generate strategic utility by itself, it is arguably more likely to do so by physically destroying national resources or instruments of power. This is one possibility Smeets sees for a cyber operation to fulfill its strategic promise [14]. Only the Industroyer2-operation was coded to achieve such physically destructive high effects, however. The rarity of operations seeking physical destruction naturally limits Russia’s potential for strategic utility through their cyber operations. |
単独のサイバー作戦がそれ自体で戦略的有用性を生み出すのであれば、国家資源や権力手段を物理的に破壊することによって、その可能性はより高くなるだろう。これが、Smeetsが戦略的潜在能力を満たすサイバー作戦の可能性として挙げているものである[14]。しかし、物理的な破壊による高い効果を達成したとコード化されたのは、Industroyer2作戦のみであった。物理的な破壊を目的とする作戦が稀であるため、当然ながら、ロシアのサイバー作戦による戦略的有用性の可能性は限られている。 |
Why did Russia not conduct more high-effect cyber operations? One explanation is the extraordinary availability of conventional weapons suitable for physical destruction. A cyber operation typically takes much longer to plan and stage than missile attacks. The chance of success may also have been higher for a Russian kinetic attack. After all, the analysis showed that a large share of cyber operations failed to achieve the effects, which their cyber weapons were coded to achieve. All of this suggests that highly severe effects are more easily and reliably achieved by conventional means. |
なぜロシアは、より効果の高いサイバー作戦を実行しなかったのか? その理由の一つとして、物理的破壊に適した通常兵器が豊富に利用可能であったことが挙げられる。 サイバー作戦は通常、ミサイル攻撃よりも計画と実行に多くの時間を要する。 また、ロシアの運動エネルギー攻撃は成功する可能性も高かったかもしれない。 結局のところ、分析の結果、サイバー作戦の大部分は、そのサイバー兵器がコード化された効果を達成できなかったことが明らかになった。これらのすべてが、非常に深刻な影響は従来型の手段によってより容易かつ確実に達成できることを示唆している。 |
Had the Industroyer2-operation been successful, it might have been able to provide strategic utility; cutting the power for 2 million Ukrainians would arguably have negatively influenced Ukraine’s ability and will to wage war. So why was Industroyer2 not successful? One reason may be its medium degree of complexity. It recycled malware observed before by the defender, making it easier to discover and mitigate. Indeed, if Ukrainian cyber forces have been able to react to novel malware used in Russia’s high complexity operations and adapt their defenses accordingly, they will likely have had an easier time discovering and mitigating later operations merely recycling such malware. Reports indicate that Ukraine aided by Western actors built a relatively capable and responsive cyber defense [111]. This can explain why Industroyer2 and other Russian operations failed. Recycling malware made them too easy to discover and mitigate. In other words, cyber operations of medium and low complexity are less likely to achieve successful effects than high complexity operations. |
仮に「インダストロイヤー2」作戦が成功していた場合、戦略的な有用性を提供できた可能性がある。200万人のウクライナ人の電力供給を遮断することは、間違いなくウクライナの戦争遂行能力と意志に悪影響を及ぼしただろう。では、なぜ「インダストロイヤー2」は成功しなかったのか? その理由の一つとして、その作戦の複雑さが中程度であったことが考えられる。この作戦では、以前に防御側が確認したマルウェアが再利用されており、発見や低減が容易であった。実際、ウクライナのサイバー部隊がロシアの高複雑性作戦で使用された新しいマルウェアに反応し、それに応じて防御を適応させることができていたのであれば、その後、そのようなマルウェアを再利用した作戦を発見し、低減することはより容易であった可能性が高い。報告によると、ウクライナは西側の支援を受けて、比較的対応能力の高いサイバー防衛を構築したという[111]。これが、Industroyer2やその他のロシアの作戦が失敗した理由を説明できる。マルウェアを再利用したことで、発見や低減が容易になりすぎたのだ。言い換えれば、中程度および低程度の複雑さのサイバー作戦は、高程度の複雑さの作戦よりも効果を達成できる可能性が低い。 |
High complexity operations are comparatively more likely to achieve not only successful effects but also high effects. This is because achieving physical destruction typically necessitates the specific manipulation of specific industrial control systems. This high degree of specificity is arguably more difficult to realize by recycling older malware compared to developing novel and tailored malware, which means that high complexity operations are more suited for this task than medium complexity operations. In sum, high complexity operations are more likely to achieve both successful effects and high effects. Together with the assumption that a cyber operation is more likely to provide strategic utility by generating high effects, it follows that high complexity operations are more likely to achieve strategic utility than other operation types. This is unfortunate for the strategic utility potential of Russian cyber operations since relatively few of them were of high complexity compared to medium complexity, and almost all high complexity operations were conducted in the war’s first month. |
