安全保障

2024.09.07

外務省 第3回北朝鮮サイバー脅威に関する日米韓外交当局間作業部会の開催

こんにちは、丸山満彦です。

2024.09.06に第3回北朝鮮サイバー脅威に関する日米韓外交当局間作業部会が開催されたようですね...

● 外務省

・202409.06 第3回北朝鮮サイバー脅威に関する日米韓外交当局間作業部会の開催


9月6日、午後1時から約3時間、韓国のソウルにおいて、第3回北朝鮮サイバー脅威に関する日米韓外交当局間作業部会が実施されたところ、概要は以下のとおりです。

  1. 今回の作業部会においては、熊谷直樹外務省サイバー政策担当大使兼総合外交政策局審議官、セス・ベイリー米国国務省北朝鮮担当次席特別代表、李埈一(イ・ジュンイル)韓国外交部朝鮮半島政策局長が共同議長を務めました。

  2. 今回の作業部会において、三か国は、北朝鮮の不法な大量破壊兵器及び弾道ミサイル計画の資金源となる、北朝鮮の不正なサイバー活動に対する懸念を改めて表明しました。その上で、北朝鮮による暗号資産窃取や北朝鮮IT労働者を含む北朝鮮のサイバー脅威に対する各国の取組や今後の日米韓協力等について意見交換を行いました。

  3. 今回の議論は、日米韓で北朝鮮のサイバー活動に関する協力を進める政府全体の取組の一環として、外交的な取組に焦点を当てて行われたものです。

  4. 三か国は、国連安保理決議に従った北朝鮮の完全な非核化に向け、サイバー分野における対応を含め、引き続き緊密に連携することを再確認しました。

 

米国の国務省

U.S. Department of State

・2024.09.05 Seventh United States-Republic of Korea Working Group to Counter Cyber Threats Posed by the Democratic People’s Republic of Korea

Seventh United States-Republic of Korea Working Group to Counter Cyber Threats Posed by the Democratic People’s Republic of Korea 朝鮮民主主義人民共和国によるサイバー脅威に対抗する第7回米国・韓国作業部会
The United States and the Republic of Korea convened in Seoul the seventh U.S.-Republic of Korea (ROK) Working Group September 5-6 to counter cyber threats posed by the Democratic People’s Republic of Korea (DPRK). Led by Deputy Special Representative for the DPRK Seth Bailey and ROK Ministry of Foreign Affairs Director General for Korean Peninsula Policy Lee Jun-il, the meeting underscored the continued close collaboration between the U.S. and ROK governments to disrupt the DPRK’s ability to generate revenue through malicious cyber activity, which it uses to fund its unlawful WMD and ballistic missile programs. The working group included participants from 15 U.S. and ROK government departments, ministries, and agencies. 米国と韓国は、朝鮮民主主義人民共和国(DPRK)によるサイバー脅威に対抗するため、9月5日~6日にソウルで第7回米国・韓国(ROK)作業部会を開催した。北朝鮮担当のセス・ベイリー副代表と韓国外務省の李潤一朝鮮半島政策本部長が主導したこの会合では、北朝鮮による悪意あるサイバー活動による収益生成能力を妨害するために、米国と韓国の政府が緊密に協力し続けていることが強調された。北朝鮮は、違法な大量破壊兵器および弾道ミサイル計画の資金調達に、この悪意あるサイバー活動を利用している。作業部会には、米国および韓国の15の政府省庁および機関から参加者が集まった。
The United States and the ROK are pursuing a wide range of actions to prevent and disrupt DPRK cryptocurrency heists, address DPRK cyber espionage against the defense sector, stop third party facilitators from enabling DPRK illicit revenue generation, and dismantle DPRK IT worker infrastructure and networks. The Working Group meeting also focused on coordinated diplomatic outreach, information sharing, and capacity building for nations vulnerable to the DPRK cyber threat. 米国と韓国は、北朝鮮による暗号通貨強奪の防止と阻止、国防部門に対する北朝鮮のサイバースパイ活動への対処、北朝鮮の不正収益の生成を可能にするサードパーティの仲介者の阻止、北朝鮮のIT労働者のインフラとネットワークの解体など、幅広い対策を講じている。作業部会の会合では、北朝鮮のサイバー脅威に対して脆弱性を持つ国々に対する、協調的な外交的働きかけ、情報共有、能力構築にも重点が置かれた。

 

1_20240907013201

 

| | Comments (0)

米国 NSA "No Such Agency"による"No Such Podcast" が2024.09.05から始まりました(毎週 6回シリーズ)

こんにちは、丸山満彦です。

国家安全保障局 (NSA) [wikipedia]は米国の情報機関の中でも通信の諜報活動 (SIGINT) を主に担当している国防総省の管轄下の部門ですが、ボットキャスト"No Such Podcast"を開始しましたね...

採用のための活動ですかね...参考になります...

 

第1回目は

NSA のサイバーセキュリティ担当ディレクターであるデイブ・ルーバーと海兵隊のジェリー・カーター中将による業務内容の話...

・オサマ・ビンラディンを逮捕するための米国政府の努力に対するNSAのSIGINTの貢献についての内容ですね...

 

NSA

no such podcast

・2024.09.05 Cybersecurity is National Security



Cybersecurity is no longer a separate domain – it’s integrated into everything we do to keep the United States safe from foreign adversaries. As Russia, China, Iran, North Korea, and others conduct cyberattacks on national security systems and the Defense Industrial Base, the National Security Agency is on the job, detecting attacks, defending networks, and distributing declassified intelligence to help private industry partners. サイバーセキュリティはもはや独立した領域ではなく、米国を外国の敵対者から守るために行うあらゆることに統合されている。ロシア、中国、イラン、北朝鮮などが国家安全保障システムや防衛産業基盤に対してサイバー攻撃を仕掛ける中、国家安全保障局は攻撃の検知、ネットワークの防御、機密解除された情報の民間産業パートナーへの配布などを行っている。
NSA’s Director of Cybersecurity, Dave Luber, joins No Such Podcast to shine the light on how NSA cybersecurity contributes to national security. Learn from Marine Corps LtGen Jerry Carter about the value of having close civilian-military collaboration to keep our armed forces safe and our policymakers informed. From secure AI to #StopRansomware to PRC hacking and beyond, NSA’s experts work every day on cybersecurity challenges. NSAのサイバーセキュリティ部長であるデイブ・ルーバーがNo Such Podcastに参加し、NSAのサイバーセキュリティがどのように国家の安全保障に貢献しているかを明らかにする。海兵隊のジェリー・カーター中将から、軍の安全と政策立案者の情報収集を維持するために、民間と軍の緊密な連携が持つ価値について学ぶ。安全なAIから#StopRansomware、中国によるハッキング、そしてそれ以外のことまで、NSAの専門家は日々、サイバーセキュリティの課題に取り組んでいる。
Learn more at NSA.gov/cybersecurity. Find the show transcript and other episodes at NSA.gov/podcast. Discover job opportunities at NSA.gov/careers. 詳細はNSA.gov/cybersecurityをご覧ください。ショーのトランスクリプトや他のエピソードはNSA.gov/podcastでご覧いただけます。NSA.gov/careersで求人情報をご覧ください。

 

 

オサマビンラディンの話...

・2024.09.05 How We Found Bin Laden: The Basics of Foreign Signals Intelligence


Osama bin Laden helped plan the terrorist attacks of September 11, 2001 which killed nearly 3,000 Americans. To find him, the U.S. government had to put its best people on the job. Along with their counterparts across multiple agencies, experts at the National Security Agency answered the call. NSA generated foreign signals intelligence to help find, and ultimately eliminate, the terrorist leader. オサマ・ビンラディンは、2001年9月11日の同時多発テロ事件の計画に携わり、このテロ事件ではおよそ3,000人のアメリカ人が命を落とした。 ビンラディンを追跡するため、米国政府は最高の能力を持つ人材を投入しなければならなかった。 複数の政府機関の専門家たちとともに、国家安全保障局(NSA)の専門家たちもその任務に当たった。 NSAは外国の通信情報(SIGINT)を生成し、テロリストのリーダーの追跡、そして最終的な排除に貢献した。
In the lead episode of No Such Podcast, learn how NSA helped find bin Laden through foreign signals intelligence (SIGINT), one of the Agency’s two core missions. NSA leaders demystify the foreign SIGINT cycle and how each step applied to the Osama bin Laden case. Learn from a counterterrorism expert who was in the room when the word came in that Osama bin Laden was Killed In Action. No Such Podcastの初回エピソードでは、NSAの2つの主要任務の1つである外国の信号情報(SIGINT)を通じて、NSAがどのようにビンラディン発見に貢献したかについて学ぶ。NSAのリーダーたちは、外国のSIGINTサイクルと、各ステップがウサマ・ビンラディンのケースにどのように適用されたかを解き明かす。ウサマ・ビンラディン死亡の知らせを受けた時の様子を、テロ対策の専門家が語る。
NSA’s foreign signals intelligence has informed United States policymakers for over seven decades. Learn more at NSA.gov. Find the show transcript and other episodes at NSA.gov/podcast. Discover job opportunities at NSA.gov/careers. NSAの外国向け通信情報収集は、70年以上にわたって米国の政策立案者に情報を提供してきた。詳細はNSA.govで。番組の原稿やその他のエピソードはNSA.gov/podcastで。NSA.gov/careersで求人情報を確認。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.09.02 米国 NSA "No Such Agency"による"No Such Podcast" が2024.09.05から始まります(毎週 6回シリーズ)

 

| | Comments (0)

米国他 ロシア軍のサイバー工作員が米国およびグローバルな重要インフラを標的にしているので注意してください...

こんにちは、丸山満彦です。

米国の財務省、国務省、サイバーコマンド他、オランダ、チェコ、ドイツ、エストニア、ラトビア、ウクライナ、カナダ、オーストラリア、英国が共同で、警告をだしていますね...

ロシアのGRUユニット29155 サイバー・コンポーネントが攻撃者のようです...

 

CISA

・2024.09.05 Russian Military Cyber Actors Target US and Global Critical Infrastructure

 

Russian Military Cyber Actors Target US and Global Critical Infrastructure ロシア軍のサイバー工作員が米国およびグローバルな重要インフラを標的に
Summary 要約
The Federal Bureau of Investigation (FBI), Cybersecurity and Infrastructure Security Agency (CISA), and National Security Agency (NSA) assess that cyber actors affiliated with the Russian General Staff Main Intelligence Directorate (GRU) 161st Specialist Training Center (Unit 29155) are responsible for computer network operations against global targets for the purposes of espionage, sabotage, and reputational harm since at least 2020. GRU Unit 29155 cyber actors began deploying the destructive WhisperGate malware against multiple Ukrainian victim organizations as early as January 13, 2022. These cyber actors are separate from other known and more established GRU-affiliated cyber groups, such as Unit 26165 and Unit 74455. 連邦捜査局(FBI)、サイバーセキュリティ・インフラセキュリティ庁(CISA)、国家安全保障局(NSA)は、2020年以降、ロシア連邦軍参謀本部情報総局(GRU)第161特殊訓練センター(Unit 29155)に所属するサイバーアクターが、スパイ行為、妨害行為、風評被害を目的とした世界的な標的に対するコンピューターネットワーク操作の責任者であるとアセスメントしている。GRU Unit 29155のサイバー犯罪者は、2022年1月13日には早くも、複数のウクライナの被害組織に対して破壊的なWhisperGateマルウェアの展開を開始していた。これらのサイバー犯罪者は、Unit 26165やUnit 74455といった、より確立されたGRU関連のサイバーグループとは別物である。
・To mitigate this malicious cyber activity, organizations should take the following actions today: ・この悪意あるサイバー活動を低減するために、組織は今日から以下の対策を講じるべきである。
・Prioritize routine system updates and remediate known exploited vulnerabilities. ・定期的なシステム更新を優先し、既知の脆弱性を修正する。
・Segment networks to prevent the spread of malicious activity. ・悪意ある活動の拡大を防ぐためにネットワークをセグメント化する。
Enable phishing-resistant multifactor authentication (MFA) for all externally facing account services, especially for webmail, virtual private networks (VPNs), and accounts that access critical systems. フィッシング対策の多要素認証(MFA)を、外部に公開されているすべてのアカウントサービス、特にウェブメール、VPN(仮想プライベートネットワーク)、および重要なシステムにアクセスするアカウントに対して有効にする。
This Cybersecurity Advisory provides tactics, techniques, and procedures (TTPs) associated with Unit 29155 cyber actors—both during and succeeding their deployment of WhisperGate against Ukraine—as well as further analysis (see Appendix A) of the WhisperGate malware initially published in the joint advisory, Destructive Malware Targeting Organizations in Ukraine, published February 26, 2022. このサイバーセキュリティ勧告では、Unit 29155のサイバー犯罪者に関連する戦術、技術、手順(TTP)を、ウクライナに対するWhisperGateの展開中および展開後に提供するとともに、2022年2月26日に発表された共同勧告「ウクライナの組織を標的とする破壊的マルウェア」で最初に公開されたWhisperGateマルウェアのさらなる分析(附属書Aを参照)も提供する。
FBI, CISA, NSA and the following partners are releasing this joint advisory as a collective assessment of Unit 29155 cyber operations since 2020: FBI、CISA、NSA、および以下のパートナーは、2020年以降のUnit 29155サイバー作戦の総合的なアセスメントとして、本共同声明を発表する。
・U.S. Department of the Treasury ・米国財務省
・U.S. Department of State (Rewards for Justice) ・米国国務省(正義への報い)
・U.S. Cyber Command Cyber National Mission Force (CNMF) ・米国サイバーコマンド サイバー国家任務部隊(CNMF
・Netherlands Defence Intelligence and Security Service (MIVD) ・オランダ国防情報局(MIVD
・Czech Military Intelligence (VZ) ・チェコ軍情報局(VZ)
・Czech Republic Security Information Service (BIS) ・チェコ共和国安全保障情報局(BIS)
・German Federal Office for the Protection of the Constitution (BfV) ・ドイツ連邦憲法擁護庁(BfV)
・Estonian Internal Security Service (KAPO) ・エストニア国内治安局(KAPO)
・Latvian State Security Service (VDD) ・ラトビア国家保安庁(VDD)
・Security Service of Ukraine (SBU) ・ウクライナ保安庁(SBU)
・Computer Emergency Response Team of Ukraine (CERT-UA) ・ウクライナコンピューター緊急対応チーム(CERT-UA)
・Canadian Security Intelligence Service (CSIS) ・カナダ安全保障情報局(CSIS)
・Communications Security Establishment Canada (CSE) ・カナダ通信安全保障局(CSE)
・Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC) ・オーストラリア信号局オーストラリアサイバーセキュリティセンター(ASDのACSC)
・United Kingdom National Cyber Security Centre (NCSC-UK) ・英国国立サイバーセキュリティセンター(NCSC-UK)
For additional information on Russian state-sponsored malicious cyber activity and related indictments, see the recent U.S. Department of Justice (DOJ) press releases for June 26, 2024, and September 5, 2024, FBI’s Cyber Crime webpage, and CISA’s Russia Cyber Threat Overview and Advisories webpage. ロシア政府による悪意のあるサイバー活動および関連する起訴に関する追加情報は、米国司法省(DOJ)の2024年6月26日および9月5日付のプレスリリース、FBIのサイバー犯罪ウェブページ、およびCISAのロシアのサイバー脅威の概要および勧告ウェブページを参照のこと。

 

・[PDF

20240906-231635

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.08.29 OXFORD JOURNAL of Cybersecurity 戦争においてサイバー作戦の有用性は限界的

・2024.08.09 米国 国防大学出版局 統合軍クオータリー 「認知戦」

・2024.06.25 Microsoft ロシアはいかにして2024年パリ五輪を妨害しようとしているのか (2024.06.06)

・2024.06.20 米国 サイバーセキュリティ・インフラセキュリティ庁(CISA)と米国選挙支援委員会(EAC)が選挙セキュリティについてのガイドを発表 (2024.06.17)

・2024.05.06 米国 英国 カナダ 親ロシア派ハクティビストによる北米および欧州のOT機器に対する継続的な悪意あるサイバー活動に対するセキュリティ対策

・2024.04.03 マイクロソフトロシアの国家支援行為者であるMidnight Blizzardによるシステムへの侵入に対するSECの開示事例 (2024.01.19, 2024.03.08)

・2024.03.01 米国 英国 オーストラリア カナダ ニュージーランド、ベルギー、ブラジル、フランス、ドイツ、ラトビア、リトアニア、ノルウェー、ポーランド、韓国がロシアや脆弱性についてのいくつかのアラートを出していますね。。。

・2024.02.29 Five eyes ロシア対外情報庁による攻撃手法。時代はクラウドですからね...

・2023.09.25 ロシア 科学技術センター デジタル外交2023:課題と発展動向

・2023.09.01 Five Eyes Android 端末を標的とするInfamous Chisel マルウェアを利用するロシアの脅威行為者に関する報告書

・2023.08.19 ロシア 科学技術センター :新たなサイバーセキュリティの脅威

・2023.08.11 ロシア 情報セキュリティセンターの設立に約33億ルーブル(約50億円)の予算をつける

・2023.05.20 米国 司法省 LockBit、Babuk、Hiveに関わったロシア人を起訴

・2023.05.17 米国 CISA ブログ コロニアルパイプラインへの攻撃:この2年間で私たちが学んだこと、私たちがやってきたこと (2023.05.07)

・2023.05.12 Five Eyes ロシア連邦保安庁が管理するマルウェアネットワーク「Snake」を破壊

・2023.05.10 ロシア 科学技術センター 大規模言語モデル:認知的な視点

・2023.03.07 ロシア 科学技術センター 認知作戦・心理作戦の理論的・概念的側面

・2023.02.11 米国 英国 ロシアを拠点とするサイバー犯罪組織「Trickbot」のメンバーに制裁を科す

・2022.07.21 カナダ サイバーセキュリティセンター 「サイバー脅威報告:ロシアのウクライナ侵攻に関連するサイバー脅威活動」 (2022.07.14)

・2022.07.18 ロシア 通信・IT・マスメディア監督連邦サービス (Roskomnadzor) が、Google、Apple、Pinterest等の外資企業が、ロシア人利用者のデータベースのローカ保管を確認していないと発表していますね。。。

・2022.06.21 米国 司法省 国際的なサイバー作戦によるロシアのボットネットの破壊

・2022.04.11 米国 司法省 ロシア連邦軍参謀本部情報総局(GRU)が管理するボットネットを裁判所の認可に基づき破壊(2022.04.06)

・2022.04.01 ロシア 外務省 米国とその衛星国による継続的なロシアへのサイバー攻撃についての声明

・2022.03.30 ロシア・ウクライナ紛争に伴うサイバーセキュリティの警告(オーストラリア、英国の場合)

・2022.03.18 米国 CISA FBIがロシアの国家的サイバーアクターによるデフォルトの多要素認証プロトコルと「printnightmare」脆弱性の悪用による脅威の軽減

・2022.03.05 フランス CERT-FRがロシアのウクライナ侵攻に関連した脅威・インシデントレポートを公表していますね。。。

・2022.03.03 米国 司法省 タスクフォース KleptoCapture (ロシアの資金源を断つ?)

・2022.02.22 米国 CISA Alert (AA22-047A) ロシアの国家支援を受けたサイバーアクターが、機密性の高い米国の防衛情報および技術を入手するために、許可を受けた防衛請負業者のネットワークを標的にしている (2022.02.16)

・2022.02.11 防衛省 防衛研究所 ウクライナをめぐるロシアの強要戦術

・2022.02.11 欧州議会 Think Tank 米国とロシアの関係:地政学的側面、安全保障的側面、経済的側面、人的側面

・2022.01.18 ウクライナ ロシアからと考えられるサイバー攻撃の影響はほぼ回復した?

・2022.01.17 米国 GAO サイバーセキュリティ:SolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応

・2022.01.16 金銭目的のサイバー攻撃については全ての国が協力できる(コロニアルパイプラインを攻撃した疑いのあるハッカーを米国の要請によりロシアが逮捕)

・2021.12.15 ロシアとインドネシアが国際的な情報セキュリティの協力に関する政府間協定に署名

・2021.12.08 ロシア ドミトリー・チェルニーシェンコ副首相による第16回国連インターネット・ガバナンス・フォーラムでの国際的な法律の調和とIT分野での協力についての講演

・2021.12.07 2021.12.09,10開催予定 Summit for Democracy 民主主義サミット + 中国的民主主義 + ロシアの批判 + EUの参加報告書+米国政府まとめ

・2021.11.24 ロシア ロシア国内に事務所を開設しなければならないインターネット企業13社を公表

・2021.11.13 米国 財務省 政府一体となったランサムウェア対策によりランサムウェア実行者と仮想通貨取引所に制裁を科す

・2021.11.12 Interpol 最近のサイバー関係の発表(7つ)

・2021.08.05 米国連邦議会上院 国土安全保障・政府問題委員会 「アメリカのデータは危険にさらされている」

・2021.07.13 RuNetの再評価:ロシアのインターネット孤立化とロシアのサイバー行動への影響

・2021.07.12 NATO関連機関が分析したサイバー空間におけるロシアの戦略 at 2021.06.11

・2021.07.04 ロシア連邦大統領令第400号「ロシア連邦の国家安全保障戦略」を公表

・2021.04.22 U.S. White House 副国家安全保障補佐官(サイバー・新技術担当)によるSolarWindsとMicrosoft Exchangeのインシデントに関する声明

・2021.04.22 米国によるロシア制裁後のロシア連邦安全保障会議書記と米国大統領補佐官(国家安全保障担当)との電話会談

・2021.04.16 White HouseはSolarWindsの不正アクセスに関連する行動がロシアによるものと正式に認め制裁を課す大統領令を発出していますね。。。 U.S. サイバー司令部と国土安全保障省-CISAはSolarWindsの不正アクセスに関連するロシア製マルウェアのサンプルを公開

・2020.11.16 ロシアと北朝鮮のハッカーがCOVID 19のワク​​チン研究者からデータを盗もうとしている by Microsoft

・2020.10.27 欧州連合 連合と加盟国を脅かすサイバー攻撃に対する制限的措置に関する決定(CFSP)2019/797の修正(ロシアの件。。。)

・2020.10.27 米国 連邦司法省がサイバースペースでの破壊的行為を世界的に行ったことでロシアのGRUの6人を起訴した (2020.10.19)

・2020.10.27 英国NCSC 東京オリンピック関係者にサイバー攻撃をしていたとしてロシアを非難 (2020.10.19)

・2020.10.14 ノルウェー政府は8月のノルウェー議会の電子メールシステムへのサイバー攻撃はロシアによるものだとする声明を出していますね。。。

・2020.08.22 米国上院の情報委員会が2016年大統領選におけるロシアの影響を調べた報告書(第5巻)を公開していますね。。。

・2020.07.17 英国政府はロシアが2019年の総選挙に違法に取得した政府文書を通じて妨害しようとしたと結論付けた

・2020.06.03 米国 国家安全保障局 (NSA) がEximの脆弱性を悪用するロシアのAPTグループ「Sandworm」に関する警告を公表

・2020.03.26 FBI - FBI Takes Down a Russian-Based Hacker Platform; Arrests Suspected Russian Site Administrator

・2020.04.08 削除できないマルウェア xHelper の仕組みがわかった?

・2020.01.25 通信関連会社元社員 機密情報不正取得で逮捕 ロシアに提供か」

 

| | Comments (0)

2024.09.05

米国 FBI 巧妙なソーシャルエンジニアリング攻撃で暗号産業を標的にする北朝鮮 (2024.09.03)

こんにちは、丸山満彦です。

FBI、IC3が一般向けに北朝鮮によるソーシャルエンジニアリング攻撃をつかった暗号資産の窃取についての注意喚起を行っていますね...

ターゲットを決めて、個別化したメール等を使い、何度もやりとりをしながら信頼を得て...

ということで、大口顧客には、本気で取り組んできているようですね...

暗号資産をたくさんお持ちの方は、気をつけてくださいませ...

 

 Internet Crime Complaint Center; IC3

Alert Number: I-090324-PSA

20240905-154100

・2024.09.03 North Korea Aggressively Targeting Crypto Industry with Well-Disguised Social Engineering Attacks

North Korea Aggressively Targeting Crypto Industry with Well-Disguised Social Engineering Attacks 巧妙なソーシャルエンジニアリング攻撃で暗号産業を標的にする北朝鮮
The Democratic People's Republic of Korea ("DPRK" aka North Korea) is conducting highly tailored, difficult-to-detect social engineering campaigns against employees of decentralized finance ("DeFi"), cryptocurrency, and similar businesses to deploy malware and steal company cryptocurrency. 朝鮮民主主義人民共和国(「DPRK」、通称北朝鮮)は、分散型金融(「DeFi」)、暗号通貨、および類似の事業に従事する従業員を標的に、高度にカスタマイズされた検知が困難なソーシャルエンジニアリングキャンペーンを実施し、マルウェアを展開して企業の暗号通貨を盗んでいる。
North Korean social engineering schemes are complex and elaborate, often compromising victims with sophisticated technical acumen. Given the scale and persistence of this malicious activity, even those well versed in cybersecurity practices can be vulnerable to North Korea's determination to compromise networks connected to cryptocurrency assets. 北朝鮮のソーシャルエンジニアリングの手法は複雑かつ巧妙で、高度な技術的洞察力を駆使して被害者を陥れることが多い。この悪質な活動の規模と持続性を考えると、サイバーセキュリティの実践に精通している人でも、暗号資産に接続されたネットワークを侵害しようとする北朝鮮の決意に対して脆弱性がある可能性がある。
North Korean malicious cyber actors conducted research on a variety of targets connected to cryptocurrency exchange-traded funds (ETFs) over the last several months. This research included pre-operational preparations suggesting North Korean actors may attempt malicious cyber activities against companies associated with cryptocurrency ETFs or other cryptocurrency-related financial products. 北朝鮮の悪意あるサイバー犯罪者は、過去数か月にわたり、暗号通貨上場投資信託(ETF)に関連するさまざまなターゲットについて調査を行っていた。この調査には、北朝鮮の行為者が暗号通貨ETFやその他の暗号通貨関連金融商品に関連する企業に対して悪意のあるサイバー活動を試みる可能性を示唆する、事前活動準備が含まれていた。
For companies active in or associated with the cryptocurrency sector, the FBI emphasizes North Korea employs sophisticated tactics to steal cryptocurrency funds and is a persistent threat to organizations with access to large quantities of cryptocurrency-related assets or products. 暗号通貨部門で活動している、または関連している企業に対して、FBIは、北朝鮮が高度な戦術を用いて暗号通貨資金を盗み、大量の暗号通貨関連資産または製品にアクセスできる組織に対して持続的な脅威となっていることを強調している。
This announcement includes an overview of the social engineering tactics North Korean state-sponsored actors use against victims working in DeFi, cryptocurrency, and related industries; potential indicators of North Korean social engineering activity; mitigation measures for those most at risk; and steps to take if you or your company may have been victimized. この発表では、北朝鮮の国家支援を受けた攻撃者が、DeFi、暗号通貨、および関連業界で働く被害者に対して使用するソーシャルエンジニアリング戦術の概要、北朝鮮のソーシャルエンジニアリング活動の潜在的な兆候、最もリスクの高い人向けの低減策、そして、ご自身またはご所属の企業が被害に遭った可能性がある場合の対応手順が含まれている。
North Korean Social Engineering Tactics 北朝鮮のソーシャルエンジニアリング戦術
Extensive Pre-Operational Research 広範な事前調査
Teams of North Korean malicious cyber actors identify specific DeFi or cryptocurrency-related businesses to target and attempt to socially engineer dozens of these companies' employees to gain unauthorized access to the company's network. Before initiating contact, the actors scout prospective victims by reviewing social media activity, particularly on professional networking or employment-related platforms. 北朝鮮の悪意あるサイバー犯罪者グループは、標的とする特定の DeFi または暗号通貨関連企業を識別し、その企業のネットワークに不正アクセスするために、それらの企業の従業員数十名に対してソーシャルエンジニアリングを試みる。接触を開始する前に、犯罪者グループは、特にプロフェッショナルネットワークや雇用関連のプラットフォーム上のソーシャルメディアのアクティビティを調査し、潜在的な被害者を偵察する。
Individualized Fake Scenarios 個別化された偽のシナリオ
North Korean malicious cyber actors incorporate personal details regarding an intended victim’s background, skills, employment, or business interests to craft customized fictional scenarios designed to be uniquely appealing to the targeted person. 北朝鮮の悪意あるサイバー犯罪者は、標的となる人物の経歴、スキル、雇用、またはビジネス上の関心など、個人に関する詳細情報を盛り込み、標的となる人物に特別に魅力的に思えるようカスタマイズされた架空のシナリオを作成する。
North Korean fake scenarios often include offers of new employment or corporate investment. The actors may reference personal information, interests, affiliations, events, personal relationships, professional connections, or details a victim may believe are known to few others. 北朝鮮の偽装シナリオには、新しい雇用や企業投資のオファーが含まれることが多い。犯罪者は、個人情報、関心事、所属、イベント、個人的な関係、職業上のつながり、または被害者が「他のほとんどの人は知らないだろう」と考えるような詳細情報を参照することがある。
The actors usually attempt to initiate prolonged conversations with prospective victims to build rapport and deliver malware in situations that may appear natural and non-alerting. If successful in establishing bidirectional contact, the initial actor, or another member of the actor’s team, may spend considerable time engaging with the victim to increase the sense of legitimacy and engender familiarity and trust. 攻撃者は通常、見込みのある被害者と長時間にわたる会話を試み、信頼関係を築き、自然で警戒心を抱かせない状況でマルウェアを配信しようとする。双方向の接触に成功した場合、最初の攻撃者、または攻撃者のチームの別のメンバーは、被害者とかなりの時間を費やして、正当性を高め、親近感と信頼感を醸成する可能性がある。
The actors usually communicate with victims in fluent or nearly fluent English and are well versed in the technical aspects of the cryptocurrency field. 攻撃者は通常、流暢な、またはほぼ流暢な英語で被害者とコミュニケーションを図り、暗号通貨分野の技術的側面にも精通している。
Impersonations なりすまし
North Korean malicious cyber actors routinely impersonate a range of individuals, including contacts a victim may know personally or indirectly. Impersonations can involve general recruiters on professional networking websites, or prominent people associated with certain technologies. 北朝鮮の悪意あるサイバー犯罪者は、被害者が個人的に、または間接的に知っている可能性のある人物を含む、さまざまな個人になりすますことを常としている。なりすましには、専門職向けネットワーキングサイト上の一般的なリクルーターや、特定のテクノロジーに関連する著名人が含まれる場合がある。
To increase the credibility of their impersonations, the actors leverage realistic imagery, including pictures stolen from open social media profiles of the impersonated individual. These actors may also use fake images of time sensitive events to induce immediate action from intended victims. なりすましの信憑性を高めるため、犯罪者は、なりすまし対象者の公開されているソーシャルメディアプロフィールから盗んだ写真など、現実味のある画像を活用している。また、犯罪者は、緊急性のある出来事の偽の画像を使用して、標的となる被害者に即時の行動を促す場合もある。
The actors may also impersonate recruiting firms or technology companies backed by professional websites designed to make the fake entities appear legitimate. Examples of fake North Korean websites can be found in affidavits to seize 17 North Korean domains, as announced by the Department of Justice in October 2023. また、偽装事業体を本物らしく見せるために作られた専門ウェブサイトを背景に、採用企業やテクノロジー企業を装うこともある。北朝鮮の偽装ウェブサイトの例は、2023年10月に司法省が発表した北朝鮮の17のドメインの差し押さえに関する宣誓供述書で見ることができる。
Indicators 兆候
The FBI has observed the following list of potential indicators of North Korean social engineering activity: FBIは、北朝鮮によるソーシャルエンジニアリング活動の兆候として、以下の可能性を指摘している。
・Requests to execute code or download applications on company-owned devices or other devices with access to a company’s internal network. ・企業所有のデバイスや、企業の内部ネットワークにアクセスできるその他のデバイス上で、コードの実行やアプリケーションのダウンロードを要求する。
・Requests to conduct a "pre-employment test" or debugging exercise that involves executing non-standard or unknown Node.js packages, PyPI packages, scripts, or GitHub repositories. ・標準外または未知の Node.js パッケージ、PyPI パッケージ、スクリプト、GitHub リポジトリの実行を伴う「採用前のテスト」やデバッグ作業を要求する。
・Offers of employment from prominent cryptocurrency or technology firms that are unexpected or involve unrealistically high compensation without negotiation. ・著名な暗号通貨企業やテクノロジー企業から、予期せぬ、または交渉なしに非現実的な高額報酬を伴う雇用オファーを受ける。
・Offers of investment from prominent companies or individuals that are unsolicited or have not been proposed or discussed previously. ・著名な企業または個人からの投資の申し出で、依頼していないもの、または以前に提案または協議されていないもの。
・Insistence on using non-standard or custom software to complete simple tasks easily achievable through the use of common applications (i.e. video conferencing or connecting to a server). ・一般的なアプリケーション(ビデオ会議やサーバーへの接続など)を使用すれば簡単に達成できる簡単なタスクを、標準外またはカスタムのソフトウェアを使用して完了させようとする。
・Requests to run a script to enable call or video teleconference functionalities supposedly blocked due to a victim's location. ・被害者の所在地によりブロックされていると思われる通話またはビデオ電話の機能を有効にするためにスクリプトを実行するよう要求する。
・Requests to move professional conversations to other messaging platforms or applications. ・専門的な会話は他のメッセージングプラットフォームまたはアプリケーションに移動するよう要求する。
・Unsolicited contacts that contain unexpected links or attachments. ・予期せぬリンクや添付ファイルを含む、望ましくない連絡。
Mitigations リスクの低減
To lower the risk from North Korea’s advanced and dynamic social engineering capabilities, the FBI recommends the following best practices for you or your company: 北朝鮮の高度でダイナミックなソーシャルエンジニアリング能力によるリスクを低減するために、FBIは、個人または企業に対して、以下のベストプラクティスを推奨している。
・Develop your own unique methods to verify a contact's identity using separate unconnected communication platforms. For example, if an initial contact is via a professional networking or employment website, confirm the contact's request via a live video call on a different messaging application ・連絡者の身元を確認するために、関連性のない別のコミュニケーションプラットフォームを使用する独自の方法を開発する。例えば、最初の連絡がビジネスネットワークや就職情報サイト経由であった場合、別のメッセージングアプリケーションでライブビデオ通話を使用して連絡者の要求を確認する
・Do not store information about cryptocurrency wallets — logins, passwords, wallet IDs, seed phrases, private keys, etc. — on Internet-connected devices. ・インターネットに接続されたデバイスに、暗号通貨のウォレットに関する情報(ログイン、パスワード、ウォレットID、シードフレーズ、プライベートキーなど)を保存しない。
・Avoid taking pre-employment tests or executing code on company owned laptops or devices. If a pre-employment test requires code execution, insist on using a virtual machine on a non-company connected device, or on a device provided by the tester. ・入社前のテストや、会社所有のラップトップやデバイスでのコード実行は避ける。入社前のテストでコード実行が必要な場合は、会社に接続されていないデバイス上、またはテスト担当者から提供されたデバイス上で仮想マシンを使用するように要求する。
・Require multiple factors of authentication and approvals from several different unconnected networks prior to any movement of your company's financial assets. Regularly rotate and perform security checks on devices and networks involved in this authentication and approval process. ・会社の金融資産を移動させる前に、複数の異なる非接続ネットワークからの認証と承認を必要とする。この認証と承認プロセスに関わるデバイスとネットワークの定期的なローテーションとセキュリティチェックを行う。
・Limit access to sensitive network documentation, business or product development pipelines, and company code repositories. ・機密性の高いネットワーク文書、事業や製品開発のパイプライン、および企業コードのリポジトリへのアクセスを制限する。
・Funnel business communications to closed platforms and require authentication — ideally in person — before adding anyone to the internal platform. Regularly reauthenticate employees not seen in person. ・社内プラットフォームに誰かを追加する前に、ビジネスコミュニケーションをクローズドなプラットフォームに集約し、理想的には直接対面して認証を行う。直接対面できない従業員については、定期的に再認証を行う。
・For companies with access to large quantities of cryptocurrency, the FBI recommends blocking devices connected to the company’s network from downloading or executing files except specific whitelisted programs and disabling email attachments by default. ・大量の暗号通貨にアクセスする企業に対しては、FBIは、ホワイトリストに記載された特定のプログラムを除き、企業のネットワークに接続されたデバイスによるファイルのダウンロードや実行をブロックし、デフォルトで電子メールの添付ファイルを無効にすることを推奨している。
Response 対応
If you suspect you or your company have been impacted by a social engineering campaign similar to those discussed in this announcement, or by any potential North Korea-related incident, the FBI recommends the following actions: この発表で取り上げたようなソーシャルエンジニアリングキャンペーン、または北朝鮮に関連する可能性のあるインシデントの影響を受けた可能性がある場合、FBIは以下の対応を推奨している。
・Disconnect the impacted device or devices from the Internet immediately. Leave impacted devices powered on to avoid the possibility of losing access to recoverable malware artifacts. ・影響を受けたデバイスを直ちにインターネットから切断する。影響を受けたデバイスは電源を入れたままにしておき、回復可能なマルウェアの痕跡へのアクセスを失う可能性を回避する。
・File a detailed complaint through the FBI Internet Crime Complaint Center (IC3) at www.ic3.gov. ・FBIのインターネット犯罪苦情センター(IC3)www.ic3.govに詳細な苦情を提出する。
・Provide law enforcement as many details as you can regarding the incident, including screenshots of communications with the malicious cyber actors. If possible, take screenshots of (or otherwise save) identifiers, usernames, online accounts, and any other details about the actors involved. ・悪意のあるサイバー犯罪者とのコミュニケーションのスクリーンショットを含め、インシデントに関する詳細をできるだけ多く法執行機関に提供する。可能であれば、識別子、ユーザー名、オンラインアカウント、および関係者のその他の詳細をスクリーンショット(または保存)する。
・Discuss options for incident response and forensic examination of impacted devices with law enforcement. In some situations, law enforcement may recommend taking advantage of private incident response companies. ・インシデント対応および感染したデバイスのフォレンジック調査のオプションについて、法執行機関と話し合う。状況によっては、法執行機関が民間のインシデント対応企業の利用を推奨する場合がある。
・Share your experience with colleagues, if appropriate, to raise awareness and broaden the public's understanding of the significant malicious cyber threat emanating from North Korea. ・必要に応じて、同僚と経験を共有し、北朝鮮から発信される重要な悪意のあるサイバー脅威に対する認識を高め、一般の人々の理解を広める。
For related information and additional details on North Korea's malicious cyber activity, see FBI press releases from September 2023August 2023, and January 2023, as well as Joint Cybersecurity Advisories released in June 2023 and April 2022
.
北朝鮮の悪意のあるサイバー活動に関する関連情報および追加の詳細については、2023年9月、2023年8月、2023年1月のFBIプレスリリース、および2023年6月と2022年4月に発表された共同サイバーセキュリティ勧告を参照のこと。