高複雑性作戦は、成功効果だけでなく、高い効果も達成できる可能性が比較的高い。これは、物理的な破壊を達成するには、通常、特定の産業用制御システムの特定の操作が必要となるためである。この高い特異性は、新規で特注のマルウェアを開発するよりも、古いマルウェアを再利用する方が実現が難しいことは明らかである。つまり、高複雑性作戦は中複雑性作戦よりもこの作業に適している。まとめると、高複雑性作戦は成功効果と高い効果の両方を達成できる可能性が高い。サイバー作戦は高い効果を生成することで戦略的有用性をより提供できるという前提と併せて考えると、高複雑性作戦は他の作戦タイプよりも戦略的有用性を達成できる可能性が高いということになる。これは、ロシアのサイバー作戦の戦略的有用性の潜在的可能性にとっては残念なことである。なぜなら、中程度の複雑性と比較して、高複雑性の作戦は比較的少なく、高複雑性作戦のほぼすべてが戦争の最初の月に実施されたからである。 |
The relatively few high complexity operations can be explained by their tall demands on resources, time, and target knowledge. One high complexity operation is costly enough, but continuously conducting them requires the continuous tolerance of such costs and regeneration of burned cyber weapons. Even for state actors, it is may well be prohibitively costly to sustain a high rate of high complexity operations over time. The 6-month hiatus in the conduct of high complexity operations between March and September underscores these difficulties; Russia seemingly needs time to regenerate their capabilities. The data confirm Smeets’ claim about the transient nature of cyber weapons [15, 37]. |
高複雑度作戦が比較的少数にとどまっているのは、リソース、時間、標的に関する知識の要求度が高いことが原因である。高複雑度作戦は1つでも費用がかかるが、継続的に実施するには、こうしたコストを継続的に負担し、使い古したサイバー兵器を再生産する必要がある。国家による行為であっても、高複雑度作戦を高い割合で長期間継続することは、おそらく法外なほど費用がかかるだろう。3月から9月にかけて、高難度作戦の実施が6か月間中断したことは、こうした困難を浮き彫りにしている。ロシアは能力を再生する時間が必要なようだ。データは、サイバー兵器の一過性の性質に関するSmeetsの主張を裏付けている[15, 37]。 |
Essentially, high costs limited Russia’s capability for high complexity operations and thus their chances of achieving both successful and high effects, which in turn limited their potential for achieving strategic utility through cyberspace. The analyzed data therefore suggest that a cyber operation is unlikely to achieve strategic utility in warfighting. The high complexity and high-effect operation is the best candidate for achieving strategic utility, but it is too rare an occurrence and less attractive than conventional capabilities to provide such utility in warfighting. |
基本的に、高コストがロシアの高難度作戦遂行能力を制限し、その結果、成功と高い効果の両方を達成する可能性が制限され、ひいてはサイバー空間を通じて戦略的有用性を達成する可能性も制限された。したがって、分析されたデータは、サイバー作戦が戦闘において戦略的有用性を達成する可能性は低いことを示唆している。高難度かつ高い効果を伴う作戦は戦略的有用性を達成する最善の候補であるが、発生頻度が低く、戦闘においてそのような有用性を提供するには従来の能力よりも魅力に欠ける。 |
This argument rests on the assumption that a cyber operation best achieves strategic utility through high effects. Although the assumption may be true, it does not preclude other effect types from being able to affect national resources and instruments of power, even if the likelihood is comparatively lower. The majority of Russian cyber operations were coded to achieve medium effects. Could such a nonkinetic but data-destructive cyber operation be of strategic utility? On its face, the analyzed data suggest this is not the case. There is no medium-effect cyber operation in the data that in and of itself appears to have had a measurable impact on Ukraine’s national resources or instruments of power. |
この主張は、サイバー作戦は高い効果を通じて戦略的有用性を最もよく達成するという前提に基づいている。この前提は正しいかもしれないが、可能性が比較的低くても、他の種類の影響が国家資源や権力手段に影響を与える可能性を排除するものではない。ロシアのサイバー作戦の大部分は、中程度の効果を狙ったものと分類された。このような非運動的でデータ破壊を目的としたサイバー作戦が戦略的有用性を持つ可能性はあるのだろうか? 分析データを見る限り、そうではないことが示唆される。データの中には、それ自体がウクライナの国家資源や権力手段に測定可能な影響を与えたと思われる中程度の効果を持つサイバー作戦は存在しない。 |
Yet, a cyber operation’s potential for influencing the strategic level of warfare need not be viewed in isolation. It is a tall order for a single operation —in any domain—t o singlehandedly impact a nation’s ability and will to wage war. Analyzing the utility of a military operation in isolation risks overlooking the possible cumulative utility of several operations, which individually did not measurably impact national resources and instruments of power but together prove enough to do so. The risk of overlooking a cumulative utility is irrelevant for Russia’s high-effect cyber operations in Ukraine given that only one has been conducted so far. It is relevant, however, for Russia’s medium-effect operations that constitute a prominent share of their actions in the analyzed data. The question thus becomes: Have the nonkinetic data-destructive cyber operations cumulatively achieved strategic utility? |
しかし、サイバー作戦が戦略レベルの戦いに影響を与える可能性は、個別に見る必要はない。単独の作戦が、単独で国家の戦争遂行能力や意志に影響を与えることは、どの領域においても非常に難しい。軍事作戦の有用性を個別に分析することは、個々の作戦が国家の資源や権力手段に目に見える影響を与えていないものの、全体として見れば十分な影響力があることを示す、いくつかの作戦の累積的な有用性を見落とすリスクがある。累積的な効用を見落とすリスクは、これまでに1件しか実施されていないことを踏まえると、ウクライナにおけるロシアの高効果サイバー作戦には関係がない。しかし、分析データにおけるロシアの行動の大部分を占める中程度の効果を持つ作戦には関係がある。したがって、問題となるのは、非運動性データ破壊型サイバー作戦が累積的に戦略的効用を達成しているかということである。 |
Some trends in the analyzed data support the existence of such a cumulative strategic utility. In the Microsoft data, Russian state actors conducted 37 medium-effect cyber operations between 23 February and 8 April [36]. A total of 22 of these occur in the war’s first week, averaging three per day. For the entire period, Russia leveraged an average of six data-destructive operations per week. More than 72% of them targeted critical infrastructure and government entities, many of them civilian (Mueller et al. [30] point to the shifting of Russian cyber operations toward civilian and away from military targets. This supports the argument that even low and medium cyber effects —e.g. on communication networks such as the Viasat hack— may be part of a pursuit of a cumulative strategic effect through undermining the civilian will to fight.). Taken together, it is a nontrivial and sizable collective of cyber operations being conducted in a short period. It indicates a potential for this collective of medium-effect operations to have cumulatively influenced Ukraine’s ability and will to wage war by undermining the state’s capacity to administer resources and instruments of power through the destruction of data and digital systems. Of course, the effects analysis’ conclusion that a substantial share of operations failed to achieve their data-destructive effects limits this cumulative potential. |
分析データには、このような累積的な戦略的有用性が存在することを裏付けるいくつかの傾向が見られる。マイクロソフトのデータによると、ロシアの国家行為者は2月23日から4月8日までの間に37件の中規模効果のサイバー作戦を実施した[36]。このうち22件は戦争の最初の1週間に発生しており、1日あたり平均3件である。全期間を通じて、ロシアは1週あたり平均6件のデータ破壊作戦を実施した。そのうち72%以上が、重要なインフラや政府事業体を標的としており、その多くは民間であった(ミューラー氏ら[30]は、ロシアのサイバー作戦が軍事目標から民間へとシフトしていることを指摘している。これは、低・中程度のサイバー効果(例えば、Viasatのハッキングのようなコミュニケーションネットワークへの影響)でさえ、民間人の戦う意志を損なうことで累積的な戦略的効果を追求する一部であるという主張を裏付けるものである)。総合すると、これは短期間に実施された、重大かつ大規模なサイバー作戦の集合体である。この中程度の影響を与える作戦の集合体が、データの破壊やデジタルシステムの損壊を通じて、国家の資源管理能力や権力手段を弱体化させることで、ウクライナの戦争遂行能力や意志に累積的な影響を与えた可能性があることを示している。もちろん、効果分析の結論では、相当数の作戦がデータ破壊効果を達成できなかったとされているため、この累積的な可能性は限定的である。 |
All of the medium-effect operations need not be successful in their effects for the collective of medium-effect operations to achieve cumulative strategic utility, though. Even in the absence of materialized effects, the medium-effect operations could force Ukraine to prioritize resources on cyber defenses that could have been used on warfighting in other domains. Conventional warfighting is likely what will be decisive for the war’s outcome. Preventing Ukraine from allocating resources for conventional warfighting may then well have strategic importance. The collective of data-destructive cyber operations could achieve cumulative strategic utility by, on the one hand, directly undermining Ukraine’s resources and instruments of power whenever their effects were successful and by, on the other hand, undermining Ukraine’s ability to prioritize resources optimally for winning the war even when their effects failed. |
しかし、中程度の影響を与える作戦のすべてが効果を達成できなくても、中程度の影響を与える作戦の集合体は累積的な戦略的有用性を達成できる。たとえ効果が発生しなかったとしても、中程度の影響を与える作戦は、他の領域での戦闘に使用できる可能性があったリソースを、ウクライナがサイバー防衛に優先的に割り当てることを余儀なくさせる可能性がある。通常戦闘が戦争の帰趨を決定する可能性が高い。ウクライナが通常戦闘のためのリソースを割り当てないようにすることは、戦略的に重要な意味を持つ可能性がある。データ破壊を目的としたサイバー作戦の集合体は、その効果を成功させるたびに、ウクライナの資源と権力手段を直接的に損なうことで、また、その効果が失敗した場合でも、戦争に勝利するためにリソースを最適に優先させるウクライナの能力を損なうことで、累積的な戦略的有用性を達成できる可能性がある。 |
It is difficult to access data on Ukraine’s prioritization of national resources. One piece of the puzzle is the allocation of the 22.3 billion Hryvnia in foreign economic assistance donated to the National Bank of Ukraine [130]. By January 2023, Ukraine had allocated a total of 3.8 billion —more than 17%— of these toward SSSCIP, which is the primary actor behind their cyber defense (3.8 billion Hryvnia correspond to ~110 million USD). This is a nontrivial share of donated resources that could have gone toward the conventional warfighting. The collective of medium-effect Russian cyber operations could have forced Ukraine to make this disposition, especially in the first weeks of the war when the frequency of these operations was most intense. Of course, National Bank donations do not give a complete picture of Ukraine’s allocation of national resources. It does, however, illustrate that Ukraine considered the threat of Russian cyber operations serious enough to warrant the strategic decision of allocating considerable resources to cyber versus conventional capabilities. |