 

 

| | Comments (0)

米国 ホワイトハウス 国家サイバー長官室 インターネットルーティング・セキュリティ強化に向けたロードマップを発表 (2024.09.03)

こんにちは、丸山満彦です。

米国ホワイトハウスの国家サイバー長官室 (White House Office of the National Cyber Director; ONCD) がインターネットルーティングのセキュリティ強化に向けたロードマップを発表していますね...

インターネットを経済発展と国家安全保障にとって不可欠なものであると国家が位置付けているのが米国ですね...もちろん、中国もそうだろうし、英国や欧州もそうだろう...

 

● U.S. White House - ONCD

プレス...

・2024.09.03 Press Release: White House Office of the National Cyber Director Releases Roadmap to Enhance Internet Routing Security

Press Release: White House Office of the National Cyber Director Releases Roadmap to Enhance Internet Routing Security プレスリリース:ホワイトハウスの国家サイバー長官室がインターネットルーティング・セキュリティ強化に向けたロードマップを発表
By addressing vulnerabilities in the Border Gateway Protocol, ONCD is taking on a hard problem that has long-threatened the security of internet traffic ONCDは、インターネットトラフィックのセキュリティを長年脅かしてきた難題に挑むため、ボーダーゲートウェイプロトコル(BGP)の脆弱性に対処する
Today, the White House Office of the National Cyber Director (ONCD) released a Roadmap to Enhancing Internet Routing Security, which aims to address a key security vulnerability associated with the Border Gateway Protocol (BGP) – the protocol that underpins the way information is routed across networks. 本日、ホワイトハウスの国家サイバー長官室(ONCD)は、「インターネットルーティング・セキュリティ強化へのロードマップ」を発表した。このロードマップは、ネットワーク上での情報のルーティング方法を支えるプロトコルであるボーダーゲートウェイプロトコル(BGP)に関連する主要なセキュリティ脆弱性に対処することを目的としている。
By addressing BGP, ONCD is taking on a hard problem that has long threatened the security of internet traffic. Given today’s cyber threat landscape, ONCD continues to underscore that a secure and open internet is critical to the economic prosperity and national security of the United States. BGPへの対応により、ONCDはインターネットトラフィックのセキュリティを長年脅かしてきた難題に挑んでいる。今日のサイバー脅威の状況を踏まえ、ONCDは、安全でオープンなインターネットが米国の経済繁栄と国家安全保障にとって不可欠であることを引き続き強調している。
ONCD’s Implementation Plan of the National Cybersecurity Strategy serves as a blueprint for championing security in the digital ecosystem. The roadmap released today advocates for the adoption of Resource Public Key Infrastructure (RPKI) as a mature, ready-to-implement approach to mitigate vulnerabilities in BGP. This includes recommended actions applicable to all network types, i.e., all network service providers and entities that operate enterprise networks or hold their own IP address resources. These recommendations are of particular importance to the networks used by critical infrastructure owners and operators, state and local governments, and any organization dependent on internet access for purposes that the entity considers to be of high value. ONCDの国家サイバーセキュリティ戦略実施計画は、デジタルエコシステムにおけるセキュリティ強化の青写真となる。本日発表されたロードマップでは、BGPの脆弱性を低減するための成熟した実装可能なアプローチとして、リソース公開鍵基盤(RPKI)の採用を推奨している。これには、すべてのネットワークタイプ、すなわち、すべてのネットワークサービスプロバイダやエンタープライズネットワークを運用する事業体、または独自のIPアドレスリソースを保有する事業体に適用可能な推奨行動が含まれている。これらの推奨事項は、重要インフラの所有者および運営者、州および地方自治体、および事業体が重要と考える目的でインターネットアクセスに依存するあらゆる組織が使用するネットワークにとって特に重要である。
By the end of the year, it is expected that over 60% of the Federal government’s advertised IP space will be covered by Registration Service Agreements (RSA), paving the way to establish Route Origin Authorizations (ROA) for Federal networks.  今年末までに、連邦政府が公表したIP空間の60%以上が登録サービス契約(RSA)によってカバーされ、連邦ネットワークのルートオリジン認可(ROA)の確立への道筋が整うことが期待されている。
To meet this goal, ONCD led an effort to develop a Federal RSA template Addendum that Federal agencies are encouraged to use to facilitate their adoption of RPKI. The provisions in this template addendum are supported by Federal laws and principles that necessitated modifications to the requirements in the standard RSA. A Federal RPKI Playbook was also developed by the National Oceanic and Atmospheric Administration to support the process of executing the RSA and establishing ROAs on Federal networks . この目標を達成するために、ONCDは連邦政府機関がRPKIの採用を促進するために使用することが推奨される連邦政府RSAテンプレート補遺の開発を主導した。このテンプレート補遺の規定は、標準RSAの要件に修正を加える必要があった連邦法および原則によってサポートされている。連邦政府RPKIプレイブックも、連邦政府ネットワークにおけるRSAの実行およびROAの確立プロセスをサポートするために、米国海洋大気庁によって開発された。
In addition to releasing the report, ONCD is today acting on one of the key recommendations in the roadmap by establishing a public-private stakeholder working group. ONCD is co-chairing the Internet Routing Security Working Group, alongside the Cybersecurity and Infrastructure Security Agency and the Communications and Information Technology Sector Coordinating Councils, to develop resources and materials to collectively advance these objectives. This working group will develop a framework for network operators to assess risk and prioritize IP address resources and critical route originations (such as those for government use and critical infrastructure operations) for the application of routing security controls such as ROAs and Route Origin Validation.   報告書の発表に加え、ONCDは本日、ロードマップにおける主要な推奨事項の1つである官民の利害関係者による作業グループの確立に取り組んでいる。ONCDは、サイバーセキュリティ・インフラセキュリティ庁およびコミュニケーション・情報技術セクター調整協議会とともに、インターネットルーティングセキュリティ作業グループの共同議長を務め、これらの目標を総合的に推進するためのリソースや材料の開発に取り組んでいる。この作業部会は、ネットワーク事業者がROAやルートオリジンバリデーションなどのルーティングセキュリティ制御を適用するために、リスクアセスメントを行い、IPアドレスリソースやクリティカルルートオリジン(政府利用や重要インフラ運用など)の優先順位付けを行うための枠組みを開発する。
“Internet security is too important to ignore which is why the Federal government is leading by example by pushing for a rapid increase in adoption of BGP security measures by our agencies,” said White House National Cyber Director Harry Coker, Jr. “ONCD, along with our public and private sector partners, are guiding a risk-informed path forward towards our communal objective. We aim for this roadmap to mitigate a longstanding vulnerability and lead to a more secure internet that is vital to our national security and the economic prosperity of all Americans.” ホワイトハウスの国家サイバー長官であるハリー・コーカー・ジュニア氏は次のように述べた。「インターネットセキュリティはあまりにも重要であり、無視することはできない。だからこそ、連邦政府は率先して、政府機関によるBGPセキュリティ対策の採用を急速に増やすよう推進している。ONCDは、官民のパートナーとともに、リスクを考慮した上で、私たちの共通の目標に向かって前進する道筋を示している。私たちは、このロードマップによって長年の脆弱性を低減し、国家の安全保障と全米民の経済繁栄に不可欠な、より安全なインターネットを実現することを目指している。」
“Securing BGP is essential to safeguarding the integrity of our digital infrastructure. Through strong partnerships–both with industry and with government agencies–we can enhance the resilience of our internet routing, ensuring a secure and reliable internet for our nation,” said CISA Director Jen Easterly. “This roadmap is a good step forward in achieving that goal. We’re excited to co-lead the collaborative effort in the Internet Routing Security Working Group and look forward to developing meaningful resources.”  CISAのジェン・イースタリー(Jen Easterly)長官は次のように述べた。「BGPのセキュリティ確保は、デジタルインフラの完全性を保護するために不可欠である。業界および政府機関との強力なパートナーシップを通じて、インターネットルーティングのレジリエンスを高め、我が国にとって安全で信頼性の高いインターネットを確保することができる。このロードマップは、その目標を達成するための前進となるだろう。インターネットルーティングセキュリティワーキンググループにおける協調的な取り組みを共同で主導できることを嬉しく思う。また、有意義なリソースの開発を楽しみにしている。」
“We must work together to improve internet routing security, and the ONCD’s roadmap sets a path for collaboration and progress, ” said Chairwoman Rosenworcel. “The FCC recently proposed having broadband providers report to us on their efforts to address BGP security, and the roadmap both complements and advances our work towards this goal.” ローゼンウォルセル委員長は次のように述べた。「インターネットルーティングのセキュリティを改善するには、協力し合う必要があり、ONCDのロードマップは協力と進歩への道筋を示している。FCCは最近、ブロードバンドプロバイダがBGPセキュリティへの取り組みについて報告することを提案しましたが、このロードマップは、この目標に向けた我々の取り組みを補完し、さらに前進させるものである。」
“NIST has a long history of working collaboratively with industry to design, measure, and standardize technologies that make internet protocols more resilient and secure,” said NIST Director Laurie E. Locascio. “This roadmap establishes a clear plan of action to expedite the adoption of current, commercially viable BGP security technologies while highlighting the need for further research and development of additional solutions.” NISTのローリー・E・ロカシオ長官は次のように述べた。「NISTは、インターネットプロトコルのレジリエンシーとセキュリティを高める技術の設計、測定、標準化において、業界と協力しながら取り組んできた長い歴史がある。このロードマップは、現在、商業的に実現可能なBGPセキュリティ技術の採用を促進するための明確な行動計画を策定するとともに、さらなる研究と追加ソリューションの開発の必要性を強調している。」
“Internet routing security is a vital part of network security that, when overlooked, can lead to loss of service, theft of data, and other malicious attacks,” said Assistant Secretary of Commerce for Communications and Information and NTIA Administrator Alan Davidson. “ONCD’s roadmap is an important step towards helping the entire Internet ecosystem protect users from these threats.” 商務省通信情報担当次官補であり、NTIA(全米技術革新庁)長官のアラン・デビッドソン氏は次のように述べた。「インターネットルーティングのセキュリティは、ネットワークセキュリティの重要な一部であり、見過ごされると、サービス停止やデータの盗難、その他の悪意のある攻撃につながる可能性がある。ONCDのロードマップは、インターネットエコシステム全体がこうした脅威からユーザーを防御する上で重要な一歩となるだろう。」
“The roadmap reflects a deep understanding of the complex Internet ecosystem landscape,” said Robert Mayer, Sr. Vice President, Cybersecurity & Innovation, USTelecom and Chair of the Communications Sector Coordinating Council. “It’s sensible and prudent approach calls for a collaborative industry and government effort to develop an informed, risk-based strategy. We look forward to working with our government partners to make meaningful progress to address this critical issue.” 米国電気通信(USTelecom)のサイバーセキュリティ・イノベーション担当シニア・バイスプレジデントであり、コミュニケーション部門調整協議会の議長を務めるロバート・メイヤー氏は次のように述べた。「このロードマップは、複雑なインターネット生態系の現状に対する深い理解を反映している。この賢明かつ慎重なアプローチは、情報に基づくリスクベースの戦略を策定するための業界と政府の協調努力を必要としている。この重要な問題に対処するための有意義な進展を実現するために、政府パートナーと協力できることを楽しみにしている。」
“Securing internet routing has been a long-term effort.  It is a difficult one because it takes a lot of different players all taking action to be useful,” said Ari Schwartz, Coordinator of the Center for Cybersecurity Policy and Law. “The Roadmap is showing us how to get secure routing done and starting up the collective action efforts needed to get us to the finish line.” サイバーセキュリティ政策・法律センターのコーディネーターであるアリ・シュワルツz氏は次のように述べた。「インターネットルーティングのセキュリティ確保は長期的な取り組みである。多くの異なる関係者が一斉に行動を起こさなければ意味がないため、これは難しい取り組みである。ロードマップは、安全なルーティングを実現する方法を示しており、ゴールに到達するために必要な集団的行動の取り組みを立ち上げている。」
BGP is one of the foundational protocols that enables over 70 thousand independent networks to operate as what is known as the internet. Internet traffic is routed between networks using BGP to announce what destinations can be reached through those networks. BGP is used by many different types of networks ranging from cloud providers, Internet Service Providers, universities, energy companies, and federal, state, and local governments. BGP binds together the modern internet. BGPは、7万を超える独立したネットワークがインターネットとして機能することを可能にする基盤プロトコルの1つである。インターネットトラフィックは、BGPを使用してネットワーク間でルーティングされ、それらのネットワークを通じて到達可能な宛先が通知される。BGPは、クラウドプロバイダ、インターネットサービスプロバイダ、大学、エネルギー企業、連邦政府、州政府、地方自治体など、さまざまなタイプのネットワークで使用されている。BGPは現代のインターネットを結びつけている。
Like too many technologies developed in the early days of the internet, BGP was not built with the security needed for today’s digital ecosystem. Internet traffic can be inadvertently or purposely diverted, which may expose personal information; enable theft, extortion, and state-level espionage; disrupt security-critical transactions; and disrupt critical infrastructure operations. The potential for widespread disruption to internet infrastructure, whether carried out accidentally or maliciously, is a national security concern.  インターネットの初期に開発された多くの技術と同様に、BGPは今日のデジタルエコシステムに必要なセキュリティを考慮して構築されたものではない。インターネットトラフィックは、意図せず、あるいは意図的に転送される可能性があり、それにより個人情報が漏洩したり、窃盗、恐喝、国家レベルのスパイ行為が可能になったり、セキュリティ上重要な取引が中断されたり、重要なインフラの運用が中断されたりする可能性がある。インターネットインフラに広範囲にわたる混乱が生じる可能性は、それが偶発的であるか悪意のある行為であるかを問わず、国家の安全保障上の懸念事項である。
ONCD is encouraging every network operator use a risk-based approach to address BGP vulnerabilities. ONCD worked with Federal partners, industry stakeholders, and subject-matter experts to consider the complexities of the internet routing ecosystem, map longstanding barriers to improving security, and recommend incentives to overcome those barriers. The roadmap provides 18 recommended actions as a result of this collaborative undertaking. ONCDは、すべてのネットワークオペレータがBGPの脆弱性に対処するためにリスクベースのアプローチを採用するよう奨励している。ONCDは、連邦政府のパートナー、業界関係者、および専門家と協力し、インターネットルーティングエコシステムの複雑性を考慮し、セキュリティ改善を阻む長年の障壁をマッピングし、それらの障壁を克服するためのインセンティブを推奨した。このロードマップは、この共同作業の結果として18の推奨行動を提示している。
You can review the Roadmap to Enhancing Internet Routing Security here, the Federal RSA Template Addendum here, and an accompanying fact sheet here. インターネットルーティングセキュリティ強化ロードマップは、こちらから、連邦政府RSAテンプレート補遺は、こちらから、また、添付のファクトシートは、こちらから閲覧できる。

 

ファクトシート

・2024.09.03 Fact Sheet: Biden-Harris Administration Releases Roadmap to Enhance Internet Routing Security

Fact Sheet: Biden-⁠Harris Administration Releases Roadmap to Enhance Internet Routing Security ファクトシート:バイデン-ハリス政権、インターネットルーティングセキュリティ強化に向けたロードマップを発表
Today, the White House Office of the National Cyber Director (ONCD) released a Roadmap to Enhancing Internet Routing Security, which aims to address a key security vulnerability associated with the Border Gateway Protocol (BGP) – the protocol that underpins the way information is routed across networks. In addition to releasing the report, ONCD, in coordination with the Cybersecurity and Infrastructure Security Agency, is establishing a public-private stakeholder working group to develop resources and materials to collectively advance the report’s recommendations. 本日、ホワイトハウスの国家サイバー長官室(ONCD)は、「インターネットルーティングセキュリティ強化に向けたロードマップ」を発表した。このロードマップは、ネットワーク上で情報をルーティングする方法の基盤となるプロトコルであるボーダーゲートウェイプロトコル(BGP)に関連する主要なセキュリティ脆弱性に対処することを目的としている。この報告書の発表に加え、ONCDはサイバーセキュリティ・インフラセキュリティ庁と連携し、報告書の提言を推進するためのリソースや資料を開発する官民合同のステークホルダー作業部会を設立する。
BGP’s original design properties do not adequately address the threat to and resilience requirements of today’s internet ecosystem. As a result, traffic can be inadvertently or purposely diverted, which may expose personal information; enable theft, extortion, and state-level espionage; disrupt security-critical transactions; and disrupt critical infrastructure operations. The potential for widespread disruption of internet infrastructure, whether carried out accidentally or maliciously, is a national security concern.   BGPの当初の設計特性は、今日のインターネットエコシステムに対する脅威やレジリエンシー要件に適切に対応していない。その結果、意図せず、あるいは意図的にトラフィックが転換され、個人情報が漏洩したり、窃盗、恐喝、国家レベルのスパイ行為が可能になったり、セキュリティ上重要な取引が中断されたり、重要なインフラストラクチャの運用が中断されたりする可能性がある。インターネットインフラストラクチャの広範囲にわたる中断の可能性は、それが偶発的であるか悪意のある行為であるかを問わず、国家安全保障上の懸念事項である。 
While there is no single solution to address all internet routing vulnerabilities, the roadmap advocates for the adoption of Resource Public Key Infrastructure (RPKI) as a mature, ready-to-implement approach to mitigate BGP’s vulnerabilities. RPKI consists of two primary components: Route Origin Authorizations (ROA) and Route Origin Validation (ROV). A ROA is a digitally-signed certificate that a network is authorized to announce a specific block of internet space (i.e., IP addresses). ROV is the process by which BGP routers use ROA data to filter BGP announcements flagged as invalid. Importantly, ROV can help protect an organization’s internet address resources only if that organization has created ROAs. インターネットルーティングの脆弱性すべてに対処する単一のソリューションは存在しないが、ロードマップでは、BGPの脆弱性を低減するための成熟した、すぐに導入可能なアプローチとして、リソース公開鍵基盤(RPKI)の採用を提唱している。RPKIは主に2つのコンポーネントで構成される。ルート・オリジン認証(ROA)とルート・オリジン検証(ROV)である。ROAは、ネットワークがインターネット空間(すなわちIPアドレス)の特定のブロックをアナウンスする権限をデジタル署名付きの証明書で認可するものである。ROVは、BGPルーターがROAデータを使用して無効とマークされたBGPアナウンスをフィルタリングするプロセスである。重要なのは、ROVは組織がROAを作成した場合にのみ、その組織のインターネットアドレスリソースを防御できるということである。
Pursuant to the President’s National Cybersecurity Strategy Implementation Plan, ONCD collaborated with Federal Government partners, industry stakeholders, and subject-matter experts to consider the complexities of the internet routing ecosystem, map longstanding barriers to improving security, and recommend incentives to overcome those barriers. Their inputs informed the 18 recommended actions highlighted in the roadmap, which are separated by network type 大統領の国家サイバーセキュリティ戦略実施計画に従い、ONCDは連邦政府のパートナー、業界関係者、および専門家と協力し、インターネットルーティングエコシステムの複雑性について検討し、セキュリティ改善の障害となっている長年の問題を洗い出し、それらの障害を克服するためのインセンティブを提案した。これらの意見は、ロードマップで強調されている18の推奨される行動に反映されている。これらの行動はネットワークの種類別に分類されている。
Baseline Actions for All Network Operators すべてのネットワーク事業者向けの基本対策
The recommended actions below apply to all network types, meaning all network service providers and entities that operate enterprise networks or hold their own IP address resources.  These recommendations are of particular importance to the networks used by critical infrastructure; state, local, Tribal, and territorial governments; and any organization dependent on internet access for purposes that the entity considers to be of high value. 以下の推奨対策は、すべてのネットワークタイプに適用される。つまり、すべてのネットワークサービスプロバイダ、およびエンタープライズネットワークを運用する事業体、または独自のIPアドレスリソースを保有する事業体に適用される。これらの推奨事項は、重要なインフラストラクチャ、州政府、地方自治体、部族政府、および領土政府、および事業体が重要とみなす目的でインターネットアクセスに依存するあらゆる組織が使用するネットワークにとって特に重要である。
1. Risk-Based Planning. Every network operator should develop, maintain, and periodically update a cybersecurity risk management plan. To inform both near- and long-term plans to implement BGP security measures, all network operatorsshould explicitly address the security and resilience of internet routing in their organization’s cybersecurity risk assessment, cybersecurity risk management analysis, and operational plans and procedures. 1. リスクに基づく計画:すべてのネットワーク運用者は、サイバーセキュリティリスクマネジメント計画を策定、維持し、定期的に更新すべきである。BGPセキュリティ対策を実施するための短期および長期計画を策定するために、すべてのネットワーク運用者は、組織のサイバーセキュリティリスクアセスメント、サイバーセキュリティリスクマネジメント分析、運用計画および手順において、インターネットルーティングのセキュリティとレジリエンスを明確に扱うべきである。
2. ROA Publication. All network operators and entities holding IP address resources should create and publish ROAs in the public RPKI repository hosted by, or delegated from, the appropriate Regional Internet Registry (RIR). Operators should use their risk-based cybersecurity risk management plan to prioritize the publication of ROAs for address prefixes they assess as high-value or high-risk first. 2. ROAの公開:すべてのネットワーク事業者およびIPアドレスリソースを保有する事業体は、適切な地域インターネットレジストリ(RIR)がホストする、または委任された公開RPKIリポジトリでROAを作成し、公開すべきである。事業者は、リスクベースのサイバーセキュリティリスクマネジメント計画を使用して、価値が高い、またはリスクが高いと評価したアドレスプレフィックスのROA公開を優先すべきである。
3. Contracting Requirements. Network operators using contractedexternal services (e.g., IP transit services, infrastructure services, cloud and content services) should include explicit requirements in future service contracts for their providers to validate BGP-enabled routes. 3. 契約要件:外部サービス(IPトランジットサービス、インフラサービス、クラウドおよびコンテンツサービスなど)を利用するネットワーク運用者は、プロバイダがBGP対応ルートを検証するための明確な要件を、今後のサービス契約に盛り込むべきである。
4. Monitoring. Network operatorsshould monitor the status of their ROA data, routing security threats, outages, and disruptions and assess the quality of their internet routing services. Such monitoring can be done in-house or contracted through commercial monitoring services. 4. 監視:ネットワーク運用者は、ROAデータの状況、ルーティングセキュリティの脅威、停止、中断を監視し、インターネットルーティングサービスの品質をアセスメントすべきである。このような監視は、社内で行うことも、商業的な監視サービスに委託することも可能である。
Additional Actions for Network Service Providers ネットワークサービスプロバイダのための追加措置
In addition to the baseline recommendations above, network service providers are uniquely positioned to enhance routing security for the broader ecosystem. These actions include: 上記の基本的な推奨事項に加えて、ネットワークサービスプロバイダは、より広範なエコシステムにおけるルーティングセキュリティを強化する上で、独自の立場にある。これらの措置には以下が含まれる。
1. ROV Deployment. Network service providers should deploy ROV filtering for their customers or arrange for upstream providers to do so. Large and small providers alike bear responsibility for ROV filtering, and larger providers are encouraged to implement ROV on behalf of smaller client networks. 1. ROVの展開:ネットワークサービスプロバイダは、顧客に対してROVフィルタリングを展開するか、上位プロバイダに展開を依頼すべきである。規模の大小に関わらず、すべてのプロバイダはROVフィルタリングの責任を負うべきであり、規模の大きいプロバイダは、小規模な顧客ネットワークに代わってROVを実装することが推奨される。
2. Facilitate Customer ROA Creation. Network service providers that allocate address space to customers should provide tools and guidance to enable their clients to create ROAs, for example through the network service provider’s service portals. Network service providers should provide guidance to their customers encouraging their enrollment in RIR RPKI services. Network service providers should consider providing or creating services to support customers willing to delegate ROA creation to their service providers. 2. 顧客によるROA作成の促進:顧客にアドレス空間を割り当てるネットワークサービスプロバイダは、顧客がROAを作成できるように、例えばネットワークサービスプロバイダのサービスポータルを通じて、ツールやガイダンスを提供すべきである。ネットワークサービスプロバイダは、顧客がRIRのRPKIサービスに登録するようガイダンスを提供すべきである。ネットワークサービスプロバイダは、ROAの作成をサービスプロバイダに委任することを希望する顧客をサポートするサービスを提供または作成することを検討すべきである。
3. Routing Security Practices Disclosure. Network service providers should disclose their actions to implement routing security on their networks. Providers should establish a standardized means and format for disclosure of security practices. 3. ルーティングセキュリティ実施状況の開示:ネットワークサービスプロバイダは、自社のネットワーク上でルーティングセキュリティを実施するための行動を開示すべきである。プロバイダは、セキュリティ対策の開示のための標準化された手段とフォーマットを確立すべきである。
Actions for Federal Government and Communications and Information Technology Sector Stakeholder Collaboration 連邦政府およびコミュニケーションおよびITセクターの利害関係者との連携に向けた行動
The Federal Government is working collaboratively with communications and IT sector stakeholders to take specific actions to improve internet routing security. The Cybersecurity and Infrastructure Security Agency (CISA), as the Sector Risk Management Agency for the Communications and IT critical infrastructure sectors, in coordination with ONCD and in collaboration with the Communications and IT Sector Coordinating Councils, is establishing a joint working group under the auspices of the Critical Infrastructure Partnership Advisory Council to develop resources and materials to advance ROA and ROV implementation and internet routing security. The working group will consider: 連邦政府は、インターネットルーティングセキュリティの改善に向けた具体的な行動を取るため、コミュニケーションおよびITセクターの関係者と協力している。 サイバーセキュリティ・インフラセキュリティ庁(CISA)は、コミュニケーションおよびITの重要インフラセクターのセクターリスクマネジメント機関として、ONCDと連携し、コミュニケーションおよびITセクター調整協議会と協力しながら、重要インフラパートナーシップ諮問協議会の支援の下、ROAおよびROVの実施とインターネットルーティングセキュリティの推進に向けたリソースおよび資料を開発するための合同作業部会を設置している。作業部会では、以下の事項を検討する。
1. Risk Criteria and Prioritization Framework Development. The working group will develop criteria and a framework for network operators to assess risk and prioritize IP address resources and critical route originations (such as government use, critical infrastructure operations, etc.) for the application of routing security efforts to include ROA and ROV. Additionally, the working group will determine meaningful measures of progress, and create a standardized set of templates for network service providers to disclose routing security practices. 1. リスク規準と優先順位付けフレームワークの開発:作業部会では、ネットワークオペレータがROAとROVを含むルーティングセキュリティ対策を適用するにあたり、リスクをアセスメントし、IPアドレスリソースとクリティカルルートオリジン(政府利用、クリティカルインフラ運用など)の優先順位付けを行うための規準とフレームワークを開発する。さらに、作業部会では、進捗状況を適切に評価する尺度を決定し、ネットワークサービスプロバイダがルーティングセキュリティ対策を開示するための標準テンプレート一式を作成する。
2. Network Service Provider Playbook for Customers. The working group will develop a playbook, informed by diverse industry perspectives and parts of the internet service ecosystem, that outlines steps for customers to establish ROAs. 2. ネットワークサービスプロバイダによる顧客向けプレイブック:作業部会は、インターネットサービスエコシステムの一部である多様な業界の視点から得た情報を基に、顧客がROAを確立するための手順を概説したプレイブックを作成する。
3. Additional Activities and Progress Updates. The working group will stay informed of updates within the community and deliver a periodic update to the Federal Government that addresses priority issue areas. 3. その他の活動と進捗状況の更新:作業部会は、コミュニティ内の最新情報を把握し、優先課題領域を取り上げた定期的な更新情報を連邦政府に提供する。
Policy Actions Specific to the Federal Government 連邦政府に特化した政策措置
U. S. Federal departments and agencies should implement routing security on their networks, incorporate routing security in procurement requirements, engage in outreach with critical stakeholder communities, assess data from outages caused by routing incidents, promote and incentivize routing security best practices, provide training, reduce barriers to routing security, and monitor threats to routing security. 米国連邦政府の省庁および機関は、自らのネットワークにルーティングセキュリティを導入し、調達要件にルーティングセキュリティを組み込み、重要な利害関係者コミュニティとの連携を図り、ルーティングインシデントによるサービス停止からデータをアセスメントし、ルーティングセキュリティのベストプラクティスを推進し、奨励し、トレーニングを提供し、ルーティングセキュリティの障壁を低減し、ルーティングセキュリティに対する脅威を監視すべきである。
1. Guidance to the Federal Enterprise. The Office of Management and Budget (OMB) should establish guidance for Federal departments and agencies to implement ROAs in a timely manner, aligned with agency risk assessments. 1. 連邦政府エンタープライズへのガイダンス: 行政管理予算局(OMB)は、各政府機関のリスクアセスメントと整合性を保ちつつ、連邦政府の各部門および機関がROAを適時に実施するためのガイダンスを策定すべきである。
2. Contracting Requirements. OMB, working through the Federal Acquisition Regulatory Council and in coordination with the General Services Administration, should require the Federal Government’s contracted service providers to adopt and deploy current commercially-viable internet routing security technologies, and perform ROV filtering on the contracted services connecting to the internet.   2. 契約要件:OMBは連邦調達規制協議会と連携し、一般調達局と調整しながら、連邦政府の契約サービスプロバイダに、現在商業的に利用可能なインターネットルーティングセキュリティ技術を採用し展開すること、およびインターネットに接続する契約サービスに対してROVフィルタリングを実施することを義務付けるべきである。 
3. Federal Grant Guidance. Federal agencies providing grant funding to build critical infrastructure that includes internet-connected systems or technologies, especially broadband networks, should require that grant recipients incorporate routing security measures into their projects. 3. 連邦助成金に関する指針:インターネットに接続されたシステムや技術、特にブロードバンドネットワークを含む重要なインフラの構築に助成金を支給する連邦機関は、助成金の取得者に、そのプロジェクトにルーティングセキュリティ対策を組み込むことを義務付けるべきである。
4. Metrics and Progress Reporting. OMB should establish a reporting mechanism for measuring Federal agency adoption of ROA, monitoring progress, and conducting analytics, where appropriate. The effort should leverage existing data sources and tools provided by academic and third-party partners. 4. 指標および進捗の報告:OMBは、連邦機関によるROAの採用状況を測定し、進捗状況を監視し、必要に応じて分析を行うための報告メカニズムを確立すべきである。この取り組みでは、学術機関やサードパーティのパートナーが提供する既存のデータソースやツールを活用すべきである。
5. Standards and Technology Development. The National Institute for Standards and Technology (NIST) should continue to lead and coordinate USG efforts to research, standardize, and foster commercialization of BGP security and resilience mechanisms to address the remaining BGP vulnerabilities, including malicious BGP path manipulations, route leak mitigation, and peering authentication. NIST should also continue to develop monitoring and measurement tools to assess the progress and correctness of the global deployment of these additional mechanisms. 5. 標準および技術の開発:国立標準技術研究所(NIST)は、悪意のあるBGPパス操作、ルートリークの低減、ピアリング認証など、残存するBGPの脆弱性に対処するためのBGPセキュリティおよびレジリエンスのメカニズムの研究、標準化、商業化の促進に向けた政府の取り組みを主導し、調整を継続すべきである。また、NISTは、これらの追加メカニズムの世界的な展開の進捗状況と正確性をアセスメントするためのモニタリングおよび測定ツールの開発も継続すべきである。
6. Outreach and Education. CISA, through its public-private engagement efforts, should conduct an outreach campaign to increase U.S.-based enterprise network owners’ awareness of the benefits of ROA and ROV. CISA should continue to enhance network defenders’ tactical understanding of normal routing behavior, routing anomalies, and route-specific risks that impact network security policy. 6. 啓発活動と教育:CISAは、官民連携の取り組みを通じて、米国を拠点とするエンタープライズネットワークの所有者のROAとROVのメリットに対する認識を高めるための啓蒙キャンペーンを実施すべきである。CISAは、ネットワークセキュリティポリシーに影響を与える通常のルーティング動作、ルーティングの異常、ルート固有のリスクについて、ネットワーク防御者の戦術的理解を深めるための取り組みを継続すべきである。
7. International Engagement. The Department of State, in coordination with appropriate agencies, should highlight internet routing security efforts and best practices in engagements with international partners to increase awareness of the benefits of the adoption of internet routing security measures. 7. 国際的な取り組み:国務省は、適切な政府機関と連携し、インターネットルーティングセキュリティ対策の採用による利益に対する認識を高めるため、国際的なパートナーとの取り組みにおいて、インターネットルーティングセキュリティの取り組みとベストプラクティスを強調すべきである。
8. Research and Development. Research-funding agencies should continue to fund the development of internet routing-focused measurement, monitoring, and alerting technology to facilitate U.S. and global internet routing security deployment efforts.  Funding should support government entities, academic institutions, and independent subject matter experts equipped to measure progress, develop solutions, and inform future innovation. Continued investment should also address the next generation of threats and solutions. 8. 研究開発:研究助成機構は、米国および世界のインターネットルーティングセキュリティの展開努力を促進するために、インターネットルーティングに重点を置いた測定、モニタリング、および警告技術の開発への資金提供を継続すべきである。資金は、進捗状況の測定、ソリューションの開発、および将来のイノベーションの通知を行う能力を備えた政府事業体、学術機関、および独立した専門家を支援すべきである。また、次世代の脅威とソリューションに対処するための継続的な投資も必要である。