ウクライナが国家資源を優先的に配分したデータにアクセスするのは難しい。そのパズルの1ピースとなるのは、ウクライナ国立銀行に寄付された223億グリブナの対外経済援助の配分である[130]。2023年1月までに、ウクライナはこれらのうち合計38億グリブナ(17%以上)をサイバー防衛の主要な担い手であるSSSCIPに割り当てた(38億グリブナは約1億1000万米ドルに相当)。これは、従来の戦闘に充てられた可能性のある寄付された資源の、無視できないほどの割合である。中程度の影響力を持つロシアのサイバー作戦の集団は、特に戦争の初期段階において、これらの作戦の頻度が最も激しかった時期に、ウクライナにこのような処分を余儀なくさせた可能性がある。もちろん、ウクライナ国家銀行の寄付は、ウクライナの国家資源の配分を完全に表しているわけではない。しかし、ウクライナがロシアのサイバー作戦の脅威を深刻なものとみなし、サイバー能力と通常能力に相当な資源を配分するという戦略的決定を下すに値すると考えたことは明らかである。 |
Even if Russia’s medium-effect cyber operations achieved cumulative strategic utility, it is unclear if it was cost-beneficial considering the high cost of especially their high complexity operations, which provided many of the medium effects directly as well as indirectly through later malware recycling. Finally, the cumulative strategic utility of Russian cyber operations is almost certainly minimal compared to the cumulative strategic utility of their conventional operations like missile attacks. |
たとえロシアの中程度の効果を持つサイバー作戦が累積的な戦略的有用性を達成したとしても、特にその高い複雑性を持つ作戦は、その後のマルウェア再利用を通じて間接的に、また直接的に中程度の効果の多くをもたらしたものの、そのコストは高額であったため、費用対効果の面で有益であったかどうかは不明である。最後に、ロシアのサイバー作戦の累積的な戦略的有用性は、ミサイル攻撃のような通常作戦の累積的な戦略的有用性と比較すると、ほぼ確実に最小限である。 |
Operational utility |
作戦上の有用性 |
Some scholars have questioned the ability of cyber operations to affect events on the battlefield. Schulze points to cyber operations being operationally ineffective due to difficulties in integrating with conventional capabilities [40]. In a study of the Ukraine conflict from 2014 to 2016, Kostyuk and Zhukov [39] find that cyber operations did not compel reactions in noncyber domains. This suggests cyber operations are of limited operational utility. |
一部の学者は、サイバー作戦が戦場の出来事に影響を与える能力に疑問を呈している。シュルツは、従来の能力との統合の難しさから、サイバー作戦は作戦上効果的ではないと指摘している[40]。2014年から2016年のウクライナ紛争に関する研究において、コスティュクとジュコフは[39]、サイバー作戦がサイバー以外の領域での反応を強いることはなかったと結論づけている。これは、サイバー作戦の作戦上の有用性には限界があることを示唆している。 |
This article reaches a similar albeit more nuanced conclusion. In the analyzed data from the Russo–Ukrainian War, cyber operations generally failed to achieve operational utility with one notable exception. One cyber operation —the AcidRain-operation— managed to affect the operational level of warfare, even if it did so by only removing a backup communication method for Ukrainian military, as some newer reports argue [118]. The operation highlights a narrow potential for cyber operations to provide operational utility in the beginning of warfighting. Generally, though, the operational utility is limited by difficulties integrating cyber and conventional operations especially at higher levels of integration. This is due to a temporal mismatch between relatively slow planning speeds of cyber operations and conventional operations’ typical demand for fast and precisely timed effects. This limiting factor is less pronounced in the beginning of a war because the slower planning can be done before war breaks out. |
本稿も同様の、しかしより微妙な結論に達している。 分析されたロシア・ウクライナ戦争のデータでは、サイバー作戦は概して、1つの顕著な例外を除いて作戦上の有用性を達成できなかった。 あるサイバー作戦、すなわちAcidRain作戦は、一部の新しい報告書が主張するように、たとえウクライナ軍のバックアップ・コミュニケーション手段を除去することによってであったとしても、戦闘の作戦レベルに影響を与えることに成功した。 この作戦は、戦闘開始時にサイバー作戦が作戦上の有用性を提供できる可能性が限られていることを浮き彫りにしている。しかし一般的に、サイバー作戦と通常作戦の統合は、特に統合レベルが高くなるほど困難になるため、作戦上の有用性は限定的である。これは、比較的遅いサイバー作戦の計画速度と、通常作戦が求める迅速かつ正確なタイミングでの効果という典型的な要求との間に時間的なミスマッチがあるためである。戦争の初期においては、戦争が勃発する前に遅い計画を行うことができるため、この制約要因はそれほど顕著ではない。 |
As analyzed earlier, the AcidRain-operation is an example of high integration between cyber and noncyber as it supported Russia’s conventional warfighting by undermining Ukrainian C2 capability —at least on the first day of the war. The fact that AcidRain is categorized as high integration immediately suggests it provided operational utility for Russia. Indeed, the operation straightforwardly passes the requirement for operational utility; it improved the ability of Russian units in a theater of operations to accomplish their objectives. It did so by generally undermining Ukrainian C2 capability and generating a substantial advantage for Russian units in general in a theater of operations in Ukraine. Even the least damaging version of the alleged effects of AcidRain —disrupting Ukrainian satellite communication serving as a backup for military communication— amounts to the undermining of Ukrainian C2. AcidRain thus shows that it is indeed possible for cyber operations to achieve operational utility in warfighting. As the only example, AcidRain suggests that, although cyber operations can achieve operational utility, they rarely do. |
先に分析したように、AcidRain作戦は、少なくとも戦争の初日においては、ウクライナのC2能力を弱体化させることでロシアの通常戦闘を支援したという点で、サイバーと非サイバーの高度な統合の例である。AcidRainが高度な統合に分類されるという事実は、それがロシアに作戦上の有用性を提供したことを即座に示唆している。実際、この作戦は作戦上の有用性の要件を明確に満たしている。作戦地域におけるロシア軍部隊の目標達成能力を改善したからだ。これは、概してウクライナのC2能力を損ない、ウクライナの作戦地域におけるロシア軍部隊全般に実質的な優位性をもたらすことによって達成された。AcidRainの疑わしい影響の最も軽微なバージョン、すなわち軍事コミュニケーションのバックアップとして機能するウクライナの衛星通信を混乱させることでも、ウクライナのC2能力を損なうことに等しい。したがって、AcidRainは、サイバー作戦が戦闘における作戦上の有用性を達成することが実際に可能であることを示している。唯一の例として、AcidRainは、サイバー作戦が作戦上の有用性を達成できる可能性はあるものの、それはまれであると示唆している。 |
Part of the explanation for this can be found in the analysis’ second trend of Russian cyber operations often failing to materialize the effects their cyber weapons were coded to achieve. Another part of the explanation is found in the fourth trend of the rarity of integration between cyber and noncyber capabilities. If it was difficult for Russia to achieve successful effects in the first place and additionally to integrate their effects with conventional operations, the basis for achieving operational utility was limited. The “missing effects” part of the explanation was discussed above. The second part of “integration difficulties” needs a closer examination. |
この説明の一部は、分析の2番目の傾向である、ロシアのサイバー作戦がしばしば、そのサイバー兵器が達成するようにコード化された効果を実現できないことにある。説明のもう一つの部分は、サイバー能力と非サイバー能力の統合が稀であるという4番目の傾向にある。そもそもロシアが効果を達成することが困難であり、さらにその効果を通常作戦と統合することが困難である場合、作戦上の有用性を達成するための基盤は限られていた。「効果の欠如」の部分についてはすでに説明した。「統合の難しさ」の2つ目の部分については、より詳細な検証が必要である。 |
As explained, although the actual deployment of a cyber weapon may occur at the speed of light, the whole of a cyber operation including the planning and staging process is typically time-consuming. This is especially so when the cyber operation is of high complexity or is coded to achieve high effects. Moreover, a cyber operation may not be able to guarantee a precise timing of its effects owing to the complexity of the domain. Conversely, conventional domains of warfare are typically characterized by a higher pace in the conduct of operations, especially on the operational and tactical levels of warfighting. Supporting a conventional operation also requires precise timing to ensure the supportive effects are aligned appropriately with the unfolding of the conventional operation, similar to integrating disparate capabilities in combined arms warfare. |
前述の通り、サイバー兵器の実際の展開は光速で行われる可能性があるが、計画やステージングプロセスを含むサイバー作戦全体は通常、時間を要する。これは、サイバー作戦が高度に複雑である場合や、高い効果を達成するためにコード化されている場合に特に当てはまる。さらに、サイバー作戦は領域の複雑性により、その効果の正確なタイミングを保証できない場合がある。逆に、従来の戦域では、特に戦術・作戦レベルの戦闘においては、作戦の遂行ペースが速いのが一般的である。従来の作戦を支援する場合も、支援効果が従来の作戦の展開に適切に一致するように、支援のタイミングを正確に合わせる必要がある。これは、統合兵科戦闘における異種の能力の統合に似ている。 |
There is consequently a dichotomy between the relatively long duration and sometimes imprecisely timed effects of a cyber operation and the conventional operations’ faster pace and need for precise effects. If the pace of events in conventional domains is sufficiently high, a cyber operation is too slow and temporally imprecise to integrate into conventional operations. Similar claims have been made by other cyber conflict scholars [40]. |
その結果、比較的長期にわたって展開され、効果のタイミングが不正確になりがちなサイバー作戦と、より迅速な展開と正確な効果を必要とする通常作戦との間に二分論が生じる。通常領域における事象の展開が十分に速い場合、サイバー作戦は通常作戦に統合するには遅すぎて、時間的に不正確である。同様の主張は、他のサイバー紛争学者からもなされている[40]。 |
The dichotomy is most pronounced in high integration, where the aim of directly supporting a conventional operation severely constrains when and how cyber effects should materialize, and medium integration, where the cyber weapon directly competes against typically faster conventional weapons. The looser connection between cyber and noncyber domains in low integration’s complementing logic means the dichotomy is less pronounced; the necessary alignment between cyber and noncyber effects is less strict. One should, thus expect a higher frequency of low integration compared to medium and high integration. This is exactly what this article finds. In sum, the temporal dichotomy explains why so few Russian cyber operations were integrated with conventional operations, and it points to a general limitation in the operational utility of cyber operations. |
この二分法は、通常作戦を直接支援するという目的が、サイバー効果をいつどのように実現すべきかを厳しく制約する高度な統合、および、サイバー兵器が通常より高速な通常兵器と直接競合する中程度の統合において、最も顕著である。 低統合の補完論理におけるサイバー領域と非サイバー領域の緩やかなつながりは、この二分法をそれほど際立たないものにする。サイバー効果と非サイバー効果の間の必要な調整はそれほど厳密ではない。したがって、中程度および高度の統合と比較して、低統合の頻度が高いことが予想される。これはまさに、本稿で発見されたことである。まとめると、時系列的な二分法は、ロシアのサイバー作戦が通常作戦と統合されたものが非常に少ない理由を説明しており、サイバー作戦の運用上の有用性における一般的な限界を示している。 |