 

報告書

・[PDF]

20240905-94008

・[DOCX][PDF] 仮訳

 

 

| | Comments (0)

2024.09.02

米国 NSA "No Such Agency"による"No Such Podcast" が2024.09.05から始まります(毎週 6回シリーズ)

こんにちは、丸山満彦です。

国家安全保障局 (NSA) [wikipedia]は米国の情報機関の中でも通信の諜報活動 (SIGINT) を主に担当している国防総省の管轄下の部門ですね。。。1952年に設立されたようですが、国家機密を取り扱う省庁なので、あまりその活動が知られてこなかったということもあって?(映画ではよく登場しますが...)、機密指定解除された情報によるポッドキャストでその業務内容を理解してもらおうとしているようです。。。

ちなみに、中央情報局 (CIA) [wikipedia]はHUMINTを中心にしている情報機関で大統領直轄の機関です...

というNSAが、2024.09.05から毎週、10月中旬まで6回シリーズでポッドキャストをするようです。第1回目はウサマ・ビンラディンを逮捕するための米国政府の努力に対するNSAのSIGINTの貢献についての内容ですね...

 

NSA

1_20240902094101

プレス...

・2024.08.29 NSA to Launch ‘No Such Podcast,’ Pulling Back Curtain on Mission, Culture, People

 

 

 

PodCastはこちらで...

NSA.gov/Podcast

 

 

 

 

| | Comments (0)

2024.08.31

米国 GAO 環境保護庁は上下水道システムに対するサイバーセキュリティリスクに対処するための戦略を早急に立案すべき (2024.08.01)

こんにちは、丸山満彦です。

米国のGAOが環境保護庁は追う下水道システムに対するサイバーセキュリティリスクに対処するための戦略を早急に立案すべきという報告書を公表していました...

上下水道両方で検討していますね...

 

U.S. Government Accountability Office; GAO

・2024.08.01 Critical Infrastructure Protection:EPA Urgently Needs a Strategy to Address Cybersecurity Risks to Water and Wastewater Systems

 

Critical Infrastructure Protection:EPA Urgently Needs a Strategy to Address Cybersecurity Risks to Water and Wastewater Systems 重要インフラ防御: EPAは上下水道システムに対するサイバーセキュリティリスクに対処するための戦略を早急に必要としている
GAO-24-106744 GAO-24-106744
Fast Facts ファスト・ファクト
A cyberattack on U.S. drinking and wastewater systems could, for example, produce drinking water with unsafe levels of bacteria or chemicals. Nations, cybercriminals, and others have targeted some of the nearly 170,000 U.S. water systems, which are increasingly automated. 米国の上下水道システムに対するサイバー攻撃は、例えば、安全基準を超える細菌や化学物質を含む飲料水を作り出す可能性がある。 各国、サイバー犯罪者、その他の者たちは、自動化が進む米国の約17万の上下水道システムのいくつかを標的にしている。
EPA leads water cybersecurity efforts. It has worked with the water sector to improve cybersecurity. However, EPA hasn't identified and prioritized the greatest risks sector-wide. It also relies on water systems to voluntarily agree to improve cybersecurity. EPAは水のサイバーセキュリティ対策を主導している。EPAは水関連部門と協力してサイバーセキュリティの改善に取り組んできた。しかし、EPAは部門全体で最大のリスクを識別し、優先順位付けをしていない。また、サイバーセキュリティの改善を自主的に行うよう水関連システムに依存している。
We recommended that EPA develop a national cybersecurity strategy, assess whether it needs more authority, and more. 我々は、EPAが国家サイバーセキュリティ戦略を策定し、より強力な権限が必要かどうかをアセスメントするなど、さらなる対策を講じることを勧告した。
Cyberattacks on Water and Wastewater Systems Can Have Consequences for Public Health and the Environment 上下水道システムへのサイバー攻撃は、公衆衛生や環境に影響を及ぼす可能性がある
Highlights ハイライト
What GAO Found GAOが発見したこと
The water sector faces increasing cybersecurity-related risk. While national reporting requirements for cyber incidents are being developed, known incidents have disrupted water sector operations. Nations (including Iran and China), cybercriminals, and others have targeted water systems. For example, foreign hackers targeted multiple water systems in late 2023. Cyberattacks threaten public health, the environment, and other critical infrastructure sectors. 水関連部門は、サイバーセキュリティ関連のリスクが増大している。サイバーインシデントに関する国家的な報告要件が策定されている一方で、既知のインシデントが水関連部門の業務を混乱させている。イランや中国を含む国家、サイバー犯罪者、その他の者が、水システムを標的にしている。例えば、2023年後半には、外国のハッカーが複数の水システムを標的にした。サイバー攻撃は、公衆衛生、環境、その他の重要なインフラ部門を脅かす。
Water and Wastewater Systems' Vulnerability to Cyberattacks サイバー攻撃に対する水および廃水システムの脆弱性
1_20240830204401
Federal agencies and other entities have acted to improve water sector cybersecurity, but reported challenges such as workforce skills gaps and older technologies that are difficult to update with cybersecurity protections. Further, the sector has made limited investments in cybersecurity protections because water systems prioritize funding to meet regulatory requirements for clean and safe water, while improving cybersecurity is voluntary. In a May 2024 alert, the Environmental Protection Agency (EPA) said it planned to increase enforcement activities to ensure drinking water systems address cybersecurity threats. 連邦政府機関やその他の事業体は、水関連部門のサイバーセキュリティの改善に取り組んできたが、人材のスキルギャップや、サイバーセキュリティ保護の更新が難しい旧式の技術といった課題が報告されている。さらに、水関連部門は、清潔で安全な水に関する規制要件を満たすための資金調達を優先しているため、サイバーセキュリティ保護への投資は限定的である。2024年5月の警告で、環境保護庁(EPA)は、飲料水システムがサイバーセキュリティの脅威に対処することを確実にするために、執行活動を強化する計画であると述べた。
EPA has assessed aspects of cybersecurity risk but has not conducted a comprehensive sector-wide risk assessment or developed and used a risk-informed strategy to guide its actions. EPA is required by law, as well as National Security Memorandum 22 (NSM-22), to identify, assess, and prioritize water sector risk. EPA official said they have assessed threats, vulnerabilities, and consequences, but have not integrated this work in a comprehensive assessment. Without a risk assessment and strategy to guide its efforts, EPA has limited assurance its efforts address the highest risks. EPAはサイバーセキュリティリスクの側面を評価しているが、包括的なセクター全体のリスクアセスメントを実施したり、行動指針となるリスク情報を活用した戦略を策定・利用したりはしていない。EPAは、法律および国家安全保障覚書22(NSM-22)により、水セクターのリスクを識別、評価、優先順位付けすることが義務付けられている。EPA当局者は、脅威、脆弱性、影響を評価しているが、この作業を包括的なアセスメントに統合していないと述べた。リスクアセスメントと取り組みを導く戦略がなければ、EPAは取り組みが最も高いリスクに対処しているという確証が限定的になる。
EPA has faced challenges using its existing legal authority and voluntary approaches to manage cybersecurity risks but has not fully evaluated either approach. In March 2023, EPA interpreted existing legal requirements to include cybersecurity assessments at drinking water systems but withdrew the requirement 7 months later after facing legal challenges. Previous requirements and NSM-22 direct EPA to identify the authorities it needs to compel the sector to address risks. In July 2024, EPA officials said they had evaluated their authorities and would release the evaluation in 2025 with their risk assessment and strategy. Doing so and seeking additional authority as necessary can help EPA ensure the water sector is better prepared for any future cyberattacks. EPAは、サイバーセキュリティリスクを管理するために、既存の法的権限と自主的なアプローチを使用することに課題を抱えていたが、いずれのアプローチも十分に評価していない。2023年3月、EPAは既存の法的要件を解釈し、飲料水システムにおけるサイバーセキュリティアセスメントを含めることとしたが、法的課題に直面したため、7か月後にこの要件を撤回した。NSM-22以前の要件では、EPAは、リスクに対処するためにセクターに強制力を及ぼすために必要な権限を識別するよう指示されていた。2024年7月、EPA当局者は、権限を評価済みであり、2025年にリスクアセスメントと戦略とともに評価結果を公表する予定であると述べた。そうすることで、必要に応じて追加の権限を求めることにより、EPAは、水セクターが将来のサイバー攻撃に対してより万全の備えができるようにすることができる。
Why GAO Did This Study GAOがこの調査を実施した理由
Recent cyber incidents highlight the vulnerability of the 170,000 water and wastewater systems in the U.S. water sector. EPA is responsible for leading, coordinating, and supporting activities to reduce cybersecurity risk to the water sector. The agency works in partnership with the Department of Homeland Security's Cybersecurity and Infrastructure Security Agency (CISA) and other federal, state, and local entities. 最近のサイバーインシデントは、米国の水セクターにおける17万の上下水道システムの脆弱性を浮き彫りにしている。EPAは、水セクターのサイバーセキュリティリスクを低減するための活動を主導、調整、支援する責任を担っている。EPAは、国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁(CISA)やその他の連邦、州、地方の事業体と連携して業務を行っている。
GAO was asked to review cybersecurity threats facing the water sector and the federal government's efforts to address these threats. This report (1) describes cybersecurity risks and incidents; (2) examines actions by selected federal and nonfederal entities to improve cybersecurity; and (3) evaluates EPA's actions to address known risks. GAOは、水関連分野が直面するサイバーセキュリティの脅威と、それらの脅威に対処するための連邦政府の取り組みについて調査するよう要請された。本報告書では、(1) サイバーセキュリティのリスクとインシデントについて説明し、(2) サイバーセキュリティの改善に向けた連邦政府および非連邦政府事業体の取り組みを検証し、(3) 既知のリスクに対処するためのEPAの取り組みを評価している。
GAO analyzed documents from EPA, CISA, and other entities on cyber threats, threat actors, and sector efforts to reduce risk. GAO interviewed federal and nonfederal officials with relevant cybersecurity responsibilities. GAO also visited and interviewed officials from large and small systems selected to provide varying perspectives. GAOは、サイバー脅威、脅威行為者、リスク低減に向けた各分野の取り組みについて、EPA、CISA、その他の事業体から入手した文書を分析した。GAOは、サイバーセキュリティに関する責任を担う連邦および非連邦政府当局者へのインタビューを実施した。また、さまざまな視点を提供するために選定された大規模および小規模のシステムを訪問し、当局者へのインタビューも実施した。
Recommendations 勧告
GAO is making four recommendations, including that EPA assess sector risk; develop and implement a national cybersecurity strategy; and evaluate the sufficiency of its legal authorities to carry out its cybersecurity responsibilities and seek additional authority as necessary. EPA concurred with the recommendations and said it is taking action to complete them. GAOは、以下の4つの勧告を行っている。これには、EPAがセクターリスクをアセスメントすること、国家サイバーセキュリティ戦略を策定し実施すること、およびサイバーセキュリティ責任を遂行するための法的権限が十分であるかを評価し、必要に応じて追加の権限を求めることが含まれる。EPAは勧告に同意し、勧告を完了するための措置を講じていると述べた。
Recommendations for Executive Action 行政措置に関する勧告
Agency Affected 影響を受ける機関
Environmental Protection Agency 環境保護庁
Recommendation 勧告
The Administrator of EPA should, as required by law, conduct a water sector risk assessment, considering physical security and cybersecurity threats, vulnerabilities, and consequences. (Recommendation 1) EPA長官は、法律で義務付けられているとおり、物理的セキュリティおよびサイバーセキュリティの脅威、脆弱性、影響を考慮した水部門のリスクアセスメントを実施すべきである。(勧告1)
The Administrator of EPA should develop and implement a risk-informed cybersecurity strategy, in coordination with other federal and sector stakeholders, to guide its water sector cybersecurity programs. Such a strategy should include information from a risk assessment and should identify objectives, activities, and performance measures; roles, responsibilities, and coordination; and needed resources and investments. (Recommendation 2) EPA長官は、水関連のサイバーセキュリティプログラムを導くため、他の連邦およびセクターの利害関係者と連携し、リスク情報を活用したサイバーセキュリティ戦略を策定し、実施すべきである。このような戦略には、リスクアセスメントからの情報を含め、目的、活動、パフォーマンス指標、役割、責任、連携、必要なリソースおよび投資を識別すべきである。(勧告2)
The Administrator of EPA should evaluate its existing legal authorities for carrying out EPA's cybersecurity responsibilities and seek any needed enhancements to such authorities from the administration and Congress. (Recommendation 3) EPA長官は、EPAのサイバーセキュリティ責任を遂行するための現行の法的権限を評価し、そのような権限に必要な強化策を政権および議会に求めるべきである。(勧告3)
The Administrator of EPA should submit the Vulnerability Self-Assessment Tool (VSAT) for independent peer review and revise the tool as appropriate. (Recommendation 4) EPA長官は、独立したピアレビューのために脆弱性自己評価ツール(VSAT)を提出し、必要に応じてツールを修正すべきである。(勧告4)

 

 

・[PDF] Full Report

20240830-204809

・[DOCX][PDF] 仮訳

 

・[PDF] Highlights Page

20240830-204919

 


 

 

日本の場合、経済安全保障推進法の「基幹インフラ役務の安定的な提供の確保に関する制度」では、

水道分野の

(1)簡易水道事業以外の水道事業 (給水人口:100万人超)

(2)水道用水供給事業(1日最大給水量:50万㎥超)

が対象となっています。

事業者は、令和6年7月31日現在

(1)簡易水道事業以外の水道事業

札幌市(札幌市水道事業)
仙台市(仙台市水道事業)
さいたま市(さいたま市水道事業)
千葉県(千葉県水道事業)
東京都(東京都水道事業)
神奈川県(神奈川県水道事業)
横浜市(横浜市水道事業)
川崎市(川崎市水道事業)
名古屋市(名古屋市水道事業)
京都市(京都市水道事業)
大阪市(大阪市水道事業)
神戸市(神戸市水道事業)
広島市(広島市水道事業)
北九州市(北九州市水道事業)
福岡市(福岡市水道事業)

(2)水道用水供給事業

宮城県(仙南・仙塩広域水道用水供給事業)
埼玉県(埼玉県水道用水供給事業)
愛知県(愛知県水道用水供給事業)
沖縄県(沖縄県営水道用水供給事業)
北千葉広域水道企業団(北千葉広域水道用水供給事業)
神奈川県内広域水道企業団(神奈川県内広域水道用水供給事業)
大阪広域水道企業団(大阪広域水道企業団水道用水供給事業)
阪神水道企業団(阪神水道企業団用水供給事業)

となっていますね...

 

 

| | Comments (0)

2024.08.30

米国 CISA FBI DC3 米国組織へのランサムウェア攻撃を可能にするイランベースのサイバー行為者に関する勧告

こんにちは、丸山満彦です。

米国のCISA、FBI、国防総省サイバー犯罪センター(DC3)が、共同で、米国組織へのランサムウェア攻撃を可能にするイランベースのサイバー行為者に関する勧告を発表していますね...

一般には、Pioneer Kitten、UNC757、Parisite、Rubidium、Lemon Sandstormとして知られるサイバーアクターということのようです...

 

CISA

プレス...

・2024.08.28 CISA and Partners Release Advisory on Iran-based Cyber Actors Enabling Ransomware Attacks on US Organizations

CISA and Partners Release Advisory on Iran-based Cyber Actors Enabling Ransomware Attacks on US Organizations CISAとパートナー、米国組織へのランサムウェア攻撃を可能にするイランベースのサイバー行為者に関する勧告を発表
Today, CISA—in partnership with the Federal Bureau of Investigation (FBI) and the Department of Defense Cyber Crime Center (DC3)—released Iran-based Cyber Actors Enabling Ransomware Attacks on U.S. Organizations. This joint advisory warns of cyber actors, known in the private sector as Pioneer Kitten, UNC757, Parisite, Rubidium, and Lemon Sandstorm, targeting and exploiting U.S. and foreign organizations across multiple sectors in the U.S 本日、CISAは連邦捜査局(FBI)および国防省サイバー犯罪センター(DC3)と連携し、「米国組織へのランサムウェア攻撃を可能にするイランベースのサイバー行為者」を発表した。この共同勧告は、民間ではPioneer Kitten、UNC757、Parisite、Rubidium、Lemon Sandstormとして知られるサイバー行為者が、米国内の複数の部門にわたって米国内外の組織を標的にし、悪用していることを警告するものである。
FBI investigations conducted as recently as August 2024 assess that cyber actors like Pioneer Kitten are connected with the Government of Iran (GOI) and linked to an Iranian information technology (IT) company. Their malicious cyber operations are aimed at deploying ransomware attacks to obtain and develop network access. These operations aid malicious cyber actors in further collaborating with affiliate actors to continue deploying ransomware.  2024年8月に行われたFBIの調査では、Pioneer Kittenのようなサイバーアクターはイラン政府(GOI)と関係があり、イランの情報技術(IT)企業とつながっていると評価されている。彼らの悪意あるサイバー活動は、ランサムウェア攻撃を展開し、ネットワークへのアクセスを獲得・発展させることを目的としている。このような活動は、悪意のあるサイバー行為者がランサムウェアを展開し続けるために、関連する行為者とさらに協力することを支援している。
This advisory highlights similarities to a previous advisory, Iran-Based Threat Actor Exploits VPN Vulnerabilities published on Sept. 15, 2020, and provides known indicators of compromise (IOCs) and tactics, techniques, and procedures (TTPs) この勧告は、2020年9月15日に公表された以前の勧告「イランベースの脅威行為者がVPNの脆弱性を悪用する」との類似点を強調し、既知の侵害指標(IOC)および戦術、技術、手順(TTP)を提供している。
CISA and partners encourage critical infrastructure organizations to review and implement the mitigations provided in this joint advisory to reduce the likelihood and impact of ransomware incidents. For more information on Iranian state-sponsored threat actor activity, see CISA’s Iran Cyber Threat Overview and Advisories page CISAとパートナーは、重要インフラ組織がランサムウェアインシデントの可能性と影響を低減するために、この共同勧告で提供されている低減策を検討し、実施することを奨励する。イラン国家が支援する脅威行為者の活動の詳細については、CISAの「イラン・サイバー脅威の概要と勧告」のページを参照のこと。
See #StopRansomware along with the updated #StopRansomware Guide for additional guidance on ransomware protection, detection, and response. Visit CISA’s Cross-Sector Cybersecurity Performance Goals for more information on the CPGs, including additional recommended baseline protections. ランサムウェアの防御、検知、対応に関する追加ガイダンスについては、更新された#StopRansomware Guideとともに#StopRansomwareを参照のこと。CISAの「Cross-Sector Cybersecurity Performance Goals」には、推奨される基本的防御の追加など、CPGの詳細が掲載されている。

 

 

・2024.08.28 Iran-based Cyber Actors Enabling Ransomware Attacks on US Organizations

Iran-based Cyber Actors Enabling Ransomware Attacks on US Organizations 米国の組織に対するランサムウェア攻撃を可能にするイランベースのサイバー行為者
Alert Code AA24-241A アラートコード AA24-241A
Summary 概要
The Federal Bureau of Investigation (FBI), Cybersecurity and Infrastructure Security Agency (CISA), and the Department of Defense Cyber Crime Center (DC3) are releasing this joint Cybersecurity Advisory (CSA) to warn network defenders that, as of August 2024, a group of Iran-based cyber actors continues to exploit U.S. and foreign organizations. This includes organizations across several sectors in the U.S. (including in the education, finance, healthcare, and defense sectors as well as local government entities) and other countries (including in Israel, Azerbaijan, and the United Arab Emirates). The FBI assesses a significant percentage of these threat actors’ operations against US organizations are intended to obtain and develop network access to then collaborate with ransomware affiliate actors to deploy ransomware. The FBI further assesses these Iran-based cyber actors are associated with the Government of Iran (GOI) and—separate from the ransomware activity—conduct computer network exploitation activity in support of the GOI (such as intrusions enabling the theft of sensitive technical data against organizations in Israel and Azerbaijan). 連邦捜査局(FBI)、サイバーセキュリティ・インフラセキュリティ庁(CISA)、および国防総省サイバー犯罪センター(DC3)は、2024年8月現在、イランを拠点とするサイバー行為者グループが米国内外の組織を悪用し続けていることをネットワーク防御者に警告するため、この共同サイバーセキュリティ勧告(CSA)を発表する。これには、米国(教育、金融、医療、防衛の各セクターや地方政府事業体など)および他国(イスラエル、アゼルバイジャン、アラブ首長国連邦など)の複数のセクターの組織が含まれる。FBIは、米国の組織に対するこれらの脅威行為者の活動のかなりの割合が、ランサムウェア関連行為者と協力してランサムウェアを展開するために、ネットワークへのアクセスを取得し、開発することを目的としているとアセスメントしている。FBI はさらに、これらのイランを拠点とするサイバー行為者はイラン政府(GOI)と関連しており、ランサムウェアの活動とは別に、GOI を支援するためのコンピュータ・ネットワークの搾取活動(イスラエルやアゼルバイジャンの組織に対する機密技術データの窃取を可能にする侵入など)を行っているとアセスメントしている。
This CSA provides the threat actor’s tactics, techniques, and procedures (TTPs) and indicators of compromise (IOCs), as well as highlights similar activity from a previous advisory (Iran-Based Threat Actor Exploits VPN Vulnerabilities) that the FBI and CISA published on Sept. 15, 2020. The information and guidance in this advisory are derived from FBI investigative activity and technical analysis of this group’s intrusion activity against U.S. organizations and engagements with numerous entities impacted by this malicious activity. 本 CSA は、脅威行為者の戦術、技術、手順(TTPs)、および侵害の指標(IOCs)をプロバイダとして提供するとともに、FBI と CISA が 2020 年 9 月 15 日に発表した前回の勧告(Iran-Based Threat Actor Exploits VPN Vulnerabilities)から同様の活動をハイライトしている。この勧告に記載されている情報とガイダンスは、米国組織に対するこのグループの侵入活動に関するFBIの調査活動と技術分析、およびこの悪質な活動によって影響を受けた多数の事業体との関わりから得られたものである。
The FBI recommends all organizations follow guidance provided in the Mitigations section of this advisory to defend against the Iranian cyber actors’ activity. FBI は、すべての組織がイランのサイバー行為者の活動から防御するために、本勧告の「低減」のセクションに記載されているガイダンスに従うことを推奨する。
If organizations believe they have been targeted or compromised by the Iranian cyber actors, the FBI and CISA recommend immediately contacting your local FBI field office for assistance and/or reporting the incident via CISA’s Incident Reporting Form (see the Reporting section of this advisory for more details and contact methods). 組織がイランのサイバー行為者に標的とされた、または侵害されたと思われる場合、FBIおよびCISAは、直ちに最寄りのFBI支部に連絡して支援を求めるか、CISAのインシデント報告フォーム(詳細および連絡方法については、本勧告の「報告」のセクションを参照)を通じてインシデントを報告することを推奨する。
For more information on Iran state-sponsored malicious cyber activity, see CISA’s Iran Cyber Threat webpage. イラン国家が支援する悪質なサイバー活動の詳細については、CISAの「イランのサイバー脅威」ウェブページを参照のこと。

 

・[PDF]

20240829-124446

 


 

 

| | Comments (0)

2024.08.29

内閣官房 サイバー安全保障分野での対応能力の向上に向けた有識者会議 これまでの議論の整理 (2024.08.07)

こんにちは、丸山満彦です。

仕掛かりのまま放置していたのですが、月が変わる前にと思い、とりあえず...

 

気になった点

Ⅰ.官民連携の強化

0 対応能力向上のための官民連携の必要性

  • ・インシデントの報告窓口の一本化やフォーマットの統一すべき
  • ・数の上で90%以上を占める中小企業の対策は絶対的に必要

1 高度な攻撃に対する支援・情報提供

  • ・情報共有が最も重要
  • ・被害企業から情報を報告してもらうには、インセンティブの設計が大事
  • ・政府が情報を受け取るだけでなく、率先して情報を示していくべき
  • ・アナリスト向けの技術情報に加え、経営層が判断を下す際に必要な国際情勢、地政学といった視点からの情報も共有すべき
  • ・攻撃者の手法に関する具体的情報の提供も必要
  • ・仮想通貨の移動を分析することも有効
  • ・情報提供はNISCのもとに官民の協議会を置く体制
  • ・緊急性の高い情報発信はワンボイスで行うべき
  • ・ISAC間のノウハウ共有を政府が支援してはどうか
  • ・国内技術による自立性

2 ソフトウェア等の脆弱性対応

  • ・約3万件の脆弱性が報告されているが、攻撃に悪用されているのは1%未満。悪用されている脆弱性に優先的に手当てをすることが重要
  • ・官民が連携してゼロデイ脆弱性を早期認知・対処できるよう、システム開発やセキュリティ監視等を担うベンダとの連携を深めるべき
  • ・安全性のテスト基準などベンダの規律を設定し、セキュアな製品の提供や脆弱性情報の報告等を求めるべき
  • ・SBOMやセキュアバイデザイン・セキュアバイデフォルトを推進すべき
  • ・国内で悪用されている脆弱性情報を一元的に分かりやすく発信すべき

3 政府の情報提供・対処を支える制度

  • ・影響の大きさに応じたインシデント報告を義務化し、情報共有を促進すべきで
  • ・デジタルインフラと電力は特に重要なインフラとして扱うべき
  • ・報告された情報の利用目的を明確化し、情報の不用意な流出や、制裁目的での利用防止を規定すべき

 

Ⅱ.通信情報の利用

1 攻撃実態解明のための通信情報利用の必要性

  • ・通信情報を分析することにより、攻撃の実態を把握することが必要
  • ・日本独自の情報収集が必要
  • ・通信情報の利用が、安全保障目的のインテリジェンス活動の中核

2 通信情報の利用の範囲及び方式

  • ・外国が関係する通信について分析する必要が特にあ
  • ・メールの中身を逐一全て見るようなことは、サイバー防御では適当とは言えない行為
  • ・サイバー防御に必要な情報を取り出すため、機械的にデータを選別するとともに、検索条件等で絞っていくなどの工夫が必要

3 通信の秘密との関係

  • ・コミュニケーションの本質的な内容ではない通信情報も、憲法上の通信の秘密として適切に保護
  • ・法律により公共の福祉のために必要かつ合理的な制限を受けることが認められている
  • ・具体的な制度設計の各場面において、通信の秘密との関係を考慮しつつ丁寧な検討を行うべき
  • ・実体的な規律とそれを遵守するための組織・手続き的な仕組み作りが必要
  • ・独立機関は重要。各国の司法制度等との関係や日本の他法での類例を含め、検討していくべきではないか。

4 電気通信事業者の協力

  • ・電気通信事業者が直面し得る訴訟等のリスク及び通信ネットワーク運営に対する負担について、回避策を検討していくべき

5 国民の理解を得るための方策

  • ・独立機関の構成や業務の在り方が重要

 

Ⅲ.アクセス・無害化・

1 サイバー空間の特徴を踏まえた実効的な制度構築

  • ・従来の法執行システムと接合的で連続的な仕組みとして構想
  • ・無害化に当たっては、政治・外交等の手段も活用していく必要があることも踏まえると、行政的作用法で規律されるのが妥当
  • ・危害防止のための措置を即時執行として行うことを可能としている警察官職務執行法を参考とすべき

2 措置の実施主体

  • ・防衛省や自衛隊、警察等が保有する能力を活用すること、その能力を高度化することが重要

3 措置の対象

  • ・無害化措置の対象としては通信・電力などのインフラ等が優先順位が高い
  • ・サプライチェーンを構成する中小企業のレジリエンス強化
  • ・サプライチェーン全体のレジリエンス強化に向けて、ガイドラインの策定のみならず実行に必要なリソース支援、政府調達要件への採用等も検討すべき

4 アクセス・無害化措置と国際法との関係

  • ・具体的にどの行為が主権侵害に当たるか、確定することは困難。
  • ・緊急避難の方が違法性阻却事由として援用しやすいのではないか。

5 制度構築に当たっての留意点

  • ・比例原則を遵守し、必要な範囲で実施されるものであるべき
  • ・独立性を持った機関が事後監査を行うこととすべき
  • ・誤って無害か措置をした場合のセーフティーネットについての議論も必要

6 運用に当たっての留意点

  • ・中継ネットワークが所在する国との連携が重要
  • ・攻撃グループのアトリビューションが必要
  • ・公開情報のみの収集には限界
  • ・極めて高い専門性を有する専門家の協力が必要
  • ・サイバー対処の現場には、法律家等含めて各分野に精通した人材がいることが重要で

Ⅳ.横断的課題

1 サイバーセキュリティ戦略本部・NISC・関係省庁が連携した施策の推進

  • ・事案が発生したときに、司令塔として関連省庁に指示を出す組織だとすれば、有識者の関わり方、構成の在り方を検討すべき
  • ・地方公共団体についても、政府が横断的な指令塔としての役割を果たせるようにすべき

2 重要インフラ事業者等の対策強化

  • ・衛星測位関連システムの役割は増大している。

3 政府機関等の対策強化

  • 政府主導で高品質な国産セキュリティ製品、サービス供給の強化を支援すべき

4 サイバーセキュリティ人材の育成・確保

  • ・政府主導で人材定義の可視化を検討するとともに、必要な人数・規模についてもメッセージを示すべき
  • ・CISOを組織で重要視すべき
  • ・サイバーセキュリティを担う人材のインセンティブが重要
  • ・NISC等の政府機関との官民人材交流に関する枠組みを導入すべき

5 中小企業を含めた対策強化

  • ・中小企業の事業継続・セキュリティ対策の支援

6 その他の論点

政府の司令塔は、インテリジェンス能力を高め、技術・法律・外交等の多様な分野の専門家を官民から結集し、強力な情報収集・分析、対処調整の機能を有する組織とすべき

 

内閣官房 - サイバー安全保障分野での対応能力の向上に向けた有識者会議

・2024.08.07 [PDF] これまでの議論の整理(概要)

20240829-30831

 

・[PDF] これまでの議論の整理

20240829-30803

目次...

Ⅰ.官民連携の強化
0 対応能力向上のための官民連携の必要性
 ① 重要インフラ等への攻撃の高度化
 ② 重要インフラ等のデジタル化
 ③ 社会全体の強靱化の必要性

1 高度な攻撃に対する支援・情報提供
 ① 政府の役割について
 ② 提供されるべき情報について
 ③ 情報提供の方法について

2 ソフトウェア等の脆弱性対応
 ① ベンダの責務について
 ② 脆弱性情報等の提供について

3 政府の情報提供・対処を支える制度
 ① インシデント報告の義務化、情報共有を促進する仕組みについて
 ② インシデント報告の迅速化について
 ③ 報告された情報の取扱いについて

Ⅱ.通信情報の利用
1 攻撃実態解明のための通信情報利用の必要性
2 通信情報の利用の範囲及び方式
3 通信の秘密との関係
4 電気通信事業者の協力
5 国民の理解を得るための方策
別添 英国及びドイツにおける通信情報の利用と通信の秘密又は人権との関係

Ⅲ.アクセス・無害化
1 サイバー空間の特徴を踏まえた実効的な制度構築
2 措置の実施主体
3 措置の対象
4 アクセス・無害化措置と国際法との関係
5 制度構築に当たっての留意点
6 運用に当たっての留意点

Ⅳ.横断的課題
1 サイバーセキュリティ戦略本部・NISC・関係省庁が連携した施策の推進
2 重要インフラ事業者等の対策強化
3 政府機関等の対策強化
4 サイバーセキュリティ人材の育成・確保
5 中小企業を含めた対策強化
6 その他の論点

 


 

委員会での資料等...

2024.08.06 第3回 議事次第  
    資料1 サイバー安全保障分野での対応能力の向上に向けた有識者会議これまでの会議開催実績
    資料2-1 サイバー安全保障分野での対応能力の向上に向けた有識者会議これまでの議論の整理(案)(概要)
    資料2-2 サイバー安全保障分野での対応能力の向上に向けた有識者会議これまでの議論の整理(案)
    資料3 官民連携に関するテーマ別会合(第1回) 資料(令和6年7月3日)
    資料3-1 御議論いただきたい事項
    資料3-2 事務局資料
    資料3-3 参考資料
    資料3-4 議事要旨
    資料3-5 議論の概要
    資料4 官民連携に関するテーマ別会合(第2回) 資料(令和6年7月23日)
    資料4-1 これまでの議論の整理 素案 概要
    資料4-2 これまでの議論の整理(素案) 
    資料4-3 参考資料
    資料4-4 議事要旨
    資料4-5 議論の概要
    資料5 通信情報の利用に関するテーマ別会合(第1回) 資料(令和6年6月19日、20日)
    資料5-1 御議論いただきたい事項
    資料5-2 事務局資料
    資料5-3 能動的サイバー防御に関連する論点(⼟屋⼤洋)
    資料5-4 参考資料(サイバー攻撃の情勢とこれまでの政府の取組)
    資料5-5 英国調査権限法(Investigatory Powers Act:IPA2016)~調査権限法の構成・内容と調査権限をめぐる司法判断~ (田川義博)
    資料5-6 「通信の秘密」の日独比較(小西葉子)
    資料5-7 議事要旨
    資料5-8 議事の概要
    資料6 通信情報の利用に関するテーマ別会合(第2回) 資料(令和6年7月26日)
    資料6-1 先進主要国における通信情報利用の実施過程とその制限・監督
    資料6-2 これまでの議論の整理 素案 概要
    資料6-3 これまでの議論の整理(素案)
    資料6-4 議事要旨
    資料6-5 議事の概要
    資料7 アクセス・無害化措置に関するテーマ別会合(第1回) 資料(令和6年7月1日)
    資料7-1 御議論いただきたい事項
    資料7-2 事務局資料
    資料7-3 警察におけるこれまでの取組等(警察庁サイバー警察局)
    資料7-4 防衛省・自衛隊におけるこれまでの取組等(防衛省)
    資料7-5 アクセス・無害化措置と国際法の関係 -能動的サイバー防御(ACD)の国際法上の評価-(酒井啓亘)
    資料7-6 参考資料(サイバー攻撃の情勢)
    資料7-7 議事要旨
    資料7-8 議論の概要
    資料8 アクセス・無害化措置に関するテーマ別会合(第2回) 資料(令和6年7月24日)
    資料8-1 サイバー安全保障における政府に求められる役割(髙見澤將林)
    資料8-2 事務局資料
    資料8-3 これまでの議論の整理 素案 概要
    資料8-4 これまでの議論の整理(素案)
    資料8-5 議事要旨
    資料8-6 議論の概要 1
    議事要旨  
2024.07.08 第2回 議事次第  
    議事次第  
    資料1 サイバー安全保障分野での対応能力の向上に向けた有識者会議に対する経団連意見(日本経済団体連合会)
    資料2 伊藤 穰一
    資料3 ヒアリング資料(日本商工会議所)
    資料4 官民連携に関するテーマ別会合(第1回) 資料(令和6年7月3日)
    資料4-1 御議論いただきたい事項
    資料4-2 事務局資料
    資料4-3 参考資料
    資料5 通信情報の利用に関するテーマ別会合(第1回) 資料(令和6年6月19日、20日)
    資料5-1 御議論いただきたい事項
    資料5-2 事務局資料
    資料5-3 能動的サイバー防御に関連する論点(⼟屋⼤洋)
    資料5-4 参考資料(サイバー攻撃の情勢とこれまでの政府の取組)
    資料5-5 英国調査権限法(Investigatory Powers Act:IPA2016)~調査権限法の構成・内容と調査権限をめぐる司法判断~ (田川義博)
    資料5-6 「通信の秘密」の日独比較(小西葉子)
    資料6 アクセス・無害化措置に関するテーマ別会合(第1回) 資料(令和6年7月1日)
    資料6-1 御議論いただきたい事項
    資料6-2 事務局資料
    資料6-3 警察におけるこれまでの取組等(警察庁サイバー警察局)
    資料6-4 防衛省・自衛隊におけるこれまでの取組等(防衛省)
    資料6-5 アクセス・無害化措置と国際法の関係 -能動的サイバー防御(ACD)の国際法上の評価-(酒井啓亘)
    資料6-6 参考資料(サイバー攻撃の情勢)
    議事要旨  
2024.06.07 第1回 議事次第  
    資料1 サイバー安全保障分野での対応能力の向上に向けた有識者会議の開催について
    資料2 サイバー安全保障分野での対応能力の向上に向けた有識者会議運営要領
    資料3 サイバー安全保障分野での対応能力の向上に向けて
    議事要旨  
根拠・構成員    

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.06.10 内閣官房 サイバー安全保障分野での対応能力の向上に向けた有識者会議

 

 

| | Comments (0)

OXFORD JOURNAL of Cybersecurity 戦争においてサイバー作戦の有用性は限界的

こんにちは、丸山満彦です。

興味深い分析です。

戦争における攻撃的サイバー作戦の利用は、もはや机上の空論ではないものの、通常の戦闘において攻撃的サイバー作戦は

  • ・どのように利用され、
  • ・戦闘におけるその有用性とは何なのか?

というのは、まだよく検討されていない。ということで、

  • ・ウクライナ・ロシア紛争から得られた新たな実証的証拠を分析し、
  • ・攻撃的サイバー作戦を体系的に分析・理解するために構築された新しいTECIモデル(モデルの4つの構成変数:標的、影響、複雑性、統合)を活用し、

検討しています。

結論からいうと、「攻撃的なサイバー作戦が戦争において限定的な有用性しか持たない」ということのようです...

比較する対象が爆弾ですから、常識的に考えたら、そうでしょうね..爆弾で破壊しづらいのはなにか?というと、データでしょうから、その分野については、効果の面ではあるかも...ということでしょうね...

 

OXFORD - JOURNAL of Cybersecurity  - Volume 10, Issue 1 2024

Narrow windows of opportunity: the limited utility of cyber operations in war 

目次...

Abstract 要旨
Introduction 序文
Cyber conflict studies: from cyber war to cyber operations サイバー紛争研究:サイバー戦争からサイバー作戦へ
The TECI-model for understanding cyber operations in war 戦争におけるサイバー作戦を理解するためのTECIモデル
A systematic analysis of Russian cyber operations in Ukraine ウクライナにおけるロシアのサイバー作戦の体系的分析
Targets ターゲット
Effects 影響
Complexity 複雑性
Integration 統合
Four notable trends 4つの注目すべき傾向
Limited with exceptions: the utility of cyber operations in war 例外はあるが限定的:戦争におけるサイバー作戦の有用性
Strategic utility 戦略的有用性
Operational utility 作戦的有用性
Tactical utility 戦術的有用性
Conclusions 結論

 

 