If cyber operations are generally limited in achieving operational utility in war, why did AcidRain do so? The operation’s timing is crucial here. Based on its high complexity, the operation likely commenced planning and staging such as conducting reconnaissance, developing malware, and compromising target systems weeks before 24 February. There is no evidence in the data suggesting AcidRain was unusually fast [117]. However, the need for a fast-paced or precisely timed cyber effect to support conventional operations was not present until 24 February due to the simple fact that conventional warfighting had not commenced yet. Russia had time to plan and stage AcidRain-malware as well as coordinate this with the deployment of conventional capabilities. The temporal dichotomy was thus not an issue for the AcidRain-operation because the “slow” part of the cyber operation was conducted before the “fast” conventional needs for effects arose. |
サイバー作戦が戦争における運用上の有用性を達成する上で一般的に限界があるならば、なぜ「AcidRain」はそうしたのか?この場合、作戦のタイミングが重要である。その高度な複雑性から、この作戦は、おそらく2月24日の数週間前から偵察活動、マルウェアの開発、標的システムの侵害などの計画と準備を開始していたと思われる。データからは、AcidRainが異常に迅速であったことを示す証拠はない[117]。しかし、通常作戦を支援するサイバー攻撃の効果を迅速に、あるいは正確なタイミングで実現する必要性は、単純な事実として通常戦闘がまだ開始されていなかったため、2月24日までは存在しなかった。ロシアには、AcidRainマルウェアを計画し展開する時間があり、また通常戦力の展開と調整する時間もあった。したがって、時間的な二分法は、サイバー作戦の「遅い」部分が通常戦力の「速い」効果の必要が生じる前に実施されたため、AcidRain作戦にとっては問題とはならなかった。 |
The AcidRain-operation demonstrates the potential of cyber operations achieving operational utility in the beginning of warfighting despite their general limitations. This is because there is ample time before warfighting commences to complete slower parts of a cyber operation so as to sidestep the temporal dichotomy that otherwise typically limits a cyber operation’s integration with conventional operations. |
「AcidRain作戦」は、一般的な限界があるにもかかわらず、戦争遂行の初期段階で戦術的有用性を達成できるサイバー作戦の潜在的可能性を示している。 戦争遂行が開始される前に、サイバー作戦の遅い部分を完了させるのに十分な時間があるため、そうでなければ一般的にサイバー作戦と通常作戦の統合を制限する時間的二分法を回避できるからである。 |
Tactical utility |
戦術的有用性 |
Is the tactical level of warfare as limiting for the utility of cyber operations as the operational? Schulze points to historical evidence for the tactical ineffectiveness of cyber operations [40, 131, 132]. Conversely, Brantly and Collins [133] argue that Russia achieved frequent and persistent tactical effects through cyber operations in Ukraine during the hybrid war until 2018. |
戦術レベルの戦闘は、作戦レベルと同様にサイバー作戦の有用性を制限するものだろうか? シュルツは、サイバー作戦の戦術レベルでの非有効性を示す歴史的証拠を指摘している[40, 131, 132]。 一方、ブレンティとコリンズは[133]、2018年までのハイブリッド戦におけるウクライナでのサイバー作戦を通じて、ロシアは戦術レベルで頻繁かつ持続的な効果を達成したと主張している。 |
The analyzed data in this article suggest cyber operations are generally limited in their ability to meaningfully affect the tactical level of warfare similar to the limitations evident on the operational level. In fact, the temporal dichotomy is possibly even more limiting at the tactical level. Importantly, though, the window of opportunity for utility in the beginning of a war observed at the operational level plausibly holds true at the tactical level as well. This qualifies the previous findings in the literature. |
本記事で分析したデータは、サイバー作戦は一般的に、作戦レベルで明らかになった限界と同様に、戦術レベルに有意な影響を与える能力が限られていることを示唆している。実際、時間的な二分法は、戦術レベルではさらに限定的である可能性がある。しかし重要なのは、作戦レベルで観察された戦争の初期における実用性のウィンドウは、おそらく戦術レベルでも同様に当てはまるということだ。これは、これまでの文献における調査結果を裏付けるものである。 |
Two Russian cyber operations are prima facie candidates for achieving tactical utility. The first is the AcidRain-operation. In providing operational utility for units during the Kyiv offensive, the debilitating effect on Ukrainian (backup) C2 provided Russian units with potential tactical advantages in local battles —and so also tactical utility. There is no direct evidence for this in the analyzed data. However, combining the evidence for the operational utility with the fact that circumstances in the operational level of warfare influence the tactical level, the tactical utility of AcidRain is a plausible conclusion. This suggests cyber operations can achieve tactical utility in the beginning of warfighting for the same reasons they can achieve operational utility. |
ロシアのサイバー作戦のうち、戦術的有用性を達成する候補として一見して考えられるのは2つある。1つ目はAcidRain作戦である。キエフ攻勢中の部隊に作戦的有用性を提供することで、ウクライナ(予備)C2への疲弊効果により、ロシア部隊は局地戦において戦術的優位性を得る可能性がある。分析データにはこのことを示す直接的な証拠はない。しかし、作戦上の有用性の証拠と、戦術レベルに影響を与える戦術レベルの状況という事実を組み合わせると、AcidRainの戦術上の有用性は妥当な結論である。これは、サイバー作戦が作戦上の有用性を達成できるのと同じ理由で、戦闘開始時に戦術上の有用性を達成できることを示唆している。 |