Narrow windows of opportunity: the limited utility of cyber operations in war 狭い機会の窓:戦争におけるサイバー作戦の限定的な有用性
Abstract 要約
The use of offensive cyber operations in war is no longer theoretical conjecture. Still, as we witness their use, important questions remain. How are offensive cyber operations employed in conventional warfighting, and what is their utility for the warfighting? This article answers these questions by analyzing new empirical evidence from the Russo–Ukrainian War, drawing on the novel TECI-model built for systematically analyzing and understanding offensive cyber operations in war through the model’s four constituent variables: target, effect, complexity, and integration. The article finds the utility of cyber operations in war is limited owing to an unsuitability for physical destruction, high risks of failure, high costs of complex operations that are more likely to attain successful and destructive effects, and a dichotomy between the tempi of conventional and cyber operations leading to cross-domain integration difficulties. Still, two narrow windows for achieving utility exist. Cumulative strategic utility is achievable by targeting critical infrastructure and governments in a persistent barrage of less complex cyber operations. Operational and tactical utility is achievable in the beginning of warfighting where the temporal dichotomy is less pronounced because cross-domain integration can be planned before warfighting commences. Filling a gap in the literature, TECI provides a common and operationalized model for future research systematically analyzing cyber operations, allowing for comparisons on the evolving role of cyberspace in war. 戦争における攻撃的サイバー作戦の利用は、もはや机上の空論ではない。しかし、その利用を目撃する中で、依然として重要な疑問が残っている。通常戦闘において攻撃的サイバー作戦はどのように利用され、戦闘におけるその有用性とは何なのか? 本稿では、ウクライナ・ロシア紛争から得られた新たな実証的証拠を分析し、攻撃的サイバー作戦を体系的に分析・理解するために構築された新しいTECIモデル(モデルの4つの構成変数:標的、影響、複雑性、統合)を活用しながら、これらの疑問に答える。本記事では、物理的な破壊には不向きであること、失敗のリスクが高いこと、複雑な作戦には高いコストがかかること、成功と破壊的な効果を得る可能性が高いこと、そして、従来の作戦とサイバー作戦のテンポが異なることで、領域横断的な統合が困難になることなどから、戦争におけるサイバー作戦の有用性は限定的であると結論づけている。しかし、有用性を達成できる2つの狭いウィンドウが存在する。累積的な戦略的有用性は、複雑性の低いサイバー作戦を継続的に実施し、重要なインフラと政府を標的にすることで達成できる。戦闘作戦の初期においては、時間的な二分法がそれほど顕著ではないため、戦闘作戦開始前にクロスドメイン統合を計画することが可能であり、作戦上および戦術上の有用性を達成することができる。TECIは、サイバー作戦を系統的に分析し、戦争におけるサイバー空間の進化する役割の比較を可能にする、将来の研究のための共通かつ運用化されたモデルを提示することで、この分野における研究のギャップを埋める。
Introduction 序文
On 24 February 2022, Russia launched a full-scale invasion of Ukraine, prompting conventional warfighting in all three classical domains of the air, sea, and land [1]. A newer domain —cyberspace— also saw action. Already in the lead-up to the war, Russia conducted cyber operations targeting the Ukrainian government and critical infrastructure [2]. When conventional warfighting broke out, more cyber operations followed. Russia’s invasion of Ukraine is thus historic; it is one of the first conventional wars involving military operations in cyberspace [3]. Although cyber operations are clearly used, it is less clear what they mean for the warfighting. Are they useful or ineffectual? 2022年2月24日、ロシアはウクライナへの全面侵攻を開始し、空、海、陸の3つの古典的な領域すべてにおいて通常戦闘が開始された[1]。新しい領域であるサイバー空間でも活動が確認された。戦争に先立つ段階で、ロシアはすでにウクライナ政府と重要インフラを標的としたサイバー作戦を実施していた[2]。通常戦が勃発すると、さらに多くのサイバー作戦が続いた。 このように、ロシアによるウクライナ侵攻は歴史的なものであり、サイバー空間における軍事作戦を伴う初めての通常戦争のひとつである [3]。 サイバー作戦が明確に使用されているとはいえ、それが戦闘にどのような影響を与えるかは明確ではない。 それらは有用なのか、それとも無力なのか?
Cyber scholars have sought to answer this question for a long time. Many assumptions about the utility of cyber operations have been based on a few oft-cited incidents, however, due to a lack of data [4–6]. Despite this, scholars have made important contributions in recent years to the emerging field of cyber conflict studies and to our understanding of the utility of cyber operations in particular. Initially, the field was characterized by a broad discussion on the possible revolutionary potential of cyber war [7–12]. More recently, situating International Relations concepts in the context of the unique traits of cyberspace, scholars have moved toward a more detailed study of whether and how offensive cyber operations can produce strategic and operational effects in and outside the context of warfighting [5, 6, 13–21]. サイバー学者たちは長い間、この疑問の答えを模索してきた。しかし、サイバー作戦の有用性に関する多くの想定は、データ不足により、よく引用されるいくつかのインシデントに基づいていた [4-6]。 にもかかわらず、学者たちは近年、台頭しつつあるサイバー紛争研究の分野、特にサイバー作戦の有用性に対する我々の理解に重要な貢献をしてきた。当初、この分野はサイバー戦争の革命的な可能性について幅広い議論が行われていたのが特徴であった [7–12]。 さらに最近では、国際関係論の概念をサイバー空間の独特な特性を踏まえた文脈に位置づけ、攻撃的なサイバー作戦が戦時および戦時以外の状況において戦略的および戦術的な効果を生み出すことができるかどうか、また、その方法について、より詳細な研究が行われるようになってきた [5, 6, 13–21]。
Now, the Russo–Ukrainian War provides novel data allowing us to revisit debates in cyber conflict studies and assess some of the common assumptions. Several scholars have already studied the use of cyber operations in the war [22–32]. While these studies constitute important steps toward a more data-driven discussion of cyber operations, the field lacks a firm basis for comparing findings across different studies, which are often disparate in methodology. We make up for this by formulating a model capable of serving as the common basis for analyzing cyber operations in war. そして今、ロシア・ウクライナ戦争は、サイバー紛争研究における議論を再考し、一般的な想定の一部をアセスメントするための新たなデータを提供している。すでに複数の学者が、この戦争におけるサイバー作戦の利用について研究している [22-32]。これらの研究は、よりデータ主導のサイバー作戦の議論に向けた重要なステップであるが、この分野では、方法論がしばしば異なるさまざまな研究における調査結果を比較するための確固たる基盤が欠如している。この欠点を補うため、本稿では戦争におけるサイバー作戦を分析するための共通の基盤となり得るモデルを構築する。
Besides characterizing the utility of offensive cyber operations in warfighting based on a systematic analysis of data from the Russo–Ukrainian War, this article contributes to the literature by formulating the novel TECI-model named for its four variables of analysis: target, effect, complexity, and integration. The TECI-model is tailored to deliver insights on the utility of cyber operations in war and it serves as a common model for future research on the Russo–Ukrainian War and other conflicts, improving the field’s ability to compare and track the evolving use of cyber operations in war. 本稿では、ウクライナ・ロシア戦争のデータを系統的に分析した結果に基づいて、戦争における攻撃的サイバー作戦の有用性を特徴づけるだけでなく、分析の4つの変数(ターゲット、影響、複雑性、統合)にちなんで名付けられた新しいTECIモデルを構築することで、この分野の研究に貢献する。TECIモデルは、戦争におけるサイバー作戦の有用性に関する洞察を提供するように調整されており、ロシア・ウクライナ戦争やその他の紛争に関する今後の研究のための共通モデルとして役立つ。これにより、戦争におけるサイバー作戦の進化する利用状況を比較・追跡する能力が向上する。
Empirically, the article draws mainly on material published by the CyberPeace Institute (CPI) and Microsoft, including both their April and June 2022 reports (We acknowledge that the sources are not free from bias and compensate by cross-checking between multiple sources [33]. Microsoft has commercial interests in cybersecurity and supplies the Ukrainian government with services used to defend against Russian operations. CPI delivers services to Ukrainian NGOs. To strengthen the data’s credibility, this article disregards any value-based assessments of cyber events made by either Microsoft or CPI and uses only fact-based descriptions and technical analyses. These are then cross-checked when possible. The data consist of descriptions and technical analyses of cyber operations conducted in Ukrainian cyberspace by Russian state actors from January until December 2022 (The dataset will be made available upon request by contacting the authors). Using material from both sources serves as a control of their accuracy. The sources are cross-checked to find common trends that, thus constitute a more representative sample of operations in Ukrainian cyberspace. However, publicly available data most likely do not represent a full picture of Ukrainian cyberspace due to the fog of war. Different trends may emerge if more data were released, in which case further research should be conducted. 経験則として、この記事では主にサイバーピース研究所(CPI)とマイクロソフトが発表した資料を引用している。これには、2022年4月と6月の両方の報告書が含まれる(出典にはバイアスが含まれている可能性があることを認めているが、複数のソース間のクロスチェックにより補っている[33]。マイクロソフトはサイバーセキュリティに商業的利益を持っており、ウクライナ政府にロシアの作戦から防御するためのサービスを提供している。CPIはウクライナのNGOにサービスを提供している。データの信頼性を高めるため、本記事ではマイクロソフト社またはCPI社によるサイバーイベントの価値に基づくアセスメントは無視し、事実に基づく記述と技術的分析のみを使用する。 可能な場合は、これらの記述を相互に確認する。 データは、2022年1月から12月にかけてウクライナのサイバー空間でロシアの国家主体によって実施されたサイバー作戦の記述と技術的分析で構成されている(データセットは著者に問い合わせれば入手可能)。両方のソースからの資料を使用することで、その正確性を制御することができる。ソースを相互に確認することで、共通する傾向を見つけ出し、ウクライナのサイバー空間における作戦のより代表的なサンプルを構成する。しかし、公開されているデータは、戦場の霧により、ウクライナのサイバー空間の全体像を表している可能性は低い。より多くのデータが公開されれば、異なる傾向が現れる可能性があり、その場合はさらなる調査が必要となる。
The empirical evidence is analyzed through the TECI-model. The model contains four variables that describe essential aspects of offensive cyber operations in war, namely the target, effect, and complexity of a cyber operation as well as its integration with conventional military operations. The variables were chosen for their ability to provide insights necessary for assessing the utility of cyber operations in warfighting, as evaluated by the analysis in this article. TECI thus elucidates how military actors employ cyber operations in warfighting, which allows us to determine their strategic, operational, and tactical utility. 実証的証拠はTECIモデルで分析される。このモデルには、戦争における攻撃的なサイバー作戦の重要な側面を説明する4つの変数、すなわちサイバー作戦のターゲット、影響、複雑性、そして通常軍事作戦との統合が含まれている。これらの変数は、本記事の分析によって評価されたように、戦闘におけるサイバー作戦の有用性をアセスメントするために必要な洞察力を提供する能力に基づいて選択された。TECIは、軍事関係者が戦闘においてサイバー作戦をどのように利用しているかを明らかにし、それによって、その戦略的、戦術的、および戦術的な有用性を判断することを可能にする。
The article finds that Russia’s military cyber operations have generally been of limited utility for the conventional warfighting in Ukraine except for in two circumstances. These findings may not be generalizable to future wars, however, for example due to idiosyncratic decisions by Russian cyber forces and the particular composition of Ukrainian cyberspace as well as actions by Western actors [30, 31]. Wars may unfold in ways that lessen or exacerbate the limitations and windows of opportunity found in this article. Still, the findings are indicative of the current state of affairs, and the TECI-model is readily applicable for systematically analyzing future wars. 本記事では、ロシア軍のサイバー作戦は、ウクライナにおける通常戦闘においては、2つの状況を除いて、概して限定的な効果しか持たなかったと結論づけている。ただし、この結論は、例えばロシアのサイバー部隊の特異な決定やウクライナのサイバー空間の特殊な構成、および西側諸国の行動などにより、将来の戦争に一般化できるものではない可能性がある[30, 31]。戦争は、本記事で発見された限界や機会の窓を軽減または悪化させる形で展開する可能性がある。それでも、この調査結果は現状をよく表しており、TECIモデルは今後の戦争を体系的に分析する際に容易に適用できる。
On the face of it, Russian cyber operations have had a large potential for affecting the warfighting by repeatedly targeting Ukrainian government entities in addition to critical infrastructure, as shown in our analysis. This potential is limited by four other trends, however, with each trend speaking to assumptions in the literature as explained below. No particular trend can be singled out as more significant than the rest in limiting the utility of the cyber operations. 一見したところ、ロシアのサイバー作戦は、分析で示したように、重要インフラに加えてウクライナ政府の事業体を繰り返し標的にすることで、戦闘に大きな影響を与える可能性を秘めている。しかし、この可能性は、以下で説明する文献上の想定と関連する4つの他の傾向によって制限されている。サイバー作戦の有用性を制限する上で、他の傾向よりも特に重要な傾向は見当たらない。
First, Russian cyber operations rarely sought physical destruction, opting instead for destruction of data which lowered their potential utility in warfighting. This trend supports the widely shared assumption in the literature that cyber operations are unsuited for physical destruction [5, 7, 20]. Second, the effects of Russian cyber operations as encoded in their payloads often failed to materialize. This suggests that cyberspace in fact favors the defense with respect to the offense–defense balance, contrary to the common assumption that cyberspace is offense dominant [34, 35]. Third, Russian state actors have tended to recycle already known malware families [36]. This decreased their ability to avoid detection by defensive measures, which partly explains the second trend of absent effects. The third trend, thus speaks to the transience of cyber weapons, confirming the assumption that offensive cyber operations eventually lose their utility without the continuous but costly development of novel cyber weapons [15, 37, 38]. Fourth, cyber operations were seldom integrated into conventional military operations, lowering their potential utility for the warfighting. This supports the common assumption that integrating cyber capabilities with other capabilities is difficult [16, 39, 40]. 第一に、ロシアのサイバー作戦は物理的な破壊をめったに求めず、代わりに戦闘における有用性を低下させるデータの破壊を選択している。この傾向は、サイバー作戦は物理的な破壊には適していないという文献で広く共有されている想定を裏付けるものである[5, 7, 20]。第二に、ペイロードにエンコードされたロシアのサイバー作戦の効果は、しばしば実現しなかった。これは、サイバー空間は攻撃優位であるという一般的な想定とは逆に、実際には攻撃と防御のバランスにおいて防御が優位であることを示唆している[34, 35]。第3に、ロシアの国家主体は既知のマルウェアファミリーを再利用する傾向にある[36]。これにより、防御策による検知を回避する能力が低下し、効果が見られないという第2の傾向を部分的に説明している。第3の傾向は、サイバー兵器の短命さを物語っており、攻撃的なサイバー作戦は、継続的に、しかし費用のかかる新たなサイバー兵器の開発を行わなければ、最終的にはその有用性を失うという想定を裏付けるものである[15, 37, 38]。第4に、サイバー作戦は通常、従来の軍事作戦に統合されることはまれであり、戦闘における潜在的有用性を低下させている。これは、サイバー能力を他の能力と統合することは困難であるという一般的な想定を裏付けるものである[16, 39, 40]。
The article finds two explanations for these limitations. The first explanation concerns the temporal characteristics of operations. Contrasted with conventional warfighting, cyber operations tend to be slower to plan and stage as well as more uncertain in their ability to execute precisely timed effects. There is, in a nutshell, an incongruity between the relatively slow cyber operation and the fast-paced conventional operation. This explains why Russian cyber operations were infrequently integrated with conventional operations, and why conventional means such as missile strikes were likely preferred when destructive effects were sought. The second explanation is the high cost of cyber operations that rely on novel and target-specific malware and tools. Such highly complex operations are more likely to be successful and to achieve destructive effects. It is prohibitively difficult for most actors to continuously conduct such complex and costly operations, however, explaining why Russia began recycling malware a few weeks into the invasion. This limited the operations’ chances of successful and destructive effects as well as their utility. 本記事では、こうした限界に対する2つの説明を提示している。1つ目の説明は、作戦の時間的特性に関するものである。従来の戦争遂行と比較すると、サイバー作戦は計画や準備に時間がかかり、また、正確なタイミングで効果を出す能力に不確実性が高い傾向がある。一言で言えば、比較的遅いサイバー作戦とテンポの速い通常作戦との間に不整合があるということだ。これが、ロシアのサイバー作戦が通常作戦と統合されることが少なかった理由であり、破壊的な効果を求める場合にはミサイル攻撃などの通常手段が好まれた理由である。2つ目の説明は、新規で標的特有のマルウェアやツールに依存するサイバー作戦のコストが高いことである。このような高度に複雑な作戦は成功する可能性が高く、破壊的な効果を達成できる可能性も高い。しかし、ほとんどの行為者にとって、このような複雑でコストのかかる作戦を継続的に行うことは法外に難しい。これが、ロシアが侵攻から数週間後にマルウェアのリサイクルを開始した理由である。これにより、作戦の成功と破壊的な効果の可能性、およびその実用性が制限された。
As exceptions to this general trend of limited utility, however, the article finds two sets of circumstances —narrow windows of opportunity— in which cyber operations can affect conventional warfighting. Both windows of opportunity are evident in the analyzed data from the Russo–Ukrainian War. しかし、この限定的な実用性という一般的な傾向に対する例外として、この記事では、サイバー作戦が通常戦闘に影響を与えることができる2つの状況、すなわち「狭い機会の窓」を見出している。この2つの機会の窓は、ロシア・ウクライナ戦争の分析データから明らかになっている。
The first narrow window of opportunity is a cumulative impact on the strategic level of warfighting. This is achieved by undermining national resources and instruments of power through the persistent targeting of critical infrastructure and government entities as well as forcing the defender to direct resources to defensive cyber capabilities instead of conventional warfighting. The second window of opportunity is an impact on the operational and tactical levels of warfighting specific to the beginning of a war. The incongruity between the slow cyber operation and the fast conventional operation, which otherwise hinders operational and tactical utility, is less applicable right when warfighting commences. The slow aspects of a cyber operation can be conducted before war breaks out, rendering its delivery of effects fast-paced in the war’s beginning. This improves its ability to integrate into conventional operations and so also its chance of generating operational or tactical advantages. In these narrow ways, cyber operations can achieve significance and impact the warfighting despite their otherwise limited utility. 最初の狭い機会は、戦争遂行における戦略レベルへの累積的な影響である。これは、重要なインフラや政府事業体を継続的に標的にすることで国家資源や権力手段を弱体化させ、また防御側が通常戦闘ではなく防御的なサイバー能力にリソースを集中させることを余儀なくさせることによって達成される。2つ目の機会は、戦争の初期に特有の、戦争遂行における作戦および戦術レベルへの影響である。サイバー作戦の遅さと通常作戦の速さの不整合は、通常作戦や戦術の有用性を妨げるが、戦争が始まった直後は、その不整合はあまり当てはまらない。サイバー作戦の遅い側面は、戦争が勃発する前に実施することができ、戦争の初期段階では、その効果の実現が迅速になる。これにより、通常作戦への統合能力が改善され、通常作戦や戦術上の優位性を生成する可能性も高まる。このように限定的な方法ではあるが、サイバー作戦は意義を達成し、戦闘に影響を与えることができる。
The article proceeds in five sections. The first section situates the current debate on cyber operations in war within the broader field of cyber conflict studies. The second section develops the TECI-model for assessing the use of cyber operations in war. The third section applies the TECI-model to systematically analyze Russian cyber operations in the Russo–Ukrainian war. The fourth section discusses these results to elucidate the strategic, operational, and tactical utility of cyber operations in conventional warfighting. The fifth section concludes the article. 本稿は5つのセクションで構成されている。第1セクションでは、サイバー作戦に関する現在の議論を、より広範なサイバー紛争研究の分野に位置づける。第2セクションでは、戦時におけるサイバー作戦の使用をアセスメントするためのTECIモデルを展開する。第3セクションでは、TECIモデルを適用し、ウクライナ・ロシア戦争におけるロシアのサイバー作戦を体系的に分析する。第4節では、これらの結果を考察し、通常戦におけるサイバー作戦の戦略的、戦術的、および作戦上の有用性を明らかにする。第5節で本稿を締めくくる。
Cyber conflict studies: from cyber war to cyber operations サイバー紛争研究:サイバー戦争からサイバー作戦へ
Over the last decade, the literature on cyber warfare and cyber operations has evolved quite extensively, and today some scholars even talk about a new subdiscipline in International Security Studies called cyber conflict studies [41, 42]. The initial discussions within cyber conflict studies were dominated by conceptual and theoretical disagreements, on the one hand, on “cyber war” as a useful analytical category [7, 10, 11, 43–46], and on the other, on the revolutionary potential of our new cyber realities for the international order [8, 47–50]. These disagreements led to several attempts to apply well-known strategic concepts such as deterrence [12, 44, 51–56], offensive–defensive balance [34, 35, 57, 58], and escalation [59–62] to the context of cyberspace often characterized by increased speed, scale, and relative ease of anonymity [8, 17, 54, 63–67]. Specifically for the offense–defense balance, consensus in the literature sees cyberspace as offense dominant, increasing fears of attacks and encouraging arms races [34]. Even so, there is broad agreement on cyberspace being less suitable for causing physical violence than conventional military domains [5, 20]. 過去10年間で、サイバー戦およびサイバー作戦に関する文献は大幅に進化し、現在では一部の学者は、国際安全保障研究における新たな一分野として「サイバー紛争研究」について語っている[41, 42]。サイバー紛争研究における初期の議論は、有用な分析カテゴリーとしての「サイバー戦争」に関する概念的・理論的な相違意見が一方に、そして、国際秩序に対する新しいサイバー現実の革命的な可能性に関する意見が他方に、それぞれ支配されていた。こうした意見の相違により、抑止力[12, 44, 51–56]、攻撃と防御のバランス[34, 35, 57, 58]、エスカレーション[59–62]といったよく知られた戦略的概念を、速度、規模、匿名性の容易さの増大という特徴を持つことが多いサイバー空間の状況に適用しようとする試みがいくつか行われた[8, 17, 54, 63–67]。特に攻撃と防御のバランスに関しては、サイバー空間は攻撃が優勢であり、攻撃への懸念を高め、軍拡競争を促すという見解が文献ではコンセンサスとなっている [34]。 それでも、サイバー空間は従来の軍事領域よりも物理的な暴力を引き起こすのに適していないという点では、幅広い合意がある [5, 20]。
Most of these contributions, however, relied primarily on few oft-cited incidents like the 2007 Russian cyberattacks against Estonia, the Israeli bombing of a suspected Syrian nuclear reactor allegedly enabled by a cyberattack (Operation Orchard), the Russian cyberattacks accompanying the 2008 military intervention in Georgia, and the US–Israeli Stuxnet worm destroying Iranian nuclear centrifuges (Two notable exceptions to the reliance on few oft-cited incidents are Valeriano and Maness’ 2014 “The dynamics of cyber conflict between rival antagonists” as well as Maness and Valeriano’s 2016 “The Impact of Cyber Conflict on International Interactions” [68, 69]. See also [4].). しかし、これらの寄稿のほとんどは、主に2007年のロシアによるエストニアへのサイバー攻撃、サイバー攻撃によって可能になったとされるイランの核反応炉を標的としたイスラエルの爆撃(オペレーション・オーチャード)、2008年のグルジアへの軍事介入に伴うロシアのサイバー攻撃、そしてイランの核遠心分離機を破壊した米・イスラエルのスタクスネット・ワームといった、よく引き合いに出されるいくつかのインシデントに依拠している (よく引用されるインシデントへの依存に関する2つの注目すべき例外は、ValerianoとManessによる2014年の論文「ライバルの敵対者間のサイバー紛争の力学」、およびManessとValerianoによる2016年の論文「国際交流におけるサイバー紛争の影響」[68, 69]である。また、[4]も参照のこと。)
With the increasing political acceptance of cyberspace as a domain for military operations, and with more and more states investing in military cyber capabilities [70–72], the literature saw several contributions discussing how states can integrate cyber operations with conventional capabilities in other branches of the armed forces [20, 40, 73, 74] and in alliances [75–77]. Smeets’ PETIO-framework, for example, highlights the importance of C2 and preparatory infrastructure, interorganizational coordination, and having the right people to develop, maintain, and operate exploits and tools as well as to support with administrative, operational, and legal expertise when developing a military cyber force [78]. Others also point to challenges to the integration of cyber and noncyber capabilities stemming from temporal constraints as well as issues with deconfliction and battle damage assessment [75]. 軍事作戦の領域としてのサイバー空間の政治的受容が高まり、軍事サイバー能力に投資する国家が増えるにつれ [70-72]、文献では、国家が他の軍事部門における従来の能力 [20, 40, 73, 74] や同盟関係 [75-77] とサイバー作戦を統合する方法について論じたいくつかの寄稿が見られるようになった。例えば、Smeets氏のPETIOフレームワークでは、軍事サイバー部隊を編成する際に、指揮統制(C2)と準備インフラ、組織間の調整、およびエクスプロイトやツールの開発・維持・運用、および管理、運用、法律の専門知識によるサポートを行う適切な人材の確保が重要であることを強調している[78]。また、時間的制約や、デコンフリクト(軍事衝突回避)や戦闘ダメージアセスメント(戦闘被害評価)の問題に起因する、サイバー能力と非サイバー能力の統合の難しさも指摘されている。
Some scholars zoom in on the difficulty of military cyber operations to produce strategic effects [14, 17, 79, 80]. Maschmeyer argues that the effectiveness of military cyber operations is limited by a trilemma between speed, intensity, and control, rendering cyber operations unlikely to deliver on their strategic promise —even in their more covert subversive forms [6]. Scholars further hypothesize that offensive cyber operations are temporally constrained by the transitory nature of cyber weapons, leading to difficulties achieving effects once malware is burned and requiring costly reinvestment to produce new malware to sustain operations [15, 37]. Again, many of these assumptions draw on the cases mentioned above, accompanied by case studies of the Russo–Ukrainian conflict 2013–2017 and the US Operation Glowing Symphony against ISIS [6, 39, 81–84]. 一部の学者は、戦略的効果を生み出すための軍事サイバー作戦の難しさに焦点を当てている。マシュマイヤーは、軍事サイバー作戦の有効性は、速度、強度、制御の3つの要素の間のトリレンマによって制限され、サイバー作戦は、より秘密裏に破壊工作を行う形態であっても、戦略的な期待に応えることはできないと主張している[6]。 学者たちはさらに、攻撃的なサイバー作戦は、サイバー兵器の一時的な性質によって時間的な制約を受け、マルウェアが一度実行されると効果を達成することが難しくなり、作戦を継続するために新たなマルウェアを作成するには多大な再投資が必要になるという仮説を立てている[15, 37]。ここでも、これらの仮説の多くは、上述の事例を参考にしており、2013年から2017年のロシア・ウクライナ紛争や、ISISに対する米国の「オペレーション・グローイング・シンフォニー」の事例研究も併せて参照されている[6, 39, 81–84]。
The lack of accessible data on the use of cyber capabilities in military operations has also meant that most scholars have turned their attention to activities that take place in the grey zone below the threshold of armed conflict [85]. Often spurred by Russia’s 2016 hack of the US Democratic National Committee or the new US strategic cyber vision of persistent engagement, scholarly contributions have largely come to see cyber operations as part of an intelligence contest, information warfare, or as a preemptive logic [18, 86–94]. While it is certainly justified to conclude that cyber operations have proven most useful as a tool in political competitions short of war, it is premature to disregard the potential benefit of cyber operations in war. With the Russian invasion of Ukraine, a new dataset is available to help us better understand the utility of cyber operations in war and ultimately validate or reject assumptions in the literature. 軍事作戦におけるサイバー能力の使用に関する入手可能なデータが不足しているため、ほとんどの学者は、武力紛争の引き金となるグレーゾーンで発生する活動に注目している[85]。2016年のロシアによる米民主党全国委員会へのハッキングや、米国の新たな戦略的サイバービジョンである持続的関与に触発されたこともあり、学術的な貢献の多くは、サイバー作戦を情報戦の一部、あるいは先制論として捉えるようになってきている[18, 86–94]。戦争に至らない政治的競争においては、サイバー作戦が最も有用な手段であることは確かに証明されているが、戦争におけるサイバー作戦の潜在的な利益を無視するのは時期尚早である。ロシアによるウクライナ侵攻により、戦争におけるサイバー作戦の有用性をより深く理解し、最終的に文献における想定を検証または否定するのに役立つ新たなデータセットが利用可能となった。
The TECI-model for understanding cyber operations in war 戦争におけるサイバー作戦を理解するためのTECIモデル
Analyzing the new data requires an analytical model for understanding militaries’ use of cyber operations in war. This section develops such a model (Some scholars categorize different kinds of cyber harms. Agrafiotis et al. [95] construct a taxonomy of cyber harms that can result from cyberattacks). Summarized in Table 1, the model —named TECI for its constituent variables— systematizes and operationalizes a broad range of perspectives in the literature that have not been readily applicable to systematically analyzing larger data sets in the specific context of warfighting. The TECI-model is explained in detail after first noting some of these existing perspectives in the literature. 新しいデータを分析するには、戦争における軍のサイバー作戦の利用を理解するための分析モデルが必要である。このセクションでは、そのようなモデルを構築する(一部の学者は、さまざまな種類のサイバー被害を分類している。Agrafiotis et al. [95]は、サイバー攻撃によって生じるサイバー被害の分類体系を構築している)。表1に要約されているように、構成変数からTECIと名付けられたこのモデルは、戦闘という特定の文脈におけるより大規模なデータセットの体系的な分析に容易に適用できなかった、文献における幅広い視点を体系化し、運用可能にするものである。TECIモデルは、まず文献における既存の視点のいくつかを指摘した上で、詳細に説明されている。
Table 1. Summary of the TECI-Model 表1. TECIモデルの概要
20240828-151707
20240828-152353
Ashraf has introduced a framework for comparing definitions of cyberwar [5]. This framework is not built for understanding the use of cyber operations but still hints at some central aspects of cyber operations. Rattray and Healey [96] have proposed a 12-factor framework for categorizing offensive cyber operations. It is neither tailored to cyber operations in warfighting nor evaluated empirically. More recently, Moore proposed a framework distinguishing between event- and presence-based offensive cyber operations [19]. While this framework is better suited for the context of war, it is not evaluated on extensive empirical evidence in war. アシュラフはサイバー戦争の定義を比較するための枠組みを導入している[5]。この枠組みはサイバー作戦の使用を理解するために構築されたものではないが、サイバー作戦のいくつかの中心的な側面を示唆している。ラットレイとヒーリーは[96]、攻撃的なサイバー作戦を分類するための12の要因からなる枠組みを提案している。これは戦争におけるサイバー作戦に特化したものではなく、実証的な評価も行われていない。さらに最近では、ムーアがイベントベースとプレゼンスベースの攻撃的サイバー作戦を区別する枠組みを提案している[19]。この枠組みは戦争の文脈により適しているが、戦争における広範な実証的証拠に基づいて評価されたものではない。
Specifically elaborating on relations between cyberspace and other domains, Egloff and Shires propose “three logics of integration” for categorizing how cyber capabilities can be integrated with noncyber capabilities [20]. Cyber operations can substitute conventional operations by achieving effects instead of conventional operations, support conventional operations by increasing the conventional operations’ power, precision, range, or resilience, and finally complement conventional operations by acting in addition to conventional means thus adding a new course of action to the actor’s repertoire [20]. The logics of substitution, support, and complementation show the realms of possibility for how cyberspace and noncyber domains can be interrelated when conducting cyber operations. サイバー空間とその他の領域の関係について特に詳しく述べているのは、エグロフとシャイアーズで、サイバー能力を非サイバー能力と統合する方法を分類する「統合の3つの論理」を提案している[20]。サイバー作戦は、従来の作戦に代わって効果を達成することで従来の作戦に取って代わることもでき、従来の作戦のパワー、精度、範囲、レジリエンスを高めることで従来の作戦を支援することもでき、さらに従来の手段に加えて行動することで従来の作戦を補完することもでき、それによって行動主体のレパートリーに新たな行動様式を加えることもできる[20]。 代用、支援、補完の論理は、サイバー作戦を遂行する際にサイバー空間と非サイバー空間を相互に関連させる可能性を示している。
None of the above perspectives and proposed models are simultaneously readily applicable for systematic analysis of larger data sets, evaluated on data other than few oft-cited operations, and tailored to elucidate insights on the utility of offensive cyber operations in war. Still, their underlying ideas suggest useful starting points for developing such a model. 上記の視点や提案されたモデルは、いずれも体系的な分析に即座に適用できるものではない。より大規模なデータセットの分析、少数のよく引用される作戦以外のデータに基づく評価、戦争における攻撃的サイバー作戦の有用性に関する洞察の解明に適合するものではない。しかし、その根底にある考え方は、そのようなモデルを開発するための有用な出発点となる。
Based on these insights, this section develops and introduces the TECI-model. The model is then applied on data in subsequent sections. TECI spans four operationalized variables: the target, effect, and complexity of a cyber operation as well as its degree of integration with conventional operations. The four variables were carefully chosen as they reveal aspects of cyber operations key to their use and utility in war (While other variables such as actor types and attribution could be included, these are less relevant than the TECI-variables when examining militaries’ use of cyber operations in war. This article only examines operations by state actors, leaving little reason for adding an ‘actor’-variable. Similarly, the question of attribution is not important for examining the utility of cyber operations in war. Attribution is certainly a relevant parameter in conflicts short of war. See [97, 98]. However, it is much less relevant once warfighting has commenced.). To assess the utility of an offensive cyber operation in warfighting, one must have insights into who the operation is affecting (target), how it is affecting the target (effect), how costly, difficult, and time-consuming it is to conduct and defend against (complexity), and how it may be a force-multiplier for the warfighting (integration). Tailored to the study of war, readily applicable for analysis of larger data sets, and empirically evaluated in this paper, TECI delivers exactly these necessary insights to assess the utility of cyber operations in war. これらの洞察に基づき、本セクションではTECIモデルを開発し、紹介する。このモデルは、その後のセクションでデータに適用される。TECIは、サイバー作戦のターゲット、影響、複雑性、および通常作戦との統合の度合いの4つの運用変数にまたがる。4つの変数は、戦争におけるサイバー作戦の使用と有用性の鍵となる側面を明らかにするものとして慎重に選択されたものである(行為者のタイプや帰属などの他の変数も含まれる可能性はあるが、戦争における軍のサイバー作戦の使用を検証する場合には、TECI変数ほど関連性は高くない)。本稿では国家主体による作戦のみを検証しており、「主体」変数を追加する理由はほとんどない。同様に、帰属の問題は、戦争におけるサイバー作戦の有用性を検証する上では重要ではない。帰属は、戦争に至らない紛争においては確かに重要なパラメータである。[97, 98]を参照。しかし、戦争行為が開始された後は、関連性は大幅に低下する。戦争行為における攻撃的サイバー作戦の有用性をアセスメントするには、その作戦が誰に影響を及ぼすのか(ターゲット)、ターゲットにどのような影響を及ぼすのか(効果)、実施および防御にどれほどの費用、困難、時間が必要なのか(複雑性)、そして、戦争行為における戦力増強要因となり得るのか(統合性)を洞察する必要がある。戦争研究に適合し、より大規模なデータセットの分析にも容易に適用でき、本稿で実証的に評価されたTECIは、まさに戦争におけるサイバー作戦の有用性をアセスメントするために必要な洞察をもたらす。
The first variable is the target of a cyber operation. It is a categorical variable denoting the type of entity or entities whose IT-systems are directly affected by the operation. It distinguishes between four categories of targets. The first is critical infrastructure and includes entities in the transportation, energy, utilities, and ICT sectors. The second category, government, covers public authorities across local, regional, and national levels as well as military entities. The third is media, which comprises entities involved in mass communication such as newspapers, broadcasters, and online news media. The fourth category, other targets, covers any other type of target not included in the preceding categories. The four categories, thus pick out and differentiate between targets that are typically considered key for both the defender and the attacker to control or influence in order to further their war efforts. 最初の変数は、サイバー作戦の対象である。これはカテゴリー変数であり、そのITシステムが作戦によって直接影響を受ける事業体の種類を示す。これは4つのカテゴリーの対象を区別する。1つ目は重要なインフラであり、交通、エネルギー、公益事業、ICTセクターの事業体が含まれる。2つ目のカテゴリーである政府は、軍事事業体だけでなく、地方、地域、国家レベルの公共機関をカバーする。3番目はメディアで、新聞、放送局、オンラインニュースメディアなどのマスメディアに関わる事業体を含む。4番目のカテゴリーであるその他の標的は、前述のカテゴリーに含まれないその他のタイプの標的をカバーする。この4つのカテゴリーは、防衛側と攻撃側の双方が戦争を有利に進めるために支配または影響を及ぼすことが重要であると一般的に考えられている標的を特定し、区別するものである。
The second variable gets at the effects of a cyber operation. It is an ordinal variable that measures the direct effects experienced by a cyber operation’s target entity or entities based on the coding of the operation’s cyber weapon. The variable’s scale ranges from no effects to low, medium, and high effects. 2つ目の変数は、サイバー作戦の効果を測定する。これは順序変数であり、サイバー作戦の標的となった事業体が経験した直接的な効果を、そのサイバー兵器のコード化に基づいて測定する。この変数の尺度は、効果なしから低、中、高の効果までである。
No effects straightforwardly denote the absence of effects of a cyber operation on its intended target, for example in the case of premature discovery. Low effects are defined as the disruption of IT-systems by temporarily undermining their functionality as well as the exfiltration of data from IT-systems. A DDoS-attack or data theft would constitute a low-effect operation. Cyber operations with a low effect importantly do not produce irreversible effects on their targets. Medium effects cover cyber operations that render data permanently inaccessible or, in essence, destroys data. This is an irreversible and therefore more severe effect, but it is importantly limited to the logical layer of cyberspace such that no physical objects are irreversibly damaged. A wiper attack deleting data would be a medium-effect operation (Ransomware attacks, where actors encrypt data with the intent of receiving monetary compensation before decrypting the data, could constitute either medium or low severity depending on the actual effects on data. During warfighting, if the data is decrypted once a target pays an actor, the attack constitutes low severity since the target’s access to the data was disrupted and not irreversibly blocked. If the data is not decrypted, however, the attack would constitute medium severity since the target’s data are permanently and irreversibly inaccessible. Ransomware could even fall into the high severity effects category if the data encryption somehow caused physical damage.). The final high effects category contains operations whose effects amount to physical destruction. These operations cause irreversible damage to hardware or other physical objects. The physical destruction need not present itself in the physical layer of cyberspace only; it may involve the destruction of other physical objects such as industrial hardware like generators brought about by malicious code. A cyber operation damaging hardware or other physical objects in a power grid would thus a high-effect operation. 効果なしとは、例えば早期に発見された場合のように、意図した標的に対するサイバー作戦の効果がまったくなかったことを端的に示す。低影響とは、ITシステムの機能が一時的に損なわれることによる混乱や、ITシステムからのデータ流出を指す。DDoS攻撃やデータ盗難は低影響の作戦に該当する。低影響のサイバー作戦では、ターゲットに不可逆的な影響は及ぼさない。中影響とは、データが恒久的にアクセス不能になるサイバー作戦、つまり本質的にはデータの破壊を指す。これは不可逆的で、したがってより深刻な影響であるが、物理的な物体が不可逆的に損傷することはないように、サイバー空間の論理層に限定される。データを消去するワイパー攻撃は中程度の影響を与える作戦である(ランサムウェア攻撃は、データを暗号化して復号前に金銭的補償を得ることを意図する行為であり、データへの実際の影響に応じて、中程度または低度の深刻度となる可能性がある。戦闘中、標的が攻撃者に支払うことでデータが一度復号化された場合、攻撃の深刻度は低くなる。なぜなら、標的のデータへのアクセスが妨害されただけで、不可逆的にブロックされたわけではないからだ。しかし、データが復号化されない場合、標的のデータは恒久的に不可逆的にアクセス不能となるため、攻撃の深刻度は中程度となる。ランサムウェアは、データ暗号化が何らかの形で物理的損害を引き起こした場合、深刻度が高いカテゴリーに分類される可能性もある。最終的な「重大な影響」カテゴリーには、物理的な破壊に相当する影響をもたらす作戦が含まれる。これらの作戦は、ハードウェアやその他の物理的対象に不可逆的な損害を与える。物理的な破壊は、サイバー空間の物理層のみで発生するとは限らず、悪意のあるコードによって引き起こされる発電機のような産業用ハードウェアなどのその他の物理的対象の破壊を伴う可能性もある。したがって、電力網のハードウェアやその他の物理的対象に損害を与えるサイバー作戦は、重大な影響をもたらす作戦となる。
In sum, this second variable gets at a central aspect of a cyber operation —its effect on target entities— and delineates operations based on the types of these direct effects, with irreversible effects and physical effects understood to be more severe than reversible and nonphysical effects, respectively. まとめると、この2番目の変数はサイバー作戦の中心的な側面である標的事業体への影響を捉え、不可逆的影響と物理的影響はそれぞれ可逆的影響と非物理的影響よりも深刻であると理解される。
The third variable measures a cyber operation’s complexity. As an ordinal variable, it assumes one of three ordered categories from low to medium and high complexity. Complexity is understood as the scale and technical sophistication of the planning, staging, and execution of a given cyber operation. The complexity is thus positively correlated with the operation’s costs and the time needed to plan, stage, and execute it. Additionally, the operation’s complexity is positively correlated with its target specificity. If an operation targets a very specific entity or a set of specific entities with a very specific effect —such as malware aimed at a certain brand of industrial control systems running certain hardware— the operation is, ceteris paribus, less capable of replicating these effects against other entities. This high degree of target specificity makes the operation more complex as more time and resources are needed to tailor the appropriate aspects of the operation to match its distinctive target or set of distinctive targets (An operation targeting a single, specific entity is understood as more complex than one indiscriminately affecting hundreds of random targets. An operation targeting multiple very specific entities is of course more complex than one targeting just the single one.). 3番目の変数は、サイバー作戦の複雑さを測定する。順序変数として、低~中~高の3つのカテゴリーのいずれかに分類される。複雑さとは、特定のサイバー作戦の計画、準備、実行の規模と技術的洗練度を意味する。したがって、複雑さは作戦のコストおよび計画、準備、実行に必要な時間と正の相関関係にある。さらに、作戦の複雑性は、その標的の特異性と正の相関がある。作戦が非常に特異な事業体、または特定の効果を持つ特異な事業体の集合体を標的とする場合、例えば、特定のハードウェアを稼働する産業用制御システムの特定のブランドを標的とするマルウェアなど、他の事業体に対しては、他の条件が同じであれば、これらの効果を再現することはより困難となる。この標的の特異性の高さは、その独特な標的または独特な標的の集合に適合するように作戦の適切な側面を調整するために、より多くの時間とリソースが必要となるため、作戦をより複雑にする(単一の特定の事業体を標的とする作戦は、無差別に数百のランダムな標的に影響を与える作戦よりも複雑であると理解される。複数の非常に特定の事業体を標的とする作戦は、もちろん単一の事業体を標的とする作戦よりも複雑である)。
However, the complexity and its correlated costs are difficult to measure directly in most empirical evidence of cyber operations. The cost, duration, or intended target specificity of operations are rarely divulged by their actors. It is nevertheless more often possible to identify the cyber weapons used in an operation, although this identification process may be time-consuming. We define a cyber weapon as the computer code —in the form of malware or other tools— utilized by a cyber operation to achieve a technical effect on targets in or through cyberspace. It is worth emphasizing that the cyber weapon need not be malware but could involve utilizing other tools and techniques, even legitimate ones employed in a malicious way [36]. しかし、サイバー作戦のほとんどの実証的証拠では、その複雑性と関連コストを直接測定することは困難である。作戦のコスト、期間、または意図する標的の特異性は、その実行者によって明かされることはほとんどない。とはいえ、その識別プロセスには時間がかかる可能性はあるものの、作戦で使用されたサイバー兵器を特定できる場合の方が多い。 サイバー兵器とは、サイバー作戦によってサイバー空間内またはサイバー空間を通じて標的に技術的効果をもたらすために使用される、マルウェアやその他のツールの形態をとるコンピュータコードである。 強調すべきは、サイバー兵器はマルウェアである必要はなく、他のツールや技術、さらには悪意を持って使用される合法的なツールや技術も含まれる可能性があるということである[36]。
Importantly, a cyber weapon can act as a proxy for an operation’s costs in time and money, target specificity, and thus its complexity in lieu of other evidence. That is, the use of a highly complex cyber weapon indicates a highly complex operation and vice versa. To find the complexity of a cyber operation, the model therefore analyzes the technical complexity of the operation’s cyber weapon. 重要なのは、サイバー兵器は、時間や費用、標的の特定性など、作戦の複雑性を代用するものとして、他の証拠に代わるものとして機能し得るということである。つまり、高度に複雑なサイバー兵器の使用は、高度に複雑な作戦を示唆し、その逆もまた真実である。したがって、このモデルでは、サイバー作戦の複雑性を把握するために、その作戦で使用されたサイバー兵器の技術的複雑性を分析する。
The complexity variable is thus operationalized as follows. High complexity covers operations using novel malware or tools that have not been observed before, for example because they utilize zero-days. Such operations are highly complex because they necessitate the time-consuming and costly development of cyber weapons, often with a particular target in mind. To illustrate with a typical example, Stuxnet would be categorized as a highly complex cyber weapon and Operation Olympic Games as a highly complex operation. したがって、複雑性の変数は以下のように定義される。高度な複雑性は、ゼロデイ攻撃に利用されるなど、これまで確認されていない新しいマルウェアやツールを使用する作戦を指す。このような作戦は、特定の標的を念頭に置いて、時間と費用のかかるサイバー兵器の開発を必要とするため、高度な複雑性を持つ。典型的な例を挙げると、Stuxnetは高度な複雑性を持つサイバー兵器であり、オリンピック作戦は高度な複雑性を持つ作戦である。
Medium complexity covers operations utilizing already known malware or tools, including modified versions of said malware or tools. These are less complex because they do not involve the same time-consuming and costly novel developments, but they are still complex in that they necessitate some degree of target-specific preparation, planning, and execution. An example of medium complexity is the 2017 NotPetya-operation utilizing, i.e. EternalBlue exploits, which had previously been used in the WannaCry-ransomware campaign and allegedly been leaked from the NSA [99, 100]. The original deployment of EternalBlue amounts to high complexity; the reuse of those exploits even if slightly modified is what drives an operation into medium complexity. 中程度の複雑性は、既知のマルウェアやツールを利用する作戦を指し、これには当該のマルウェアやツールの修正版も含まれる。これらは、時間と費用のかかる新規開発を伴わないため、複雑性は低い。しかし、ある程度の標的特化型の準備、計画、実行を必要とするという点では、依然として複雑である。中程度の複雑さの例としては、2017年の「NotPetya」作戦が挙げられる。これは、以前「WannaCry」ランサムウェアキャンペーンで使用され、NSAから流出したとされる「EternalBlue」エクスプロイトを利用している[99, 100]。 EternalBlueの当初の展開は、高い複雑さである。エクスプロイトをわずかに変更して再利用することで、作戦が中程度の複雑さになる。
Finally, low complexity operations cover those utilizing only DDoS, password spraying, or other simple brute-forcing methods, which are cheaper, easier, and faster to prepare, plan, and execute just as they are suitable for replication against any other targets, indicating low target specificity [101–105]. 最後に、低複雑性攻撃は、DDoS、パスワードスプレー、またはその他の単純なブルートフォース法のみを使用するものを対象とし、これらは、準備、計画、実行がより安価で容易かつ迅速であり、他のあらゆる標的に対する複製にも適していることから、標的の特異性が低いことを示している[101-105]。
Of course, operations may involve the use of multiple different cyber weapons such as a mixture of the novel use of malware or tools, recycled malware, and DDoS attacks. This is completely in line with the above formulation of the complexity variable, as will be explained below. もちろん、作戦には、マルウェアやツールの新しい使用法、再利用されたマルウェア、DDoS攻撃の混合など、複数の異なるサイバー兵器が使用される可能性がある。これは、以下で説明するように、上記の複雑性の変数に関する定義と完全に一致する。
For an operation to be considered of high complexity, it must use novel malware or tools against its target regardless of its use of other cyber weapons. This means an operation involving novel malware, recycled malware, and DDoS-attacks would be classified as highly complex. The medium complexity category is governed by the two-pronged condition that the operation does not use novel malware or tools but does use already known malware or tools against its target regardless of its use of other cyber weapons. This means operations using recycled malware and DDoS-attacks would be of medium complexity whereas operations using recycled as well as novel malware, e.g. would not. Lastly, low complexity operations are governed by the three-pronged condition that the operation does not use novel malware or tools, does not use recycled malware or tools, but does use DDoS, password spraying, or other brute-forcing methods as its cyber weapon. Operations using any type of malware-based exploit against their targets would thus not be considered low complexity; those employing only DDoS-attacks against their targets would. 作戦が高度な複雑性を持つと見なされるためには、他のサイバー兵器の使用に関わらず、標的に対して新しいマルウェアやツールを使用しなければならない。つまり、新しいマルウェア、再利用されたマルウェア、DDoS攻撃を伴う作戦は、高度な複雑性を持つと分類される。中程度の複雑さのカテゴリーは、新しいマルウェアやツールは使用しないが、他のサイバー兵器の使用に関わらず、既知のマルウェアやツールを標的に使用するという2つの条件によって規定される。つまり、リサイクルされたマルウェアやDDoS攻撃を使用する作戦は中程度の複雑さであるが、リサイクルされたマルウェアや新しいマルウェア(例えば)を使用する作戦はそうではないということである。最後に、低複雑性作戦は、新しいマルウェアやツールを使用せず、再利用されたマルウェアやツールも使用しないが、DDoS攻撃、パスワードスプレー攻撃、またはその他のブルートフォース攻撃をサイバー兵器として使用するという3つの条件によってガバナンスされる。標的に対してあらゆる種類のマルウェアベースのエクスプロイトを使用する作戦は、低複雑性とはみなされない。標的に対してDDoS攻撃のみを使用する作戦は、低複雑性とみなされる。
The fourth and final variable, integration, is ordinal and covers four ordered categories from no to low, medium, and high degrees of integration. This range is based on the degree to which a cyber operation is coordinated with and thus integrated into events into warfighting in the conventional domains. 4つ目の最後の変数である統合は順序性があり、統合の度合いが低いものから中程度、高いものまで、4つのカテゴリーに分類される。この範囲は、サイバー作戦がどの程度調整され、その結果、従来の領域における戦闘に統合されているかという度合いに基づいている。
No integration simply corresponds to the absence of any coordination and thus integration between events and capabilities in cyberspace and noncyber domains. 統合が全くないということは、サイバー空間と非サイバー領域における事象と能力の間の調整や統合が全くないことを意味する。
Low integration picks out cyber operations whose effects are aligned with the objective of effects delivered by conventional capabilities without directly influencing or being influenced by these. This amounts to a low degree of coordination because there is no direct dependency between the cyber and noncyber operation. Still, the low-integration cyber effects are at least loosely coordinated with the noncyber operation in terms of their timing, targeting, and their general purpose if the effects are to truly stand in addition to the noncyber operation and its objective. This loose coordination in timing, target, and purpose account for the evident albeit low degree of integration. An example of low integration is the US Operation Glowing Symphony countering ISIS in cyberspace alongside the conventional campaign against the terrorist group. The operations were aligned in timing, targeting, and overall purpose [106]. 低統合は、従来の能力が直接的に影響を与えたり、影響を受けたりすることなく、その効果を従来の能力がもたらす効果の目的と一致させるサイバー作戦を指す。これは、サイバー作戦と非サイバー作戦の間に直接的な依存関係がないため、低度の調整に相当する。それでも、低統合のサイバー効果は、そのタイミング、標的、およびその目的が非サイバー作戦と本当に補完関係にある場合、少なくともそのタイミング、標的、および目的の面で非サイバー作戦と緩やかに調整されている。タイミング、標的、目的におけるこの緩やかな調整が、統合の度合いが低いとはいえ、明白な理由である。統合の度合いが低い例としては、米国の「Operation Glowing Symphony」が挙げられる。これは、サイバー空間でISISに対抗するもので、テロリスト集団に対する従来のキャンペーンと並行して実施された。この作戦は、タイミング、標的、全体的な目的において調整されていた[106]。
Medium integration occurs when a cyber operation is coordinated with noncyber capabilities in the planning phase when military staffs plan and decide between cyber and noncyber courses of action. A medium-integration cyber operation is thus carried out to achieve an operational goal of the warfighting that could have been achieved by other capabilities. Medium integration thus creates cross-domain dependencies by necessitating alignment in at least the battle rhythms of cyber and noncyber planning entities, resulting in a higher level of integration than low integration operations. Importantly, the TECI-model is concerned specifically with cyber operations in the context of warfighting contrary to other models’ focus on contests short of war. In the warfighting-focused TECI-model, the cross-domain dependency in the medium integration logic precisely arises because there is in fact a war “going on around” the cyber and noncyber operations under consideration. The cyber operation, if chosen to achieve an operational goal of the warfighting, is not happening in a vacuum but must fit in and be somewhat aligned with the noncyber efforts characterizing the warfighting at that point in time at least in the planning phase —e.g. its battle rhythm, targets, and objectives. 中程度の統合は、軍事スタッフがサイバーおよび非サイバーの行動方針を計画・決定する計画段階において、サイバー作戦が非サイバー能力と調整される場合に発生する。したがって、中程度の統合によるサイバー作戦は、他の能力によって達成可能であった戦闘作戦の目標を達成するために実施される。中程度の統合は、少なくともサイバーおよび非サイバーの計画事業体の戦闘リズムを調整する必要があるため、クロスドメインの相互依存関係を生み出し、低統合作戦よりも高いレベルの統合を実現する。重要なのは、TECIモデルが、他のモデルが戦争に至らない競争に焦点を当てているのに対し、戦闘を前提としたサイバー作戦に特に着目していることである。戦闘を前提としたTECIモデルでは、中間統合のロジックにおけるクロスドメインの依存関係は、検討中のサイバーおよび非サイバー作戦の「周辺で」実際に戦争が「進行中」であるため、必然的に生じる。サイバー作戦は、戦闘作戦目標を達成するために選択された場合、真空状態の中で行われるのではなく、少なくとも計画段階においては、その時点での戦闘作戦の特徴である非サイバーの取り組みに適合し、ある程度整合性が取れていなければならない。例えば、戦闘リズム、目標、目的などである。
Finally, high integration covers cyber operations that are directly coordinated with noncyber operations such that the cyber effects contribute to the success of a noncyber operation. In this case, robust and direct dependencies exist between cyber and noncyber operations through, for example, deconfliction or precisely timed effects necessary for progressing the respective operations. This necessitates comprehensive coordination and alignment in battle rhythms between cyber and noncyber capabilities not only in the planning phase —as in the case of medium integration— but also during the execution of the operation itself. A cyber operation characterized by direct coordination with noncyber capabilities throughout its operational life cycle thus exhibits a higher form of integration than the medium-integration where the coordination chiefly occurs before the cyber operation is carried out. An example of high integration is the Israeli Operation Orchard, where cyber assets allegedly disabled Syrian air defenses during an air strike, contributing to the conventional operation’s success through real-time cross-domain dependencies [47]. 最後に、高度な統合は、サイバー効果が非サイバー作戦の成功に貢献するように、非サイバー作戦と直接的に調整されるサイバー作戦をカバーする。この場合、例えば、それぞれの作戦の進行に必要な効果の調整やタイミングの正確さなどによって、サイバー作戦と非サイバー作戦の間に強固で直接的な依存関係が存在する。このため、中程度の統合の場合のように計画段階だけでなく、作戦の実行中にも、サイバー能力と非サイバー能力の間の戦闘リズムにおける包括的な調整と整合が必要となる。サイバー作戦は、その運用ライフサイクル全体を通じて非サイバー能力との直接的な調整を特徴とし、主にサイバー作戦が実施される前に調整が行われる媒体統合よりも高度な統合形態を示す。高度な統合の例としては、イスラエルのオレンジ作戦がある。この作戦では、サイバー能力が空爆中にシリアの防空能力を無効化し、リアルタイムのクロスドメイン依存関係を通じて通常作戦の成功に貢献したとされる[47]。
In sum, the integration variable explicates and orders the ways in which cyber operations can be integrated with noncyber operations based on the extent of cross-domain coordination and dependencies required. まとめると、統合変数は、必要なクロスドメインの調整と依存の程度に基づいて、サイバー作戦を非サイバー作戦と統合する方法を明らかにし、順序付ける。
A systematic analysis of Russian cyber operations in Ukraine ウクライナにおけるロシアのサイバー作戦の体系的分析
This section applies the TECI-model to data from the 2022 Russo–Ukrainian War to analyze trends in the use of offensive cyber operations in conventional warfighting. このセクションでは、TECIモデルを2022年の露ウクライナ戦争のデータに適用し、通常戦における攻撃的サイバー作戦の使用傾向を分析する。
The analysis is concerned only with offensive cyber operations conducted by Russian state actors against Ukrainian targets. This is for two reasons. First, data sources examined by this article are mainly focused on operations by Russian state actors. Second, to analyze the use of cyber operations in conventional warfighting, the data should be comprised of operations against entities that take part in the warfighting. The data is further limited to operations between January and December 2022, thereby including the immediate preparations for war in January and February. 分析の対象は、ロシアの国家主体がウクライナを標的として実施した攻撃的サイバー作戦のみである。その理由は2つある。第1に、本記事で調査したデータソースは主にロシアの国家主体による作戦に焦点を当てている。第2に、通常戦におけるサイバー作戦の利用を分析するには、データは戦闘に参加する事業体に対する作戦で構成される必要がある。さらに、データは2022年1月から12月までの作戦に限定されており、1月と2月の戦争直前の準備も含まれている。
The analysis is divided into four subsections matching the target, effects, complexity, and integration variables. Trends are presented and accompanied by emblematic examples. Major findings are summarized in a concluding subsection. 分析は、標的、影響、複雑性、統合の変数に一致する4つの小項目に分けられている。傾向が示され、象徴的な例が添えられている。主な調査結果は、結論の小項目で要約されている。
Targets 標的
Overall, Russian cyber operations predominantly targeted Ukrainian critical infrastructure and government entities. The results of the TECI-model’s target analysis are shown in Fig. 1. This indicates Russia sought to undermine Ukrainian war efforts through offensive cyber operations, directly by targeting the Ukrainian state and indirectly by targeting functions critical to the stability of Ukrainian society. 全体として、ロシアのサイバー作戦は主にウクライナの重要インフラおよび政府事業体を標的にしていた。TECIモデルの標的分析の結果は図1に示されている。これは、ロシアが攻撃的なサイバー作戦を通じて、ウクライナ政府を直接標的にし、またウクライナ社会の安定に不可欠な機能を間接的に標的にすることで、ウクライナの戦争努力を弱体化させようとしていたことを示している。
1_20240828153001
Figure 1. 図1
Distribution of target type for Russian cyber operations with identifiable targets in CPI data (n = 42). CPIデータで識別可能な標的に対するロシアのサイバー作戦の標的タイプの分布(n=42)。
Critical infrastructure comprises the transportation, energy, utilities, and ICT sectors. The CPI data includes 47 operations by Russian state actors with 42 identifiable Ukrainian targets [107]. The transportation sector was targeted twice, the energy sector four times, and the ICT sector 10 times. Altogether, critical infrastructure accounts for 38% of identifiable targets in CPI’s data. 重要インフラは、運輸、エネルギー、公益事業、およびICTセクターで構成される。CPIデータには、ロシアの国家行為者による47件の作戦が含まれ、42件の識別可能なウクライナの標的が存在する[107]。運輸セクターは2回、エネルギーセクターは4回、ICTセクターは10回標的とされた。全体として、重要インフラはCPIのデータにおける識別可能な標的の38%を占める。
In April, Microsoft published target types for an allegedly representative selection of Russian cyber operations since the invasion [36]. These constitute a subset of 57 targets. Seven targets belong to the energy sector and 12 to the ICT sector. An unspecified number of operations targeted the transportation sector, which is grouped with other target types, although an operation around 17–23 March targeting a transportation entity is explicitly mentioned [36]. Thus, critical infrastructure entities were likely targeted at least 20 times in the presented subset. This amounts to roughly 35% of targets, matching CPI’s 38%. Additionally, until late April, more than 40% of data-destroying operations targeted critical infrastructure [36]. 4月には、マイクロソフトが、侵攻以降のロシアのサイバー作戦の代表者とされる標的の種類を公表した[36]。これらは57の標的のサブセットを構成している。7つの標的はエネルギーセクターに属し、12の標的はICTセクターに属する。不特定の数の作戦が交通セクターを標的にしており、これは他の標的の種類とグループ化されているが、3月17日から23日にかけて交通事業体を標的にした作戦は明確に言及されている[36]。したがって、提示されたサブセットでは、重要なインフラ事業体が少なくとも20回は標的にされていた可能性が高い。これは標的の約35%に相当し、CPIの38%と一致する。さらに、4月下旬まで、データ破壊活動の40%以上が重要なインフラを標的にしていた[36]。
The government category consists of public authorities across national, regional, and local levels including military entities. Of the 57 targets in Microsoft’s data, two are military entities and 19 are national authorities [36]. The subset does not specify the number of targets in regional and local government, which are grouped with other target types. Yet, the Microsoft data explicitly describes two operations targeting regional authorities around 17–23 March and 3–9 March [36]. This means all levels of government are targeted at least 23 times accounting for 40% of the subset. Microsoft also reports that government entities account for 32% of targets by Russian data-destroying operations [36]. In comparison, 14 of the 42 targets in CPI’s data can be categorized as government entities [107]. This amounts to 33% —largely similar to the Microsoft data. 政府カテゴリーには、軍事組織を含む国家、地域、地方レベルの公共機関が含まれる。Microsoftのデータにおける57の標的のうち、2つは軍事組織であり、19は国家機関である[36]。このサブセットでは、地方および地方自治体の標的の数は特定されていない。それらは他の標的タイプとグループ化されている。しかし、Microsoftのデータでは、3月17日~23日および3月3日~9日頃に地方当局を標的とした2つの作戦が明確に記述されている[36]。これは、すべてのレベルの政府が少なくとも23回標的とされており、その割合はサブセットの40%に達することを意味する。また、Microsoftは、ロシアによるデータ破壊活動では、政府機関が標的の32%を占めていると報告している[36]。これに対し、CPIのデータでは、42件の標的のうち14件が政府機関に分類されている[107]。これは33%に相当し、Microsoftのデータとほぼ同様である。
The remaining categories are media and other targets. Only four of 57 targets or seven % are described as media entities in the Microsoft subset [36]. Six operations or 14% target the media in CPI’s data [107]. Another six targets in CPI’s data can be classified as other targets, accounting for the remaining 14% [107]. In Microsoft’s subset, 11 targets appear in an “other targets” category [36]. The analysis above found at least two of these were regional government entities while at least one was a transportation entity. This leaves at most eight other targets per the model. Microsoft’s subset further reports two targets in the consumer retail sector which brings the number of other targets to 10. Similar to CPI, then, roughly 17% of Microsoft’s subset constitute other targets. 残りのカテゴリーはメディアおよびその他の対象である。マイクロソフトのサブセットでは、57の対象のうちメディア事業体とされるのはわずか4件、7%である[36]。CPIのデータでは、6つの事業体または14%がメディアを対象としている[107]。CPIのデータでは、さらに6つの対象がその他の対象として分類され、残りの14%を占めている[107]。Microsoft のサブセットでは、「その他の標的」カテゴリーに 11 の標的が含まれている [36]。 上記の分析では、これらのうち少なくとも 2 つは地方自治体の事業体であり、少なくとも 1 つは運輸事業体であることが判明した。 したがって、モデルごとのその他の標的は最大でも 8 つとなる。 Microsoft のサブセットでは、さらに消費者向け小売セクターの 2 つの標体が報告されており、その他の標的の数は 10 となる。 CPI と同様に、Microsoft のサブセットのおよそ 17% がその他の標的である。
In sum, as shown in Fig. 1, Russian cyber operations targeted other targets and media considerably less frequently than critical infrastructure and government. While media and other targets may be less important for Ukraine’s war efforts than government and critical infrastructure, they still include entities which provide services of importance for the stability of Ukrainian society. まとめると、図1に示されているように、ロシアのサイバー作戦は、重要インフラや政府よりも、他の標的やメディアを標的にする頻度がはるかに低かった。メディアやその他の標的は、政府や重要インフラよりもウクライナの戦争努力にとって重要ではないかもしれないが、それでもウクライナ社会の安定にとって重要なサービスを提供する事業体は含まれている。
Effects 影響
Analyzing the effects of Russian cyber operations, this subsection finds that a large share of operations had payloads coded to destroy data and thus sought to achieve medium effects while another large share sought low effects through disruption and data exfiltration. Only one operation sought high effects in the form of physical destruction, although there is no clear evidence of this effect materializing. The data further suggest many operations coded to achieve medium and low effects in fact failed to achieve them, although the fog of war in Ukrainian cyberspace inevitably clouds any clear conclusion on this point. The results of the effects analysis are summarized in Fig. 2. ロシアのサイバー作戦の影響を分析した結果、作戦の大部分はデータを破壊するようコード化されたペイロードを使用しており、中程度の影響を及ぼそうとしていたことが分かった。また、別の大部分は混乱とデータ抽出により低レベルの影響を狙っていた。物理的な破壊という形で高レベルの影響を狙った作戦は1件のみであったが、この影響が実際に生じたことを示す明確な証拠はない。さらに、データは、中程度および低程度の効果を達成するようにコード化された多くの作戦が、実際にはそれらの効果を達成できなかったことを示唆している。ただし、ウクライナのサイバー空間における戦場の霧は、この点に関する明確な結論を必然的に曇らせる。効果分析の結果は図2に要約されている。
2_20240828153701
Figure 2. Distribution of effect types for Russian cyber operations with identifiable effects in CPI data (n = 29). 図2 CPIデータで識別可能な効果を持つロシアのサイバー作戦の効果タイプの分布(n = 29)。
In total, the effects of 29 operations could be identified in CPI’s data as assessed by their payloads. Microsoft’s reporting reveals the technical effects of at least 38 cyber operations in their April report, excluding an unreported number of operations with effects amounting to disruption and data exfiltration, and at least 48 cyber operations in their June report, although many of these were likely also included in the April report. 合計すると、ペイロードのアセスメントにより、CPIのデータで29件の作戦の効果を識別することができた。マイクロソフト社の報告書では、4月の報告書では少なくとも38件のサイバー作戦の技術的効果を明らかにしており、影響が混乱とデータ流出に留まる報告されていない作戦の件数は除外されている。また、6月の報告書では少なくとも48件のサイバー作戦を明らかにしているが、その多くは4月の報告書にも含まれている可能性が高い。
The only Russian operation whose payload was coded to achieve high effects was discovered on April 8. It targeted industrial control systems in Ukrainian power grid substations [36, 107]. The operation utilized malware now known as Indstroyer2 and the data-destroying CaddyWiper-malware [108]. The former was a modified version of Industroyer-malware used in cyber operations against the Ukrainian power grid in 2016 [108]. According to technical analyses, the Industroyer2 operation sought physically destructive effects, attempting to affect control systems and cut the power for up to two million Ukrainians [36, 108, 109]. Discovered quickly after payload deployment, the operation ultimately did not affect the power grid [108]. Had it been successful, it would have been a strong case for high effects. While Industroyer2 may have destroyed some hardware even if the power grid was not affected and CaddyWiper could have destroyed data on some systems, there is no evidence of this. Still, even as the Industroyer2-operation’s effects did not materialize, it was coded to achieve high effects —and was the only Russian operation to do so. ペイロードが高度な効果を達成するようにコード化された唯一のロシアの作戦は、4月8日に発見された。これは、ウクライナの送電網変電所の産業用制御システムを標的としていた[36, 107]。この作戦では、現在Indstroyer2として知られるマルウェアと、データを破壊するCaddyWiperマルウェアが利用された[108]。前者は、2016年にウクライナの電力網に対するサイバー作戦で使用されたIndustroyerマルウェアの修正版である[108]。技術的分析によると、Industroyer2作戦は物理的な破壊効果を狙っており、制御システムに影響を与え、最大200万人のウクライナ人の電力を遮断しようとしていた[36, 108, 109]。ペイロードが展開された後、すぐに発見されたため、この作戦は最終的に電力網に影響を及ぼすことはなかった [108]。 もし成功していた場合、大きな影響を及ぼした可能性が高い。 Industroyer2は、電力網に影響を及ぼさなかったとしても、一部のハードウェアを破壊した可能性があり、CaddyWiperは一部のシステム上のデータを破壊した可能性があるが、その証拠はない。それでも、Industroyer2作戦の効果が現れなかったとしても、高い効果を達成するようにコード化されていた。そして、ロシアによる作戦でそのようなコード化がなされていたのは、この作戦だけである。
Medium effects consist in data destruction. Numerous Russian operations in the CPI and Microsoft data fit this category. It is unclear, though, to what extent these effects materialized, i.e. whether the data-destructive effects coded in the cyber weapons were actually triggered on target systems. Some reporting suggests many failed. 中程度の影響は、データの破壊である。CPIとマイクロソフトのデータに対する多数のロシアによる作戦が、このカテゴリーに該当する。しかし、これらの影響がどの程度まで現れたのか、すなわち、サイバー兵器にコード化されたデータの破壊的な影響が標的システム上で実際に引き起こされたのかどうかは不明である。一部の報告では、多くの攻撃が失敗したと示唆している。
Microsoft’s April report describes “destructive” cyber operations as a prominent part of Russian activities in Ukrainian cyberspace [36]. This is Microsoft’s terminology for data-destroying operations. Microsoft reports a data set of 37 operations from 23 February until 8 April that deployed data-destroying cyber weapons [36]. In June, Microsoft claimed having witnessed “multiple waves” of data-destroying operations targeting 48 unique Ukrainian entities [2]. マイクロソフトの4月の報告書では、「破壊的」サイバー作戦がウクライナのサイバー空間におけるロシアの活動の主要な部分を占めていると述べている[36]。これは、データ破壊作戦に対するマイクロソフトの用語である。マイクロソフトは、2月23日から4月8日までの37件の作戦でデータ破壊サイバー兵器が展開されたと報告している[36]。6月には、マイクロソフトは、ウクライナの48の異なる事業体を標的とした「複数の波」のデータ破壊活動を目撃したと主張している[2]。
Likewise, in CPI’s data, numerous operations appear to have deployed cyber weapons coded to achieve medium effects. Some of these operations are also described in Microsoft’s data. At least 12 operations in CPI’s data can be classified as seeking data destruction based on observed effects or utilized cyber weapons [107]. Moreover, every identified Russian operation utilizing novel cyber weapons, which is therefore highly complex per the model and among the most costly operations, sought to destroy data [36]. That Russia sought data-destroying effects in the operations they spent the most time and resources on suggests that medium effects were prioritized. They constitute 41% of identified effects in CPI’s data. 同様に、CPIのデータでは、中程度の効果を狙ったサイバー兵器が多数展開されているように見える。これらの活動の一部は、マイクロソフトのデータでも説明されている。CPIのデータでは、少なくとも12の活動が、観測された効果や利用されたサイバー兵器に基づいて、データ破壊を目的としていると分類できる[107]。さらに、新しいサイバー兵器を利用したすべての識別されたロシアの作戦は、モデル上極めて複雑であり、最も費用のかかる作戦のひとつであるため、データの破壊を目的としていた[36]。ロシアが最も時間とリソースを費やした作戦でデータの破壊効果を狙っていたことは、中程度の効果を優先していたことを示唆している。CPIのデータで識別された効果の41%を占めている。
The analysis is complicated by difficulties confirming actual effects of cyber operations described in the data before they are discovered and mitigated. Microsoft’s June assessment said data-destroying operations had been more prevalent than the reporting at the time made them out to be [2]. The assessment does not reveal the success rate of Russian operations but states that defensive measures until late June had “withstood attacks far more often” than not [2]. If true, many operations coded to achieve medium effects likely failed to achieve them. Scholars and companies like Microsoft have posited the migration of Ukrainian data to cloud services hosted in NATO countries, where Russia is less willing and able to strike, as one factor limiting the impact of Russia’s data-destructive cyber operations [2, 30, 110]. Nevertheless, both CPI and Microsoft data indicate that a large share of Russian operations at least attempted to deploy cyber weapons coded to achieve medium effects. データが発見され、低減される前に、サイバー作戦の実際の影響を確認することが困難であることが、分析を複雑にしている。マイクロソフトの6月のアセスメントでは、データ破壊作戦は、当時報告されていたよりも広範に行われていたと述べている[2]。このアセスメントでは、ロシアの作戦の成功率は明らかにされていないが、6月下旬までの防御策は「攻撃に耐えることができた」ことが「攻撃に耐えられなかった」ことよりも多かったと述べている[2]。もしこれが事実であれば、中程度の影響を及ぼすことを目的とした多くの作戦は、おそらくその目的を達成できなかったことになる。学者やマイクロソフトのような企業は、ロシアが攻撃を行う意欲や能力が低いNATO加盟国でホストされているクラウドサービスへのウクライナのデータの移行を、ロシアのデータ破壊を目的としたサイバー作戦の影響を限定する要因のひとつとして挙げている[2, 30, 110]。しかし、CPIとマイクロソフトのデータは、ロシアによる攻撃の多くが、少なくとも中程度の影響を及ぼすようコード化されたサイバー兵器の展開を試みていたことを示している。