The second candidate is the operation against the Zaporizhzhia nuclear power plant, which the above analysis deemed an example of high integration due to the operation plausibly supporting a conventional attack on the plant by collecting intelligence. It is thus plausible that the cyber operation generated an advantage for Russian units engaged in the local battle for the power plant. This meets the definition of tactical utility. Some caveats should be noted, however. The data does not reveal exactly when cyber actors comprised the networks, their exact actions, or their intentions. The nuclear power plant is also critical infrastructure, and so it is possible that Russia originally targeted it to conduct an operation akin to Industroyer2 without intending integration with conventional operations. The later opportunity to support a conventional attack may have been unforeseen. |
2つ目の候補は、ザポリージャ原子力発電所に対する作戦である。上記の分析では、この作戦は、発電所に対する通常攻撃を支援する可能性が高いことから、高度な統合の例であると判断された。したがって、サイバー作戦が、発電所を巡る局地戦に従事するロシア部隊に優位性をもたらした可能性は高い。これは戦術的有用性の定義に合致する。ただし、いくつかの注意点がある。データからは、サイバー攻撃者がネットワークを侵害した正確な時期、その正確な行動、意図は明らかになっていない。また、この原子力発電所は重要なインフラであるため、ロシアは当初、Industroyer2のような作戦を実行することを目的としていたが、通常作戦との統合を意図していなかった可能性もある。通常攻撃を支援する機会が後から訪れたことは、予期せぬことだったかもしれない。 |
Overall, the few candidates for cyber operations of tactical utility indicate their general limitation. The dichotomy between the slow-paced cyber operation and the fast-paced conventional operation is again likely part of the explanation for the limited tactical utility. In fact, the dichotomy is possibly more pronounced at the tactical level of warfare. Here, the pace of operations is faster as the operations accomplish tactical tasks necessary for progressing toward operational level objectives. In a nutshell, the operational level “waits” for events at the tactical level. Operations at the tactical level such as direct combat between units are also more confined in time and space than campaigns at the operational level. Accordingly, to be aligned with and thus of utility at the tactical level, cyber effects must be more precise and versatile in time and space. The above discussion of operational utility already clarified why this is a tall order, except for the moment when warfighting commences. |
全体として、戦術的有用性のあるサイバー作戦の候補が少ないことは、その一般的な限界を示している。 テンポの遅いサイバー作戦とテンポの速い通常作戦という二分法は、戦術的有用性が限定的であることの説明の一部である可能性が高い。 実際、この二分法は戦術レベルではより顕著である可能性がある。 戦術レベルでは、作戦のテンポは速く、作戦レベルの目標達成に必要な戦術的任務を遂行する。一言で言えば、作戦レベルは戦術レベルの出来事を「待つ」のである。部隊間の直接戦闘のような戦術レベルの作戦は、作戦レベルのキャンペーンよりも時間的にも空間的にも限定されている。したがって、戦術レベルで整合性を保ち、有用であるためには、サイバー効果は時間的にも空間的にもより正確かつ多様でなければならない。上記の作戦における有用性に関する議論では、戦闘が始まる瞬間を除いて、これがなぜ難しい注文であるのかがすでに明らかになっている。 |
Conclusions |
結論 |
Applying the TECI-model on the Russo–Ukrainian War, this article found four notable trends in Russia’s offensive cyber operations that contribute to the literature’s understanding of the utility of cyber operations in war. |
本稿では、TECIモデルをロシア・ウクライナ戦争に適用し、戦争におけるサイバー作戦の有用性に関するこれまでの研究の理解に貢献する、ロシアの攻撃的サイバー作戦における4つの注目すべき傾向を見出した。 |
First, Russian cyber operations rarely sought physically destructive effects but opted for data destruction, exfiltration, or disruption. This validates the assumption in the literature that cyber operations are unsuitable for physical destruction. Second, a substantial share of Russia’s offensive cyber operations failed to achieve effects. This rejects the assumption that cyberspace is offense dominant; the defender may have an easier time than thought. This is partly caused by the third trend. Russia began recycling malware after the first weeks of warfighting, which lowered their ability to penetrate Ukrainian defenses. This suggests sustaining high complexity operations with novel malware and tools through a longer period of warfighting is prohibitively costly. It validates the literature’s assumptions about the transience of cyber weapons and their need for costly regeneration. Fourth, and finally, cyber operations were rarely integrated with conventional operations. When they were, it was the least demanding form of integration and primarily in the war’s beginning. This validates assumptions in the literature about the difficulty of integrating cyber and noncyber capabilities, i.e. due to a dichotomy between their operational tempi. |