Low effects amount to data exfiltration or disruption of systems. The analysis finds a large share of Russian operations employing cyber weapons coded to achieve such low effects. The prevalence is comparable to and possibly greater than the prevalence of medium effects. It is again unclear how often these low effects materialized on target systems. 低影響とは、データの外部流出やシステムの混乱を指す。分析の結果、ロシアによる攻撃の多くが、このような低影響を及ぼすようコード化されたサイバー兵器を使用していたことが判明した。その割合は、中程度の影響を及ぼすようコード化されたサイバー兵器の割合と同等か、場合によってはそれを上回る可能性がある。これらの低影響が標的のシステム上でどの程度の頻度で実現されたのかは依然として不明である。
In CPI’s data, a total of 16 operations can be classified as pursuing either disruption or data exfiltration based on observed effects or cyber weapons like DDoS-attacks or data-stealing malware [107]. This is more than the 12 data-destroying operations. Microsoft does not report the precise prevalence of low effects operations. Instead, the April report observes that Russian state actors have “routinely” attempted to disrupt in addition to destroy data on networks belonging to government and critical infrastructure entities [36]. Microsoft elsewhere describes that Russian state actors both destroy and exfiltrate data on targeted systems [36]. Microsoft’s reporting thus indicates that low effects constitute a nontrivial share of observed effects on Ukrainian targets. CPIのデータでは、DDoS攻撃やデータ窃取マルウェアなどの観測された影響やサイバー兵器に基づいて、合計16件の作戦が混乱またはデータ抽出を目的としていると分類できる[107]。これは、データ破壊を目的とした12件の作戦よりも多い。マイクロソフトは、低影響作戦の正確な蔓延率を報告していない。代わりに、4月の報告書では、ロシアの国家行為者が「日常的に」、政府および重要インフラ事業体のネットワーク上のデータの破壊に加えて、混乱を引き起こそうとしていることが観察されている[36]。マイクロソフトは別の箇所で、ロシアの国家行為者が標的システム上のデータの破壊と抽出の両方を行っていると説明している[36]。したがって、マイクロソフトの報告は、ウクライナの標的で観察された影響の非無視できる割合が低影響であることを示している。
In sum, Microsoft and CPI data suggest a large share of Russian operations were coded to achieve low effects through disruption or data exfiltration. The data do not permit estimating a precise success rate for these low effects. If Microsoft’s assessment that Ukrainian defenses succeeded more often than not is true, many low effects may have failed. まとめると、マイクロソフトとCPIのデータは、ロシアの作戦の大部分が、混乱やデータ抽出を通じて低レベルの効果を達成するようにコード化されていることを示唆している。これらのデータでは、これらの低レベルの効果の正確な成功率を推定することはできない。ウクライナの防御が成功したケースの方が多いというマイクロソフトのアセスメントが正しいとすれば、多くの低レベルの効果は失敗した可能性がある。
The final category of no effects denotes a cyber operation’s failure to achieve its effects, which has been touched upon in the preceding analyses. Based on these, four points are noteworthy. First, it is often difficult to obtain reliable evidence for the effects of reported cyber operations. This complicates the analysis. Second, despite this, our analysis suggests that at least some Russian operations fail such that the effects coded in their cyber weapons do not materialize on target systems. The data includes several such failures. Other sources corroborate Microsoft’s claim on the success of Ukrainian defenses [111, 112]. Third, it is clear, however, that Russia has succeeded to some extent in achieving medium and low effects. Several such successes are evident in the data. What is also clear, as a fourth point, is the absence of high effects. 最後の「影響なし」のカテゴリーは、サイバー作戦がその効果を達成できなかったことを意味し、これは前述の分析でも触れた。これらを踏まえると、4つの点が注目に値する。第一に、報告されたサイバー作戦の影響について、信頼できる証拠を入手することはしばしば困難である。これは分析を複雑にする。第二に、それにもかかわらず、我々の分析では、少なくとも一部のロシアの作戦は、そのサイバー兵器にコード化された影響が標的システム上で実現されないような失敗を犯していることが示唆されている。データには、そのような失敗例がいくつか含まれている。他の情報源も、ウクライナの防衛が成功したというマイクロソフトの主張を裏付けている[111, 112]。第三に、しかし、ロシアが中程度および低程度の影響をある程度達成していることは明らかである。そのような成功例はデータにもいくつか見られる。第四に、高影響の欠如も明らかである。
Complexity 複雑性
This subsection analyzes the complexity of Russian cyber operations based on the low, medium, and high complexity categories reflecting the respective use of DDoS or other simple brute-forcing methods, known malware and tools, and novel malware and tools. The majority of operations across the period of observation are of medium complexity but the ratio between complexity categories changes through time. See Fig. 3 for the overall distribution of complexity types in Russian cyber operations. この小項では、DDoS攻撃やその他の単純なブルートフォース法、既知のマルウェアやツール、新しいマルウェアやツールの使用状況を反映した低、中、高の複雑さのカテゴリーに基づいて、ロシアのサイバー作戦の複雑さを分析する。 観測期間中の作戦の大部分は中程度の複雑さであるが、複雑さのカテゴリー間の比率は時とともに変化している。 ロシアのサイバー作戦における複雑さのタイプ全体の分布については図3を参照のこと。
3_20240828153901
Figure 3. Distribution of complexity of Russian cyber operations with identifiable complexity types in CPI data (n = 29). 図3 CPIデータで識別可能なロシアのサイバー作戦の複雑さの分布(n=29)。
The complexity of 29 Russian operations can be identified in CPI’s data [107]. 18 are medium complexity operations, nine are high complexity, and two are low complexity. Microsoft’s reporting reveals a comparable ratio with nine high complexity operations, an unspecified number of medium complexity operations that is likely in the high 20’s to low 30’s, and four low complexity operations. CPIのデータでは、ロシアによる29件の作戦の複雑性を識別できる[107]。そのうち18件は中程度の複雑性、9件は高複雑性、2件は低複雑性である。マイクロソフト社の報告では、高複雑性作戦が9件、中複雑性作戦が20件後半から30件前半と思われる不特定の数、低複雑性作戦が4件となっている。
A total of nine high complexity operations are evident across CPI and Microsoft data [36, 107]. These operations utilized malware and tools not deployed previously —even in modified versions. One operation took place in the run-up to the invasion, four operations coincided with the invasion’s beginning, and two operations were discovered three and four weeks into the invasion. The remaining two operations occurred much later in September and October, suggesting a 6-month hiatus in the interim [36, 107, 113]. High complexity operations thus coincided with the outbreak of warfighting and dropped in prevalence as warfighting continued until a sudden but short-lived return in the fall. CPIとマイクロソフトのデータによると、合計9件の高度な複雑性を持つ作戦が明らかになっている[36, 107]。これらの作戦では、修正版であっても、これまで展開されていなかったマルウェアやツールが使用された。1件の作戦は侵攻の直前に行われ、4件の作戦は侵攻の開始と同時に行われ、2件の作戦は侵攻から3週間後と4週間後に発見された。残りの2つの活動は9月と10月に発生しており、その間6か月間活動が休止していたことが示唆されている[36, 107, 113]。このように、高度な複雑性を持つ活動は戦争の勃発と時を同じくして発生し、戦争が継続するにつれて減少したが、秋には突然、短期間ながら再び増加した。
For example, Russia deployed data-destroying malware against critical infrastructure and government entities on 23 February, hours before the conventional invasion commenced [36]. This “FoxBlade”-malware had not previously been observed [114]. FoxBlade was designed to target specific systems and only propagate on specific networks, showing high target specificity [36]. Technical analyses by ESET indicate that actors behind the FoxBlade-operation likely compromised the targets several weeks before 23 February [115]. This implies high costs in terms of resources and time. The novelty, target specificity, and cost of the FoxBlade-operation point to it being high complexity. 例えば、ロシアは2月23日、通常戦の開始数時間前に、データ破壊マルウェアを重要なインフラおよび政府事業体に展開した [36]。この「FoxBlade」マルウェアは、それまで観測されたことはなかった [114]。FoxBladeは特定のシステムを標的にし、特定のネットワーク上でのみ拡散するように設計されており、高い標的特異性を示している[36]。ESETによる技術的分析によると、FoxBlade作戦の背後にいる攻撃者は、2月23日の数週間前に標的を侵害した可能性が高い[115]。これは、リソースと時間という観点で高いコストを要することを意味する。FoxBlade作戦の新規性、標的特異性、およびコストは、その作戦が高度な複雑性を備えていることを示している。
Another example of high complexity is the 24 February attack on Viasat that left Ukrainian customers, including parts of Ukrainian military, without internet [36, 116, 117] (Some have questioned whether AcidRain had a sizeable and long-lasting impact on Ukrainian military communications [118]. This does not change the classification of the AcidRain operation as highly complex per the TECI-model given the nondisputed reports of its utilizing novel malware. It does, however, underscore that even a highly complex cyber operation is not automatically guaranteed to succeed.). The operation utilized novel “AcidRain”-malware, which was unique for the operation and so indicates high complexity [107, 117]. Besides AcidRain and FoxBlade, the high complexity operations utilized specifically developed and novel malware now known as WhisperGate, SonicVote, Lasainraw, DesertBlade, CaddyWiper, FiberLake, and Prestige ransomware [36, 114, 115, 119, 120]. Some have since been recycled in other operations, in which case they signify medium rather than high complexity. 高複雑性のもう一つの例は、2月24日のViasatに対する攻撃で、ウクライナ軍の一部を含むウクライナの顧客がインターネットにアクセスできなくなったことである[36, 116, 117](一部では、AcidRainがウクライナ軍のコミュニケーションに多大かつ長期的な影響を与えたかどうか疑問視する声もある[118]。このことは、その作戦が新しいマルウェアを使用しているという疑いの余地のない報告があることから、TECIモデルに基づく高度に複雑なAcidRain作戦という分類を変えるものではない。しかし、高度に複雑なサイバー作戦であっても、自動的に成功が保証されるわけではないことを強調している。この作戦では、新しい「AcidRain」マルウェアが使用された。これはこの作戦に特有のものであり、高度な複雑性を示すものである[107, 117]。AcidRainやFoxBladeの他にも、WhisperGate、SonicVote、Lasainraw、DesertBlade、CaddyWiper、FiberLake、およびPrestigeランサムウェアとして現在知られている、特に開発された新しいマルウェアが、高度な複雑性を持つ活動で利用されている[36, 114, 115, 119, 120]。 そのうちのいくつかは、その後他の活動で再利用されており、その場合は、高度な複雑性ではなく中程度の複雑性を示す。
Medium complexity operations over time become the most prevalent in the CPI and Microsoft data. These operations utilize previously observed malware or tools by either recycling those cyber weapons without alterations or modifying them to some extent. 中程度の複雑さの攻撃は、時間の経過とともに、CPIとマイクロソフトのデータで最も多く見られるようになる。これらの攻撃では、以前に観測されたマルウェアやツールを再利用するか、ある程度変更を加えて使用する。
Microsoft’s April report shows that at least FoxBlade, SonicVote, and DesertBlade are utilized in new operations after their discovery [36]. In other reporting, Microsoft describes CaddyWiper as being recycled [114]. Moreover, Microsoft generally observes that Russian state actors tend to modify utilized malware between operations [36]. As analyzed above, in Microsoft’s April report, only 5 of 37 data-destructive incidents between 23 February and 8 April were high complexity operations [36]. Although the data does not allow for a detailed analysis of every incident, the relatively small number of incidents attributable to high complexity operations suggests that a large share of the 37 incidents could be attributed to operations using recycled or modified malware. マイクロソフト社の4月の報告書では、少なくともFoxBlade、SonicVote、DesertBladeは、発見後も新たな活動で利用されていることが示されている [36]。 別の報告書では、マイクロソフト社はCaddyWiperが再利用されていると説明している [114]。 さらに、マイクロソフト社は一般的に、ロシアの国家機関が活動の間に利用するマルウェアを変更する傾向があることを観察している [36]。上述の分析によると、マイクロソフトの4月の報告書では、2月23日から4月8日までの間に発生したデータ破壊インシデント37件のうち、高度な複雑性を持つ作戦とされたのは5件のみであった [36]。 データでは個々のインシデントの詳細な分析はできないが、高度な複雑性を持つ作戦とされたインシデントの数が比較的少ないことから、37件のインシデントの多くは、再利用または修正されたマルウェアを使用する作戦によるものである可能性が高い。
Roughly 31% of Russian operations in CPI’s data are of high complexity whereas 62% are medium and 7% are low complexity [107]. Thus, for the entire period from January until December, medium complexity operations are almost twice as prevalent as high complexity operations. This trend is reversed in the beginning of the invasion, however. Seven cases of high complexity operations in the CPI data occur before 17 March within the first month of warfighting. Conversely, 16 of 18 medium complexity operations occur after 22 March. Essentially, Russia mostly conducted high complexity operations in the war’s first weeks after which medium complexity operations become more frequent while high complexity operations disappear until the fall. CPIのデータにおけるロシアの活動のおよそ31%は高複雑度のものであり、62%は中程度、7%は低複雑度のものである[107]。したがって、1月から12月までの全期間において、中程度複雑度の活動は高複雑度の活動のほぼ2倍の頻度で発生している。しかし、侵攻の初期にはこの傾向は逆転する。CPIのデータにおける高複雑度活動の7件は、戦闘開始から1か月以内の3月17日以前に発生している。逆に、中程度の複雑性を持つ作戦の18件のうち16件は3月22日以降に発生している。基本的に、ロシアは戦争の最初の数週間は主に高複雑性作戦を実施し、その後は中程度の複雑性を持つ作戦がより頻繁に行われるようになり、秋までは高複雑性作戦は行われなくなった。
Low complexity operations cover the use of DDoS-attacks. Only few of the observed cyber operations fall into this category. Microsoft’s reporting includes four cyber operations utilizing DDoS [36]. The CPI data includes two cases [107]. Russian state actors thus rarely utilized DDoS-attacks. Moreover, all low complexity operations except one occurred before the war. The sole exception is the use of DDoS in conjunction with AcidRain-malware in the operation against Viasat on the invasion’s first day. 低複雑性作戦にはDDoS攻撃の使用が含まれる。観測されたサイバー作戦のうち、このカテゴリーに該当するものはわずかである。Microsoftの報告書には、DDoSを使用した4件のサイバー作戦が含まれている[36]。CPIデータには2件の事例が含まれている[107]。したがって、ロシアの国家主体がDDoS攻撃を利用することはまれである。さらに、低複雑性攻撃は1件を除いてすべて戦争前に発生している。唯一の例外は、侵攻初日にViasatに対する攻撃で、AcidRainマルウェアと併用したDDoS攻撃である。
In short, Russia deprioritized low complexity nonmalware operations once warfighting commenced in favor of initially high and later medium complexity operations. つまり、ロシアは戦争が始まると、低複雑性でマルウェアを使用しない攻撃の優先順位を下げ、当初は高複雑性、後に中複雑性の攻撃を優先した。
Integration 統合
Analyzing the integration between cyber and noncyber capabilities, this subsection finds relatively few Russian cyber operations integrated with conventional operations. For most cyber operations, there is no evidence to suggest their being integrated with other capabilities. When integration is evident, though, it is predominantly in the form of low integration and largely in the first weeks of the war. Across the CPI and Microsoft data, a total of nine cyber operations could be identified as constituting some form of integration. The results are summarized in Fig. 4. サイバー能力と非サイバー能力の統合を分析したこの小項では、ロシアのサイバー作戦で通常作戦と統合されたものは比較的少ないことが分かった。ほとんどのサイバー作戦では、他の能力と統合されたことを示す証拠は見つからなかった。ただし、統合が明らかな場合、そのほとんどは低レベルの統合であり、主に戦争の最初の数週間に実施されている。CPIとマイクロソフトのデータ全体を通じて、何らかの統合形態をとっていると識別されたサイバー作戦は合計9件であった。結果は図4に要約されている。
4_20240828154301  
Figure 4. 図4
Distribution of integration types of Russian cyber operations identifiable in CPI and Microsoft data (n = 9). CPIとマイクロソフトのデータで識別可能なロシアのサイバー作戦の統合タイプの分布(n = 9)。
High integration occurs when a cyber operation is supporting a noncyber operation to contribute to its successful completion. The analysis shows two Russian cyber operations that live up to this standard. The first case is the cyber operation against the Zaporizhzhia nuclear powerplant discovered on 2 March [2]. A Russian state actor moved laterally on networks belonging to the nuclear power company running the facility. A day later, Russian conventional forces attacked and occupied the nuclear plant with video footage suggesting the attack was planned in advance [121]. In the absence of public evidence of other actions or intentions of the actor besides their lateral movement, it is not possible to indisputably prove that the cyber operation supported the conventional operation. Since the cyber operation closely preceded the conventional operation and Ukrainian forces were present at the plant, though, it is conceivable that the cyber operation sought to collect intelligence on the plant to support a later conventional attack. On this reading, the Zaporizhzhia operation constitutes high integration. 高度な統合は、サイバー作戦が非サイバー作戦を支援し、その成功に貢献する場合に発生する。分析では、この標準を満たす2つのロシアのサイバー作戦が確認された。最初のケースは、3月2日に発見されたザポリージャ原子力発電所に対するサイバー作戦である[2]。ロシアの国家主体が、その施設を運営する原子力発電会社のネットワーク上で水平移動した。その翌日、ロシアの通常戦力部隊が原子力発電所を攻撃し占領した。その攻撃は事前に計画されていたことを示すビデオ映像が残されている[121]。アクターによる他の行動や意図を示す公開された証拠がないため、サイバー作戦が通常作戦を支援したことを明確に証明することはできない。しかし、サイバー作戦は通常作戦に先立って行われたものであり、ウクライナ軍が原子力発電所に駐留していたことから、サイバー作戦は後の通常攻撃を支援するために発電所に関する情報を収集しようとした可能性がある。この解釈に基づけば、ザポリージャ作戦は高度な統合を構成する。
The second case is the AcidRain-operation against Viasat on 24 February. According to Victor Zhora, deputy chairman of Ukrainian cybersecurity agency SSSCIP, the effects were a “huge loss in communications in the very beginning of the war” [122]. US Secretary of State Antony Blinken stated the operation intended to disrupt Ukrainian command and control [123]. Subsequent reports have questioned whether AcidRain had a “huge” impact on Ukrainian military communication systems or rather impacted a backup communication method [118]. Either way, the operation sought to disrupt Ukrainian C2 and contribute positively to Russia’s concurrent offensive, satisfying the supportive integration logic. The AcidRain-operation is thus a case of high integration of cyber and noncyber capabilities. 2つ目の事例は、2月24日のViasatに対するAcidRain作戦である。ウクライナのサイバーセキュリティ機関SSSIPの副会長であるVictor Zhora氏によると、その影響は「戦争の初期段階におけるコミュニケーションの大きな損失」であったという[122]。米国務長官のアンソニー・ブリンケンは、この作戦はウクライナの指揮統制を混乱させることを意図したものだと述べた[123]。その後の報告では、AcidRainがウクライナ軍の通信システムに「甚大な」影響を与えたのか、それともバックアップの通信手段に影響を与えたのかが疑問視されている[118]。いずれにしても、この作戦はウクライナのC2を混乱させ、同時に行われていたロシアの攻撃に積極的に貢献することを目的としており、支援的統合ロジックを満たしている。したがって、AcidRain作戦はサイバーおよび非サイバー能力の高度な統合の事例である。
Medium integration refers to cyber capabilities coordinated with conventional capabilities in the planning phase of an operation, for example when military staffs decide between cyber and noncyber courses of action. The analysis finds only one case, namely the Industroyer2-operation against Ukrainian substations on April 8 [36, 107, 108]. As shown in the effects analysis, although it was ultimately prevented, the cyber operation sought the physical destruction of hardware in substations to shut off electricity for millions of Ukrainians. This effect could reasonably have been achieved by conventional means. One method would be a missile attack similar to the thousands already conducted by Russia [124]. In fact, Russia routinely used missiles to damage Ukrainian critical infrastructure [125]. Instead of achieving the destructive effect through a kinetic explosion, the Industroyer2-operation sought to achieve it through malware, thus suggesting that some form of coordination and deconfliction of cyber and noncyber capabilities in the planning phase had preceded the execution of the operation. It is thus a case of medium integration. The data indicate no other plausible cases. 中程度の統合とは、作戦の計画段階でサイバー能力が通常戦力と調整されることを指し、例えば軍事スタッフがサイバー作戦と通常戦力のどちらの行動方針をとるかを決定する場合などがこれに該当する。分析の結果、該当する事例は1件のみ、すなわち4月8日にウクライナの変電所に対して実施されたIndustroyer2作戦のみであることが判明した[36, 107, 108]。影響分析で示されているように、最終的には阻止されたものの、このサイバー作戦は、変電所のハードウェアを物理的に破壊して、数百万人のウクライナ人の電気を遮断することを目的としていた。この影響は、従来の手段によっても十分に達成可能であった。その手段の一つは、ロシアがすでに数千回実施しているミサイル攻撃である [124]。実際、ロシアは日常的にミサイルを使用してウクライナの重要インフラに損害を与えていた [125]。運動爆発による破壊効果を狙うのではなく、Industroyer2作戦ではマルウェアによって破壊効果を狙ったため、作戦の実行に先立って、計画段階でサイバーおよび非サイバー能力の何らかの調整とデコンフリクトが行われたことが示唆される。したがって、これは中程度の統合の事例である。データからは、他に妥当な事例は見当たらない。
Low integration means that cyber capabilities are aligned with noncyber capabilities in terms of timing, targeting, and general purpose without directly supporting the latter. With CPI and Microsoft data showing six cases of low integration, it is the most prevalent form of integration. One of the six cases is the FoxBlade operation against government entities discovered on 23 February. This cyber operation sought to destroy data on government servers [2, 36]. Meanwhile, Russia conducted missile attacks in the beginning of the war against a specific government data center [2, 126]. In other words, conventional capabilities also targeted government entities’ access to data in the war’s beginning. This means FoxBlade was aligned with conventional strikes on the data center in terms of timing, targeting, and the general purpose of denying the government access to data. It is then a case of low integration. 低統合とは、サイバー能力がタイミング、標的、および汎用性の観点で非サイバー能力と調整されているものの、後者を直接支援するものではないことを意味する。CPIとマイクロソフトのデータでは、低統合の事例が6件確認されており、統合の最も一般的な形態である。6件の事例のうちの1つは、2月23日に発見された政府事業体に対するFoxBlade作戦である。このサイバー作戦は、政府サーバー上のデータを破壊することを目的としていた[2, 36]。一方、ロシアは戦争の初期段階で、特定の政府データセンターに対してミサイル攻撃を実施した[2, 126]。つまり、従来の能力も戦争の初期段階では、政府事業体のデータへのアクセスを標的にしていた。これは、タイミング、標的、そして政府のデータへのアクセスを妨害するという一般的な目的において、FoxBladeがデータセンターに対する従来の攻撃と一致していたことを意味する。したがって、これは低統合の事例である。
The five other cases of low integration in the data are evident on 17 February, between 28 February and 1 March, 4 March, 11 March, and 29 April [2, 36, 127]. Together with the FoxBlade operation on 23 February, the data suggest that low integration is primarily present in the war’s beginning —as was the case for medium and high integration. This coincides with the Russian spring offensive. Notably, though, Microsoft has reported that Russian missile attacks in October coincided with data-destroying cyber operations against critical infrastructure [113]. The cyber operations were thus associated with missile attacks in terms of timing, targets, and geography, indicating low integration [113]. These plausible cases of low integration came after a months-long hiatus in data-destructive cyber operations per Microsoft, which is also evident in our analysis of CPI data. Although the reported data lack detail, they point to Russia pursuing low integration during the Ukrainian fall offensive after a long hiatus without integration since their own offensive. データにおける低統合の他の5つの事例は、2月17日、2月28日から3月1日、3月4日、3月11日、4月29日に明白である[2, 36, 127]。2月23日のFoxBlade作戦と併せて、データは、低統合が主に戦争の初期に存在していたことを示唆している。これは、中程度および高統合の場合と同様である。これは、ロシアの春の攻勢と一致する。注目すべきは、Microsoftが、10月のロシアのミサイル攻撃は、重要インフラに対するデータ破壊サイバー作戦と一致していたと報告していることである[113]。したがって、このサイバー作戦は、タイミング、標的、地理的な観点からミサイル攻撃と関連しており、統合の度合いが低いことを示している[113]。 このような統合の度合いが低いと思われる事例は、マイクロソフト社によると、データ破壊を目的としたサイバー作戦が数か月間中断した後に発生しており、これはCPIデータの分析でも明らかである。 報告されたデータは詳細に欠けるが、ロシアがウクライナの秋の攻勢時に、自らの攻勢以来、統合を伴わない長い中断期間を経て、統合の度合いが低いことを示している。
Altogether, the analysis found nine operations constituting integration between cyber and noncyber capabilities. No integration is thus the most prevalent integration category. The analysis is complicated, however, by limited access to data on both cyber and conventional operations in Ukraine. Even with this caveat, the analysis suggests a large majority of Russian cyber operations were not integrated with noncyber capabilities. This echoes the findings of Bateman as well as Mueller et al. [28, 30]. 分析の結果、サイバーおよび非サイバー能力の統合を構成する作戦は9件であることが判明した。統合なしが最も多い統合カテゴリーである。ただし、ウクライナにおけるサイバーおよび通常作戦に関するデータへのアクセスが限られているため、分析は複雑になっている。この注意書きがあるにもかかわらず、分析結果は、ロシアのサイバー作戦の大半は非サイバー能力と統合されていないことを示唆している。これは、バトマンの研究結果と同様、ミューラーらの研究結果とも一致している[28, 30]。
Four notable trends 4つの注目すべき傾向
In applying the TECI-model on Russian cyber operations in Ukraine, the article finds four notable trends. First, Russian operations rarely sought physically destructive high effects, opting instead for medium or low effects. Second, the effects often failed to materialize. In particular, there are no known successful high effects. Third, over time, Russia mostly conducted medium complexity operations by recycling or modifying used malware and tools, although they opted for high complexity operations using novel malware and tools in the war’s first weeks. Fourth, Russian cyber operations were seldom integrated with noncyber capabilities, and when they were it was predominantly in the war’s first weeks and in the form of low integration. 本記事では、TECIモデルをウクライナにおけるロシアのサイバー作戦に適用し、4つの注目すべき傾向を見出している。まず、ロシアの作戦は物理的な破壊による高い効果をめったに求めず、代わりに中程度または低効果を選んでいる。次に、その効果はしばしば実現しなかった。特に、高い効果を成功させた事例は知られていない。第三に、ロシアは、戦争の最初の数週間は新しいマルウェアやツールを使用した高難度の作戦を選択していたが、その後は使用済みのマルウェアやツールを再利用または修正することで、主に中程度の難度の作戦を実施した。第四に、ロシアのサイバー作戦は、サイバー以外の能力と統合されることはほとんどなく、統合されたとしても、それは戦争の最初の数週間に限られ、統合の度合いも低かった。
These findings largely corroborate and add detail to studies published since the outbreak of war [128, 31, 32, 30]. In their 2023 report, Mueller et al. [30] conclude that Russia struggled to integrate cyber and conventional operations and that observed cyber operations mostly opted for “disruption” instead of “degradation” without targeting military entities as often as expected. They argue cyber operations may be more apt at shaping strategic interactions than determining tactical outcomes where conventional means prove better suited, pithily noting: “Why hack what you can destroy?” [30]. Even as the trends in the mentioned studies and this article are largely similar, utilizing a common model such as TECI would have improved the ability to systematically compare and discuss the trends and their hypothesized explanations between the studies. これらの調査結果は、戦争勃発後に発表された研究結果を概ね裏付け、さらに詳細を追加するものである [128, 31, 32, 30]。 2023年の報告書で、ミューラー氏らは [30] 、ロシアはサイバー作戦と通常作戦の統合に苦戦しており、観測されたサイバー作戦のほとんどは、想定されていたほど軍事事業体を標的にせず、「機能低下」ではなく「機能破壊」を選択していたと結論付けている。彼らは、サイバー作戦は、通常手段の方が適している戦術的な結果を左右するよりも、戦略的な相互作用を形成するのに適している可能性があると主張し、「破壊できるものをなぜハッキングするのか?」と簡潔に指摘している[30]。前述の研究と本記事の傾向は概ね類似しているが、TECIのような共通のモデルを利用すれば、研究間の傾向とその仮説的説明を体系的に比較・議論する能力が改善されたであろう。
Limited with exceptions: the utility of cyber operations in war 例外はあるが限定的:戦争におけるサイバー作戦の有用性
What do the analyzed trends from Ukraine reveal about the utility of offensive cyber operations in war? This section examines the question in three parts by assessing the utility on strategic, operational, and tactical levels of warfighting. Besides its use in Western military doctrine, the tripartition of warfighting clarifies and delineates where cyber operations may be of utility in the complex and wide-ranging phenomenon of warfighting. What is of utility for a platoon of soldiers in battle —and the characteristics that govern whether a cyber operation can be of such utility— may be different from what is of utility when organizing a nation’s resources to win a war. The tripartition is a simple methodological framework for finding these differences. ウクライナにおける分析された傾向は、戦争における攻撃的サイバー作戦の有用性について何を明らかにしているのだろうか? このセクションでは、戦争遂行における戦略、作戦、戦術の各レベルにおける有用性をアセスメントすることで、この問題を3つのパートに分けて検証する。西側の軍事理論における使用法に加え、戦争遂行の3つの区分は、複雑かつ広範な戦争遂行の現象においてサイバー作戦が有用となり得る領域を明確化し、区分するものである。戦闘中の小隊の兵士にとって有用なものは何か、そして、サイバー作戦がそのような有用性を持つかどうかを決定する特性は何か、という点については、戦争に勝つために国家の資源を組織化する際に有用なものと異なる可能性がある。3つの区分は、これらの相違を見出すための単純な方法論的枠組みである。
The strategic level of warfare concerns a state’s disposition of national resources and instruments of power to wage war [129]. These get at not only a nation’s ability but also its will to wage war. To achieve strategic utility a cyber operation must therefore generate advantages on this strategic level by improving one’s own or undermining the adversary’s ability or will to wage war by affecting national resources or instruments of power. 戦争の戦略レベルでは、国家の国家資源の配分と戦争遂行のための手段が問題となる[129]。これらは国家の能力だけでなく、戦争遂行の意志にも関わる。戦略的有用性を達成するためには、サイバー作戦は国家資源や戦争遂行の手段に影響を与えることで、自国の能力を改善し、あるいは敵国の能力や戦争遂行の意志を損なうことで、この戦略レベルで優位性を生み出さなければならない。
The operational level concerns military campaigns deploying larger military units in larger geographic areas —theaters of operations— to realize operational objectives that contribute to strategic goals [129]. Operational utility entails providing military advantages against the adversary in a specific theater of operations. A cyber operation should thus improve the ability of units in a theater to accomplish objectives, for example by worsening the adversary’s general combat effectiveness in the specific theater. 作戦レベルは、より広大な地理的領域(作戦地域)に大規模な軍事部隊を展開し、戦略目標に貢献する作戦目標を達成する軍事キャンペーンに関わるものである。[129] 作戦上の有用性は、特定の作戦地域において敵対者に対する軍事的優位性を提供することを意味する。したがって、サイバー作戦は、例えば特定の作戦地域における敵対者の戦闘能力全般を低下させることによって、作戦地域内の部隊が目標を達成する能力を改善すべきである。
The tactical level concerns task-specific deployment of smaller military units in specific terrain generating effects that contribute to larger operational objectives through, e.g. localized engagements with adversarial forces [129]. Cyber operations achieve tactical utility by generating advantages for a friendly unit in its assigned task, for example against an adversarial unit. This could involve worsening the adversarial unit’s ability to maneuver, fire, survive, or otherwise succeed in the local engagement. 戦術レベルでは、特定の地形におけるより小規模な軍事部隊の任務特化型展開が問題となる。これにより、例えば敵対的部隊との局地的な交戦を通じて、より大きな作戦目標に貢献する効果が生成される[129]。サイバー作戦は、例えば敵対的部隊に対する任務において、味方部隊に優位性をもたらすことで戦術的効用を達成する。これには、敵対的部隊の機動、射撃、生存、または局地的な交戦におけるその他の成功能力を低下させることが含まれる可能性がある。
In sum, the strategic, operational, or tactical utility of a cyber operation is a matter of generating advantages on the corresponding levels of warfare. These different levels of warfighting can overlap [129]. A general advantage for units in a theater could spill over to the tactical level by creating a local advantage in a specific battle. Disrupting a power grid, which undermines national resources and provides strategic utility, could provide operational utility by limiting access to electricity, which worsens the combat effectiveness of units in an entire theater. This means a cyber operation can be of utility on multiple levels. 要約すると、サイバー作戦の戦略的、作戦的、戦術的有用性とは、対応する戦闘レベルで優位性を生成することである。これらの異なる戦闘レベルは重複することがある[129]。ある戦域における部隊の一般的な優位性は、特定の戦闘における局地的な優位性を生み出すことで戦術レベルに波及する可能性がある。電力網を混乱させることで国家資源を損傷させ、戦略的な有用性を実現できるが、それによって戦域全体の部隊の戦闘能力が低下し、電力へのアクセスが制限されることで作戦上の有用性が実現できる可能性もある。つまり、サイバー作戦は複数のレベルで有用性を発揮できるということである。
Strategic utility 戦略的有用性
Previous research both question and advocate for the strategic utility of cyber operations. Maschmeyer sees the trilemma of speed, intensity, and control as limiting the strategic potential [6]. Smeets instead writes of the strategic promise of cyber operations as force-multipliers and independent assets [14]. This article qualifies these perspectives as they pertain to the strategic utility of cyber operations in warfighting. Indeed, this article argues that, while no single cyber operation is likely to achieve strategic utility on its own, the impact of multiple sustained cyber operations can cumulatively achieve strategic utility. This appears to be the case for Russia in Ukraine, although the utility has been costly and dwarfed by the cumulative utility of conventional operations. これまでの研究では、サイバー作戦の戦略的有用性について疑問を呈する意見と支持する意見の両方が見られる。Maschmeyerは、速度、強度、制御のトリレンマが戦略的可能性を制限すると考えている[6]。Smeetsは、サイバー作戦の戦略的潜在力について、戦力増強効果と独立した資産として書いている[14]。本稿では、戦闘におけるサイバー作戦の戦略的有用性に関連するこれらの見解を検証する。実際、本稿では、単独のサイバー作戦が戦略的有用性を達成することはまずないが、持続的な複数のサイバー作戦のインパクトは累積的に戦略的有用性を達成しうると論じている。これはウクライナにおけるロシアのケースに当てはまると思われるが、その有用性はコストがかさみ、通常作戦の累積的有用性に比べると取るに足らない。
Prima facie, the target analysis of Russian cyber operations indicated a large potential for strategic utility. Russia predominantly targeted critical infrastructure and government entities, which fall under Ukraine’s national resources and instruments of power important for their ability and will to wage war. Analyses of other model variables sow doubt about this potential, however. Especially the effects analysis reveals the limitations of Russia’s cyber operations. 一見したところ、ロシアのサイバー作戦のターゲット分析は、戦略的有用性の大きな可能性を示唆している。ロシアは主に、ウクライナの戦争遂行能力と意志にとって重要な国家資源と権力手段に該当する、重要なインフラと政府事業体を標的にしていた。しかし、他のモデル変数の分析は、この可能性に疑問を投げかけている。特に、効果分析はロシアのサイバー作戦の限界を明らかにしている。
If a single cyber operation is to generate strategic utility by itself, it is arguably more likely to do so by physically destroying national resources or instruments of power. This is one possibility Smeets sees for a cyber operation to fulfill its strategic promise [14]. Only the Industroyer2-operation was coded to achieve such physically destructive high effects, however. The rarity of operations seeking physical destruction naturally limits Russia’s potential for strategic utility through their cyber operations. 単独のサイバー作戦がそれ自体で戦略的有用性を生み出すのであれば、国家資源や権力手段を物理的に破壊することによって、その可能性はより高くなるだろう。これが、Smeetsが戦略的潜在能力を満たすサイバー作戦の可能性として挙げているものである[14]。しかし、物理的な破壊による高い効果を達成したとコード化されたのは、Industroyer2作戦のみであった。物理的な破壊を目的とする作戦が稀であるため、当然ながら、ロシアのサイバー作戦による戦略的有用性の可能性は限られている。
Why did Russia not conduct more high-effect cyber operations? One explanation is the extraordinary availability of conventional weapons suitable for physical destruction. A cyber operation typically takes much longer to plan and stage than missile attacks. The chance of success may also have been higher for a Russian kinetic attack. After all, the analysis showed that a large share of cyber operations failed to achieve the effects, which their cyber weapons were coded to achieve. All of this suggests that highly severe effects are more easily and reliably achieved by conventional means. なぜロシアは、より効果の高いサイバー作戦を実行しなかったのか? その理由の一つとして、物理的破壊に適した通常兵器が豊富に利用可能であったことが挙げられる。 サイバー作戦は通常、ミサイル攻撃よりも計画と実行に多くの時間を要する。 また、ロシアの運動エネルギー攻撃は成功する可能性も高かったかもしれない。 結局のところ、分析の結果、サイバー作戦の大部分は、そのサイバー兵器がコード化された効果を達成できなかったことが明らかになった。これらのすべてが、非常に深刻な影響は従来型の手段によってより容易かつ確実に達成できることを示唆している。