第一に、ロシアのサイバー作戦は物理的な破壊効果をほとんど狙わず、データ破壊、外部への情報流出、または混乱の選択に留まった。これは、サイバー作戦は物理的な破壊には不適であるという文献上の想定を裏付けるものである。第二に、ロシアの攻撃的サイバー作戦の相当な割合が効果を達成できなかった。これは、サイバー空間は攻撃優位であるという想定を否定するものであり、防御側は考えられているよりも容易な場合があることを示唆している。これは、第3の傾向による部分的な原因である。ロシアは戦闘開始から数週間後にはマルウェアのリサイクルを開始しており、これによりウクライナの防御を突破する能力が低下した。これは、より長期にわたる戦闘において、新しいマルウェアやツールを用いた高度な複雑性作戦を継続することは、法外なコストがかかることを示唆している。これは、サイバー兵器の寿命が短いこと、およびその兵器には高コストの再生が必要であるという文献の想定を裏付けるものである。第4に、最後に、サイバー作戦は通常作戦と統合されることはほとんどなかった。統合されたとしても、それは最も要求の低い統合形態であり、主に戦争の初期段階においてであった。これは、サイバー能力と非サイバー能力の統合の難しさに関する文献上の想定を裏付けるものである。すなわち、その理由は、両者の作戦テンポの二分性にある。 |
Data from the Russo–Ukrainian War thus point to offensive cyber operations having limited utility in war. The article found two important exceptions to this. Offensive cyber operations can achieve strategic utility cumulatively through persistent data-destructive targeting of national resources and operational as well as tactical utility in the beginning of warfighting when there is time to synchronize cyber and noncyber capabilities. It is worth noting that the early claims in cyber conflict studies positing a cyber doom and a future of cyber operations decisively shaping conventional warfare are still unsubstantiated by evidence including this article’s findings [49, 134–136]. Rather, the limited utility of cyber operations in warfighting —even with the two important exceptions above— point to cyber operations serving more impactful roles outside of warfighting such as in enhancing information warfare operations and strategic influence campaigns as suggested by Mueller et al. [30]. |
したがって、ロシア・ウクライナ戦争のデータは、攻撃的なサイバー作戦が戦争において限定的な有用性しか持たないことを示している。しかし、この記事では、これには2つの重要な例外があることが分かった。攻撃的なサイバー作戦は、国家の資源を標的とした持続的なデータ破壊を狙うことで、戦略的な有用性を徐々に達成できる。また、サイバー能力と非サイバー能力を同期させる時間がある戦闘開始時には、戦術的および運用上の有用性も達成できる。 サイバー紛争研究における初期の主張では、サイバーの破滅とサイバー作戦の未来が従来の戦争を決定づけるとされていたが、この記事の調査結果を含め、その主張は未だに証拠によって裏付けられていないことは注目に値する[49, 134–136]。むしろ、戦争におけるサイバー作戦の限定的な有用性は、上述の2つの重要な例外を除いても、ミューラー氏らによって示唆されているように、情報戦作戦の強化や戦略的影響力キャンペーンなど、戦争以外の分野でより大きな影響力を持つ役割を果たすことを示唆している[30]。 |
Granted, our findings may not be generalizable to other conflicts or future developments in the Russo–Ukrainian War. Some scholars have argued that Russian military essentially failed in the strategic and operational planning of the invasion of Ukraine which perhaps reflects a similar inaccurate planning in cyberspace [28, 137]. Others suggest that Russia prioritizes cyber-enabled espionage and information operations over military cyber effects [30]. Meanwhile, multiple Western militaries and companies have offered substantial assistance to Ukraine’s cyber defenses, including migrating data to cloud services hosted in NATO countries [110]. Had Russian military been organized differently and avoided their strategic planning failures, and had Ukraine received less assistance in cyberspace, another picture of the utility of cyber operations could have emerged. A conflict between other actors in other circumstances may well introduce its own idiosyncratic factors influencing the utility of cyber operations in warfighting. It is too early to determine how representative our findings are. |
もちろん、我々の調査結果は、他の紛争や今後のロシア・ウクライナ戦争の展開に一般化できるものではないかもしれない。一部の学者は、ロシア軍はウクライナ侵攻の戦略および作戦計画において本質的に失敗したと主張しており、これはおそらくサイバー空間における同様の不正確な計画を反映していると考えられる[28, 137]。また、ロシアは軍事的なサイバー効果よりも、サイバー技術を活用したスパイ活動や情報操作を優先しているという意見もある[30]。一方、複数の西側諸国の軍および企業は、NATO諸国がホストするクラウドサービスへのデータの移行を含め、ウクライナのサイバー防衛に実質的な支援を提供している [110]。ロシア軍が異なる編成で戦略計画の失敗を回避できていた場合、また、ウクライナがサイバー空間でそれほど多くの支援を受けていなかった場合、サイバー作戦の有用性について別の見解が示されていた可能性がある。他の状況における他のアクター間の紛争は、戦闘におけるサイバー作戦の有用性に影響を与える独自の要因を導入する可能性がある。我々の調査結果がどれほど代表的なものなのかを判断するには、まだ時期尚早である。 |
The article’s main contribution to the field of cyber conflict studies is thus the TECI-model itself. Precisely because the role of cyber operations in warfighting is unsettled, and because this role may change over time, the field needs an operationalized model capable of systematically analyzing cyber operations in war to compare and track the utility of cyber operations over time and across conflicts. The TECI-model fills this gap in the literature, has been empirically tested and applied on data in this article, and will be as readily applicable on future data sets from Ukraine and other conflicts that may shape the role of cyberspace in war. |
したがって、本記事がサイバー紛争研究分野に貢献できる主な点は、TECIモデルそのものである。戦時におけるサイバー作戦の役割が定まっておらず、また、この役割が時とともに変化する可能性があるからこそ、この分野では、戦時におけるサイバー作戦を体系的に分析し、サイバー作戦の有用性を時系列および紛争間で比較・追跡できる実用化されたモデルが必要とされている。TECIモデルは、この分野における研究のギャップを埋めるものであり、本記事では実証的に検証され、データに適用されている。また、ウクライナやその他の紛争から得られる将来のデータセットにも容易に適用できるだろう。これらの紛争は、戦争におけるサイバー空間の役割を形作る可能性がある。 |
Recent Comments