Had the Industroyer2-operation been successful, it might have been able to provide strategic utility; cutting the power for 2 million Ukrainians would arguably have negatively influenced Ukraine’s ability and will to wage war. So why was Industroyer2 not successful? One reason may be its medium degree of complexity. It recycled malware observed before by the defender, making it easier to discover and mitigate. Indeed, if Ukrainian cyber forces have been able to react to novel malware used in Russia’s high complexity operations and adapt their defenses accordingly, they will likely have had an easier time discovering and mitigating later operations merely recycling such malware. Reports indicate that Ukraine aided by Western actors built a relatively capable and responsive cyber defense [111]. This can explain why Industroyer2 and other Russian operations failed. Recycling malware made them too easy to discover and mitigate. In other words, cyber operations of medium and low complexity are less likely to achieve successful effects than high complexity operations. 仮に「インダストロイヤー2」作戦が成功していた場合、戦略的な有用性を提供できた可能性がある。200万人のウクライナ人の電力供給を遮断することは、間違いなくウクライナの戦争遂行能力と意志に悪影響を及ぼしただろう。では、なぜ「インダストロイヤー2」は成功しなかったのか? その理由の一つとして、その作戦の複雑さが中程度であったことが考えられる。この作戦では、以前に防御側が確認したマルウェアが再利用されており、発見や低減が容易であった。実際、ウクライナのサイバー部隊がロシアの高複雑性作戦で使用された新しいマルウェアに反応し、それに応じて防御を適応させることができていたのであれば、その後、そのようなマルウェアを再利用した作戦を発見し、低減することはより容易であった可能性が高い。報告によると、ウクライナは西側の支援を受けて、比較的対応能力の高いサイバー防衛を構築したという[111]。これが、Industroyer2やその他のロシアの作戦が失敗した理由を説明できる。マルウェアを再利用したことで、発見や低減が容易になりすぎたのだ。言い換えれば、中程度および低程度の複雑さのサイバー作戦は、高程度の複雑さの作戦よりも効果を達成できる可能性が低い。
High complexity operations are comparatively more likely to achieve not only successful effects but also high effects. This is because achieving physical destruction typically necessitates the specific manipulation of specific industrial control systems. This high degree of specificity is arguably more difficult to realize by recycling older malware compared to developing novel and tailored malware, which means that high complexity operations are more suited for this task than medium complexity operations. In sum, high complexity operations are more likely to achieve both successful effects and high effects. Together with the assumption that a cyber operation is more likely to provide strategic utility by generating high effects, it follows that high complexity operations are more likely to achieve strategic utility than other operation types. This is unfortunate for the strategic utility potential of Russian cyber operations since relatively few of them were of high complexity compared to medium complexity, and almost all high complexity operations were conducted in the war’s first month. 高複雑性作戦は、成功効果だけでなく、高い効果も達成できる可能性が比較的高い。これは、物理的な破壊を達成するには、通常、特定の産業用制御システムの特定の操作が必要となるためである。この高い特異性は、新規で特注のマルウェアを開発するよりも、古いマルウェアを再利用する方が実現が難しいことは明らかである。つまり、高複雑性作戦は中複雑性作戦よりもこの作業に適している。まとめると、高複雑性作戦は成功効果と高い効果の両方を達成できる可能性が高い。サイバー作戦は高い効果を生成することで戦略的有用性をより提供できるという前提と併せて考えると、高複雑性作戦は他の作戦タイプよりも戦略的有用性を達成できる可能性が高いということになる。これは、ロシアのサイバー作戦の戦略的有用性の潜在的可能性にとっては残念なことである。なぜなら、中程度の複雑性と比較して、高複雑性の作戦は比較的少なく、高複雑性作戦のほぼすべてが戦争の最初の月に実施されたからである。
The relatively few high complexity operations can be explained by their tall demands on resources, time, and target knowledge. One high complexity operation is costly enough, but continuously conducting them requires the continuous tolerance of such costs and regeneration of burned cyber weapons. Even for state actors, it is may well be prohibitively costly to sustain a high rate of high complexity operations over time. The 6-month hiatus in the conduct of high complexity operations between March and September underscores these difficulties; Russia seemingly needs time to regenerate their capabilities. The data confirm Smeets’ claim about the transient nature of cyber weapons [15, 37]. 高複雑度作戦が比較的少数にとどまっているのは、リソース、時間、標的に関する知識の要求度が高いことが原因である。高複雑度作戦は1つでも費用がかかるが、継続的に実施するには、こうしたコストを継続的に負担し、使い古したサイバー兵器を再生産する必要がある。国家による行為であっても、高複雑度作戦を高い割合で長期間継続することは、おそらく法外なほど費用がかかるだろう。3月から9月にかけて、高難度作戦の実施が6か月間中断したことは、こうした困難を浮き彫りにしている。ロシアは能力を再生する時間が必要なようだ。データは、サイバー兵器の一過性の性質に関するSmeetsの主張を裏付けている[15, 37]。
Essentially, high costs limited Russia’s capability for high complexity operations and thus their chances of achieving both successful and high effects, which in turn limited their potential for achieving strategic utility through cyberspace. The analyzed data therefore suggest that a cyber operation is unlikely to achieve strategic utility in warfighting. The high complexity and high-effect operation is the best candidate for achieving strategic utility, but it is too rare an occurrence and less attractive than conventional capabilities to provide such utility in warfighting. 基本的に、高コストがロシアの高難度作戦遂行能力を制限し、その結果、成功と高い効果の両方を達成する可能性が制限され、ひいてはサイバー空間を通じて戦略的有用性を達成する可能性も制限された。したがって、分析されたデータは、サイバー作戦が戦闘において戦略的有用性を達成する可能性は低いことを示唆している。高難度かつ高い効果を伴う作戦は戦略的有用性を達成する最善の候補であるが、発生頻度が低く、戦闘においてそのような有用性を提供するには従来の能力よりも魅力に欠ける。
This argument rests on the assumption that a cyber operation best achieves strategic utility through high effects. Although the assumption may be true, it does not preclude other effect types from being able to affect national resources and instruments of power, even if the likelihood is comparatively lower. The majority of Russian cyber operations were coded to achieve medium effects. Could such a nonkinetic but data-destructive cyber operation be of strategic utility? On its face, the analyzed data suggest this is not the case. There is no medium-effect cyber operation in the data that in and of itself appears to have had a measurable impact on Ukraine’s national resources or instruments of power. この主張は、サイバー作戦は高い効果を通じて戦略的有用性を最もよく達成するという前提に基づいている。この前提は正しいかもしれないが、可能性が比較的低くても、他の種類の影響が国家資源や権力手段に影響を与える可能性を排除するものではない。ロシアのサイバー作戦の大部分は、中程度の効果を狙ったものと分類された。このような非運動的でデータ破壊を目的としたサイバー作戦が戦略的有用性を持つ可能性はあるのだろうか? 分析データを見る限り、そうではないことが示唆される。データの中には、それ自体がウクライナの国家資源や権力手段に測定可能な影響を与えたと思われる中程度の効果を持つサイバー作戦は存在しない。
Yet, a cyber operation’s potential for influencing the strategic level of warfare need not be viewed in isolation. It is a tall order for a single operation —in any domain—t o singlehandedly impact a nation’s ability and will to wage war. Analyzing the utility of a military operation in isolation risks overlooking the possible cumulative utility of several operations, which individually did not measurably impact national resources and instruments of power but together prove enough to do so. The risk of overlooking a cumulative utility is irrelevant for Russia’s high-effect cyber operations in Ukraine given that only one has been conducted so far. It is relevant, however, for Russia’s medium-effect operations that constitute a prominent share of their actions in the analyzed data. The question thus becomes: Have the nonkinetic data-destructive cyber operations cumulatively achieved strategic utility? しかし、サイバー作戦が戦略レベルの戦いに影響を与える可能性は、個別に見る必要はない。単独の作戦が、単独で国家の戦争遂行能力や意志に影響を与えることは、どの領域においても非常に難しい。軍事作戦の有用性を個別に分析することは、個々の作戦が国家の資源や権力手段に目に見える影響を与えていないものの、全体として見れば十分な影響力があることを示す、いくつかの作戦の累積的な有用性を見落とすリスクがある。累積的な効用を見落とすリスクは、これまでに1件しか実施されていないことを踏まえると、ウクライナにおけるロシアの高効果サイバー作戦には関係がない。しかし、分析データにおけるロシアの行動の大部分を占める中程度の効果を持つ作戦には関係がある。したがって、問題となるのは、非運動性データ破壊型サイバー作戦が累積的に戦略的効用を達成しているかということである。
Some trends in the analyzed data support the existence of such a cumulative strategic utility. In the Microsoft data, Russian state actors conducted 37 medium-effect cyber operations between 23 February and 8 April [36]. A total of 22 of these occur in the war’s first week, averaging three per day. For the entire period, Russia leveraged an average of six data-destructive operations per week. More than 72% of them targeted critical infrastructure and government entities, many of them civilian (Mueller et al. [30] point to the shifting of Russian cyber operations toward civilian and away from military targets. This supports the argument that even low and medium cyber effects —e.g. on communication networks such as the Viasat hack— may be part of a pursuit of a cumulative strategic effect through undermining the civilian will to fight.). Taken together, it is a nontrivial and sizable collective of cyber operations being conducted in a short period. It indicates a potential for this collective of medium-effect operations to have cumulatively influenced Ukraine’s ability and will to wage war by undermining the state’s capacity to administer resources and instruments of power through the destruction of data and digital systems. Of course, the effects analysis’ conclusion that a substantial share of operations failed to achieve their data-destructive effects limits this cumulative potential. 分析データには、このような累積的な戦略的有用性が存在することを裏付けるいくつかの傾向が見られる。マイクロソフトのデータによると、ロシアの国家行為者は2月23日から4月8日までの間に37件の中規模効果のサイバー作戦を実施した[36]。このうち22件は戦争の最初の1週間に発生しており、1日あたり平均3件である。全期間を通じて、ロシアは1週あたり平均6件のデータ破壊作戦を実施した。そのうち72%以上が、重要なインフラや政府事業体を標的としており、その多くは民間であった(ミューラー氏ら[30]は、ロシアのサイバー作戦が軍事目標から民間へとシフトしていることを指摘している。これは、低・中程度のサイバー効果(例えば、Viasatのハッキングのようなコミュニケーションネットワークへの影響)でさえ、民間人の戦う意志を損なうことで累積的な戦略的効果を追求する一部であるという主張を裏付けるものである)。総合すると、これは短期間に実施された、重大かつ大規模なサイバー作戦の集合体である。この中程度の影響を与える作戦の集合体が、データの破壊やデジタルシステムの損壊を通じて、国家の資源管理能力や権力手段を弱体化させることで、ウクライナの戦争遂行能力や意志に累積的な影響を与えた可能性があることを示している。もちろん、効果分析の結論では、相当数の作戦がデータ破壊効果を達成できなかったとされているため、この累積的な可能性は限定的である。
All of the medium-effect operations need not be successful in their effects for the collective of medium-effect operations to achieve cumulative strategic utility, though. Even in the absence of materialized effects, the medium-effect operations could force Ukraine to prioritize resources on cyber defenses that could have been used on warfighting in other domains. Conventional warfighting is likely what will be decisive for the war’s outcome. Preventing Ukraine from allocating resources for conventional warfighting may then well have strategic importance. The collective of data-destructive cyber operations could achieve cumulative strategic utility by, on the one hand, directly undermining Ukraine’s resources and instruments of power whenever their effects were successful and by, on the other hand, undermining Ukraine’s ability to prioritize resources optimally for winning the war even when their effects failed. しかし、中程度の影響を与える作戦のすべてが効果を達成できなくても、中程度の影響を与える作戦の集合体は累積的な戦略的有用性を達成できる。たとえ効果が発生しなかったとしても、中程度の影響を与える作戦は、他の領域での戦闘に使用できる可能性があったリソースを、ウクライナがサイバー防衛に優先的に割り当てることを余儀なくさせる可能性がある。通常戦闘が戦争の帰趨を決定する可能性が高い。ウクライナが通常戦闘のためのリソースを割り当てないようにすることは、戦略的に重要な意味を持つ可能性がある。データ破壊を目的としたサイバー作戦の集合体は、その効果を成功させるたびに、ウクライナの資源と権力手段を直接的に損なうことで、また、その効果が失敗した場合でも、戦争に勝利するためにリソースを最適に優先させるウクライナの能力を損なうことで、累積的な戦略的有用性を達成できる可能性がある。
It is difficult to access data on Ukraine’s prioritization of national resources. One piece of the puzzle is the allocation of the 22.3 billion Hryvnia in foreign economic assistance donated to the National Bank of Ukraine [130]. By January 2023, Ukraine had allocated a total of 3.8 billion —more than 17%— of these toward SSSCIP, which is the primary actor behind their cyber defense (3.8 billion Hryvnia correspond to ~110 million USD). This is a nontrivial share of donated resources that could have gone toward the conventional warfighting. The collective of medium-effect Russian cyber operations could have forced Ukraine to make this disposition, especially in the first weeks of the war when the frequency of these operations was most intense. Of course, National Bank donations do not give a complete picture of Ukraine’s allocation of national resources. It does, however, illustrate that Ukraine considered the threat of Russian cyber operations serious enough to warrant the strategic decision of allocating considerable resources to cyber versus conventional capabilities. ウクライナが国家資源を優先的に配分したデータにアクセスするのは難しい。そのパズルの1ピースとなるのは、ウクライナ国立銀行に寄付された223億グリブナの対外経済援助の配分である[130]。2023年1月までに、ウクライナはこれらのうち合計38億グリブナ(17%以上)をサイバー防衛の主要な担い手であるSSSCIPに割り当てた(38億グリブナは約1億1000万米ドルに相当)。これは、従来の戦闘に充てられた可能性のある寄付された資源の、無視できないほどの割合である。中程度の影響力を持つロシアのサイバー作戦の集団は、特に戦争の初期段階において、これらの作戦の頻度が最も激しかった時期に、ウクライナにこのような処分を余儀なくさせた可能性がある。もちろん、ウクライナ国家銀行の寄付は、ウクライナの国家資源の配分を完全に表しているわけではない。しかし、ウクライナがロシアのサイバー作戦の脅威を深刻なものとみなし、サイバー能力と通常能力に相当な資源を配分するという戦略的決定を下すに値すると考えたことは明らかである。
Even if Russia’s medium-effect cyber operations achieved cumulative strategic utility, it is unclear if it was cost-beneficial considering the high cost of especially their high complexity operations, which provided many of the medium effects directly as well as indirectly through later malware recycling. Finally, the cumulative strategic utility of Russian cyber operations is almost certainly minimal compared to the cumulative strategic utility of their conventional operations like missile attacks. たとえロシアの中程度の効果を持つサイバー作戦が累積的な戦略的有用性を達成したとしても、特にその高い複雑性を持つ作戦は、その後のマルウェア再利用を通じて間接的に、また直接的に中程度の効果の多くをもたらしたものの、そのコストは高額であったため、費用対効果の面で有益であったかどうかは不明である。最後に、ロシアのサイバー作戦の累積的な戦略的有用性は、ミサイル攻撃のような通常作戦の累積的な戦略的有用性と比較すると、ほぼ確実に最小限である。
Operational utility 作戦上の有用性
Some scholars have questioned the ability of cyber operations to affect events on the battlefield. Schulze points to cyber operations being operationally ineffective due to difficulties in integrating with conventional capabilities [40]. In a study of the Ukraine conflict from 2014 to 2016, Kostyuk and Zhukov [39] find that cyber operations did not compel reactions in noncyber domains. This suggests cyber operations are of limited operational utility. 一部の学者は、サイバー作戦が戦場の出来事に影響を与える能力に疑問を呈している。シュルツは、従来の能力との統合の難しさから、サイバー作戦は作戦上効果的ではないと指摘している[40]。2014年から2016年のウクライナ紛争に関する研究において、コスティュクとジュコフは[39]、サイバー作戦がサイバー以外の領域での反応を強いることはなかったと結論づけている。これは、サイバー作戦の作戦上の有用性には限界があることを示唆している。
This article reaches a similar albeit more nuanced conclusion. In the analyzed data from the Russo–Ukrainian War, cyber operations generally failed to achieve operational utility with one notable exception. One cyber operation —the AcidRain-operation— managed to affect the operational level of warfare, even if it did so by only removing a backup communication method for Ukrainian military, as some newer reports argue [118]. The operation highlights a narrow potential for cyber operations to provide operational utility in the beginning of warfighting. Generally, though, the operational utility is limited by difficulties integrating cyber and conventional operations especially at higher levels of integration. This is due to a temporal mismatch between relatively slow planning speeds of cyber operations and conventional operations’ typical demand for fast and precisely timed effects. This limiting factor is less pronounced in the beginning of a war because the slower planning can be done before war breaks out. 本稿も同様の、しかしより微妙な結論に達している。 分析されたロシア・ウクライナ戦争のデータでは、サイバー作戦は概して、1つの顕著な例外を除いて作戦上の有用性を達成できなかった。 あるサイバー作戦、すなわちAcidRain作戦は、一部の新しい報告書が主張するように、たとえウクライナ軍のバックアップ・コミュニケーション手段を除去することによってであったとしても、戦闘の作戦レベルに影響を与えることに成功した。 この作戦は、戦闘開始時にサイバー作戦が作戦上の有用性を提供できる可能性が限られていることを浮き彫りにしている。しかし一般的に、サイバー作戦と通常作戦の統合は、特に統合レベルが高くなるほど困難になるため、作戦上の有用性は限定的である。これは、比較的遅いサイバー作戦の計画速度と、通常作戦が求める迅速かつ正確なタイミングでの効果という典型的な要求との間に時間的なミスマッチがあるためである。戦争の初期においては、戦争が勃発する前に遅い計画を行うことができるため、この制約要因はそれほど顕著ではない。
As analyzed earlier, the AcidRain-operation is an example of high integration between cyber and noncyber as it supported Russia’s conventional warfighting by undermining Ukrainian C2 capability —at least on the first day of the war. The fact that AcidRain is categorized as high integration immediately suggests it provided operational utility for Russia. Indeed, the operation straightforwardly passes the requirement for operational utility; it improved the ability of Russian units in a theater of operations to accomplish their objectives. It did so by generally undermining Ukrainian C2 capability and generating a substantial advantage for Russian units in general in a theater of operations in Ukraine. Even the least damaging version of the alleged effects of AcidRain —disrupting Ukrainian satellite communication serving as a backup for military communication— amounts to the undermining of Ukrainian C2. AcidRain thus shows that it is indeed possible for cyber operations to achieve operational utility in warfighting. As the only example, AcidRain suggests that, although cyber operations can achieve operational utility, they rarely do. 先に分析したように、AcidRain作戦は、少なくとも戦争の初日においては、ウクライナのC2能力を弱体化させることでロシアの通常戦闘を支援したという点で、サイバーと非サイバーの高度な統合の例である。AcidRainが高度な統合に分類されるという事実は、それがロシアに作戦上の有用性を提供したことを即座に示唆している。実際、この作戦は作戦上の有用性の要件を明確に満たしている。作戦地域におけるロシア軍部隊の目標達成能力を改善したからだ。これは、概してウクライナのC2能力を損ない、ウクライナの作戦地域におけるロシア軍部隊全般に実質的な優位性をもたらすことによって達成された。AcidRainの疑わしい影響の最も軽微なバージョン、すなわち軍事コミュニケーションのバックアップとして機能するウクライナの衛星通信を混乱させることでも、ウクライナのC2能力を損なうことに等しい。したがって、AcidRainは、サイバー作戦が戦闘における作戦上の有用性を達成することが実際に可能であることを示している。唯一の例として、AcidRainは、サイバー作戦が作戦上の有用性を達成できる可能性はあるものの、それはまれであると示唆している。
Part of the explanation for this can be found in the analysis’ second trend of Russian cyber operations often failing to materialize the effects their cyber weapons were coded to achieve. Another part of the explanation is found in the fourth trend of the rarity of integration between cyber and noncyber capabilities. If it was difficult for Russia to achieve successful effects in the first place and additionally to integrate their effects with conventional operations, the basis for achieving operational utility was limited. The “missing effects” part of the explanation was discussed above. The second part of “integration difficulties” needs a closer examination. この説明の一部は、分析の2番目の傾向である、ロシアのサイバー作戦がしばしば、そのサイバー兵器が達成するようにコード化された効果を実現できないことにある。説明のもう一つの部分は、サイバー能力と非サイバー能力の統合が稀であるという4番目の傾向にある。そもそもロシアが効果を達成することが困難であり、さらにその効果を通常作戦と統合することが困難である場合、作戦上の有用性を達成するための基盤は限られていた。「効果の欠如」の部分についてはすでに説明した。「統合の難しさ」の2つ目の部分については、より詳細な検証が必要である。
As explained, although the actual deployment of a cyber weapon may occur at the speed of light, the whole of a cyber operation including the planning and staging process is typically time-consuming. This is especially so when the cyber operation is of high complexity or is coded to achieve high effects. Moreover, a cyber operation may not be able to guarantee a precise timing of its effects owing to the complexity of the domain. Conversely, conventional domains of warfare are typically characterized by a higher pace in the conduct of operations, especially on the operational and tactical levels of warfighting. Supporting a conventional operation also requires precise timing to ensure the supportive effects are aligned appropriately with the unfolding of the conventional operation, similar to integrating disparate capabilities in combined arms warfare. 前述の通り、サイバー兵器の実際の展開は光速で行われる可能性があるが、計画やステージングプロセスを含むサイバー作戦全体は通常、時間を要する。これは、サイバー作戦が高度に複雑である場合や、高い効果を達成するためにコード化されている場合に特に当てはまる。さらに、サイバー作戦は領域の複雑性により、その効果の正確なタイミングを保証できない場合がある。逆に、従来の戦域では、特に戦術・作戦レベルの戦闘においては、作戦の遂行ペースが速いのが一般的である。従来の作戦を支援する場合も、支援効果が従来の作戦の展開に適切に一致するように、支援のタイミングを正確に合わせる必要がある。これは、統合兵科戦闘における異種の能力の統合に似ている。
There is consequently a dichotomy between the relatively long duration and sometimes imprecisely timed effects of a cyber operation and the conventional operations’ faster pace and need for precise effects. If the pace of events in conventional domains is sufficiently high, a cyber operation is too slow and temporally imprecise to integrate into conventional operations. Similar claims have been made by other cyber conflict scholars [40]. その結果、比較的長期にわたって展開され、効果のタイミングが不正確になりがちなサイバー作戦と、より迅速な展開と正確な効果を必要とする通常作戦との間に二分論が生じる。通常領域における事象の展開が十分に速い場合、サイバー作戦は通常作戦に統合するには遅すぎて、時間的に不正確である。同様の主張は、他のサイバー紛争学者からもなされている[40]。
The dichotomy is most pronounced in high integration, where the aim of directly supporting a conventional operation severely constrains when and how cyber effects should materialize, and medium integration, where the cyber weapon directly competes against typically faster conventional weapons. The looser connection between cyber and noncyber domains in low integration’s complementing logic means the dichotomy is less pronounced; the necessary alignment between cyber and noncyber effects is less strict. One should, thus expect a higher frequency of low integration compared to medium and high integration. This is exactly what this article finds. In sum, the temporal dichotomy explains why so few Russian cyber operations were integrated with conventional operations, and it points to a general limitation in the operational utility of cyber operations. この二分法は、通常作戦を直接支援するという目的が、サイバー効果をいつどのように実現すべきかを厳しく制約する高度な統合、および、サイバー兵器が通常より高速な通常兵器と直接競合する中程度の統合において、最も顕著である。 低統合の補完論理におけるサイバー領域と非サイバー領域の緩やかなつながりは、この二分法をそれほど際立たないものにする。サイバー効果と非サイバー効果の間の必要な調整はそれほど厳密ではない。したがって、中程度および高度の統合と比較して、低統合の頻度が高いことが予想される。これはまさに、本稿で発見されたことである。まとめると、時系列的な二分法は、ロシアのサイバー作戦が通常作戦と統合されたものが非常に少ない理由を説明しており、サイバー作戦の運用上の有用性における一般的な限界を示している。
If cyber operations are generally limited in achieving operational utility in war, why did AcidRain do so? The operation’s timing is crucial here. Based on its high complexity, the operation likely commenced planning and staging such as conducting reconnaissance, developing malware, and compromising target systems weeks before 24 February. There is no evidence in the data suggesting AcidRain was unusually fast [117]. However, the need for a fast-paced or precisely timed cyber effect to support conventional operations was not present until 24 February due to the simple fact that conventional warfighting had not commenced yet. Russia had time to plan and stage AcidRain-malware as well as coordinate this with the deployment of conventional capabilities. The temporal dichotomy was thus not an issue for the AcidRain-operation because the “slow” part of the cyber operation was conducted before the “fast” conventional needs for effects arose. サイバー作戦が戦争における運用上の有用性を達成する上で一般的に限界があるならば、なぜ「AcidRain」はそうしたのか?この場合、作戦のタイミングが重要である。その高度な複雑性から、この作戦は、おそらく2月24日の数週間前から偵察活動、マルウェアの開発、標的システムの侵害などの計画と準備を開始していたと思われる。データからは、AcidRainが異常に迅速であったことを示す証拠はない[117]。しかし、通常作戦を支援するサイバー攻撃の効果を迅速に、あるいは正確なタイミングで実現する必要性は、単純な事実として通常戦闘がまだ開始されていなかったため、2月24日までは存在しなかった。ロシアには、AcidRainマルウェアを計画し展開する時間があり、また通常戦力の展開と調整する時間もあった。したがって、時間的な二分法は、サイバー作戦の「遅い」部分が通常戦力の「速い」効果の必要が生じる前に実施されたため、AcidRain作戦にとっては問題とはならなかった。
The AcidRain-operation demonstrates the potential of cyber operations achieving operational utility in the beginning of warfighting despite their general limitations. This is because there is ample time before warfighting commences to complete slower parts of a cyber operation so as to sidestep the temporal dichotomy that otherwise typically limits a cyber operation’s integration with conventional operations. 「AcidRain作戦」は、一般的な限界があるにもかかわらず、戦争遂行の初期段階で戦術的有用性を達成できるサイバー作戦の潜在的可能性を示している。 戦争遂行が開始される前に、サイバー作戦の遅い部分を完了させるのに十分な時間があるため、そうでなければ一般的にサイバー作戦と通常作戦の統合を制限する時間的二分法を回避できるからである。
Tactical utility 戦術的有用性
Is the tactical level of warfare as limiting for the utility of cyber operations as the operational? Schulze points to historical evidence for the tactical ineffectiveness of cyber operations [40, 131, 132]. Conversely, Brantly and Collins [133] argue that Russia achieved frequent and persistent tactical effects through cyber operations in Ukraine during the hybrid war until 2018. 戦術レベルの戦闘は、作戦レベルと同様にサイバー作戦の有用性を制限するものだろうか? シュルツは、サイバー作戦の戦術レベルでの非有効性を示す歴史的証拠を指摘している[40, 131, 132]。 一方、ブレンティとコリンズは[133]、2018年までのハイブリッド戦におけるウクライナでのサイバー作戦を通じて、ロシアは戦術レベルで頻繁かつ持続的な効果を達成したと主張している。
The analyzed data in this article suggest cyber operations are generally limited in their ability to meaningfully affect the tactical level of warfare similar to the limitations evident on the operational level. In fact, the temporal dichotomy is possibly even more limiting at the tactical level. Importantly, though, the window of opportunity for utility in the beginning of a war observed at the operational level plausibly holds true at the tactical level as well. This qualifies the previous findings in the literature. 本記事で分析したデータは、サイバー作戦は一般的に、作戦レベルで明らかになった限界と同様に、戦術レベルに有意な影響を与える能力が限られていることを示唆している。実際、時間的な二分法は、戦術レベルではさらに限定的である可能性がある。しかし重要なのは、作戦レベルで観察された戦争の初期における実用性のウィンドウは、おそらく戦術レベルでも同様に当てはまるということだ。これは、これまでの文献における調査結果を裏付けるものである。
Two Russian cyber operations are prima facie candidates for achieving tactical utility. The first is the AcidRain-operation. In providing operational utility for units during the Kyiv offensive, the debilitating effect on Ukrainian (backup) C2 provided Russian units with potential tactical advantages in local battles —and so also tactical utility. There is no direct evidence for this in the analyzed data. However, combining the evidence for the operational utility with the fact that circumstances in the operational level of warfare influence the tactical level, the tactical utility of AcidRain is a plausible conclusion. This suggests cyber operations can achieve tactical utility in the beginning of warfighting for the same reasons they can achieve operational utility. ロシアのサイバー作戦のうち、戦術的有用性を達成する候補として一見して考えられるのは2つある。1つ目はAcidRain作戦である。キエフ攻勢中の部隊に作戦的有用性を提供することで、ウクライナ(予備)C2への疲弊効果により、ロシア部隊は局地戦において戦術的優位性を得る可能性がある。分析データにはこのことを示す直接的な証拠はない。しかし、作戦上の有用性の証拠と、戦術レベルに影響を与える戦術レベルの状況という事実を組み合わせると、AcidRainの戦術上の有用性は妥当な結論である。これは、サイバー作戦が作戦上の有用性を達成できるのと同じ理由で、戦闘開始時に戦術上の有用性を達成できることを示唆している。
The second candidate is the operation against the Zaporizhzhia nuclear power plant, which the above analysis deemed an example of high integration due to the operation plausibly supporting a conventional attack on the plant by collecting intelligence. It is thus plausible that the cyber operation generated an advantage for Russian units engaged in the local battle for the power plant. This meets the definition of tactical utility. Some caveats should be noted, however. The data does not reveal exactly when cyber actors comprised the networks, their exact actions, or their intentions. The nuclear power plant is also critical infrastructure, and so it is possible that Russia originally targeted it to conduct an operation akin to Industroyer2 without intending integration with conventional operations. The later opportunity to support a conventional attack may have been unforeseen. 2つ目の候補は、ザポリージャ原子力発電所に対する作戦である。上記の分析では、この作戦は、発電所に対する通常攻撃を支援する可能性が高いことから、高度な統合の例であると判断された。したがって、サイバー作戦が、発電所を巡る局地戦に従事するロシア部隊に優位性をもたらした可能性は高い。これは戦術的有用性の定義に合致する。ただし、いくつかの注意点がある。データからは、サイバー攻撃者がネットワークを侵害した正確な時期、その正確な行動、意図は明らかになっていない。また、この原子力発電所は重要なインフラであるため、ロシアは当初、Industroyer2のような作戦を実行することを目的としていたが、通常作戦との統合を意図していなかった可能性もある。通常攻撃を支援する機会が後から訪れたことは、予期せぬことだったかもしれない。
Overall, the few candidates for cyber operations of tactical utility indicate their general limitation. The dichotomy between the slow-paced cyber operation and the fast-paced conventional operation is again likely part of the explanation for the limited tactical utility. In fact, the dichotomy is possibly more pronounced at the tactical level of warfare. Here, the pace of operations is faster as the operations accomplish tactical tasks necessary for progressing toward operational level objectives. In a nutshell, the operational level “waits” for events at the tactical level. Operations at the tactical level such as direct combat between units are also more confined in time and space than campaigns at the operational level. Accordingly, to be aligned with and thus of utility at the tactical level, cyber effects must be more precise and versatile in time and space. The above discussion of operational utility already clarified why this is a tall order, except for the moment when warfighting commences. 全体として、戦術的有用性のあるサイバー作戦の候補が少ないことは、その一般的な限界を示している。 テンポの遅いサイバー作戦とテンポの速い通常作戦という二分法は、戦術的有用性が限定的であることの説明の一部である可能性が高い。 実際、この二分法は戦術レベルではより顕著である可能性がある。 戦術レベルでは、作戦のテンポは速く、作戦レベルの目標達成に必要な戦術的任務を遂行する。一言で言えば、作戦レベルは戦術レベルの出来事を「待つ」のである。部隊間の直接戦闘のような戦術レベルの作戦は、作戦レベルのキャンペーンよりも時間的にも空間的にも限定されている。したがって、戦術レベルで整合性を保ち、有用であるためには、サイバー効果は時間的にも空間的にもより正確かつ多様でなければならない。上記の作戦における有用性に関する議論では、戦闘が始まる瞬間を除いて、これがなぜ難しい注文であるのかがすでに明らかになっている。
Conclusions 結論
Applying the TECI-model on the Russo–Ukrainian War, this article found four notable trends in Russia’s offensive cyber operations that contribute to the literature’s understanding of the utility of cyber operations in war. 本稿では、TECIモデルをロシア・ウクライナ戦争に適用し、戦争におけるサイバー作戦の有用性に関するこれまでの研究の理解に貢献する、ロシアの攻撃的サイバー作戦における4つの注目すべき傾向を見出した。
First, Russian cyber operations rarely sought physically destructive effects but opted for data destruction, exfiltration, or disruption. This validates the assumption in the literature that cyber operations are unsuitable for physical destruction. Second, a substantial share of Russia’s offensive cyber operations failed to achieve effects. This rejects the assumption that cyberspace is offense dominant; the defender may have an easier time than thought. This is partly caused by the third trend. Russia began recycling malware after the first weeks of warfighting, which lowered their ability to penetrate Ukrainian defenses. This suggests sustaining high complexity operations with novel malware and tools through a longer period of warfighting is prohibitively costly. It validates the literature’s assumptions about the transience of cyber weapons and their need for costly regeneration. Fourth, and finally, cyber operations were rarely integrated with conventional operations. When they were, it was the least demanding form of integration and primarily in the war’s beginning. This validates assumptions in the literature about the difficulty of integrating cyber and noncyber capabilities, i.e. due to a dichotomy between their operational tempi. 第一に、ロシアのサイバー作戦は物理的な破壊効果をほとんど狙わず、データ破壊、外部への情報流出、または混乱の選択に留まった。これは、サイバー作戦は物理的な破壊には不適であるという文献上の想定を裏付けるものである。第二に、ロシアの攻撃的サイバー作戦の相当な割合が効果を達成できなかった。これは、サイバー空間は攻撃優位であるという想定を否定するものであり、防御側は考えられているよりも容易な場合があることを示唆している。これは、第3の傾向による部分的な原因である。ロシアは戦闘開始から数週間後にはマルウェアのリサイクルを開始しており、これによりウクライナの防御を突破する能力が低下した。これは、より長期にわたる戦闘において、新しいマルウェアやツールを用いた高度な複雑性作戦を継続することは、法外なコストがかかることを示唆している。これは、サイバー兵器の寿命が短いこと、およびその兵器には高コストの再生が必要であるという文献の想定を裏付けるものである。第4に、最後に、サイバー作戦は通常作戦と統合されることはほとんどなかった。統合されたとしても、それは最も要求の低い統合形態であり、主に戦争の初期段階においてであった。これは、サイバー能力と非サイバー能力の統合の難しさに関する文献上の想定を裏付けるものである。すなわち、その理由は、両者の作戦テンポの二分性にある。
Data from the Russo–Ukrainian War thus point to offensive cyber operations having limited utility in war. The article found two important exceptions to this. Offensive cyber operations can achieve strategic utility cumulatively through persistent data-destructive targeting of national resources and operational as well as tactical utility in the beginning of warfighting when there is time to synchronize cyber and noncyber capabilities. It is worth noting that the early claims in cyber conflict studies positing a cyber doom and a future of cyber operations decisively shaping conventional warfare are still unsubstantiated by evidence including this article’s findings [49, 134–136]. Rather, the limited utility of cyber operations in warfighting —even with the two important exceptions above— point to cyber operations serving more impactful roles outside of warfighting such as in enhancing information warfare operations and strategic influence campaigns as suggested by Mueller et al. [30]. したがって、ロシア・ウクライナ戦争のデータは、攻撃的なサイバー作戦が戦争において限定的な有用性しか持たないことを示している。しかし、この記事では、これには2つの重要な例外があることが分かった。攻撃的なサイバー作戦は、国家の資源を標的とした持続的なデータ破壊を狙うことで、戦略的な有用性を徐々に達成できる。また、サイバー能力と非サイバー能力を同期させる時間がある戦闘開始時には、戦術的および運用上の有用性も達成できる。 サイバー紛争研究における初期の主張では、サイバーの破滅とサイバー作戦の未来が従来の戦争を決定づけるとされていたが、この記事の調査結果を含め、その主張は未だに証拠によって裏付けられていないことは注目に値する[49, 134–136]。むしろ、戦争におけるサイバー作戦の限定的な有用性は、上述の2つの重要な例外を除いても、ミューラー氏らによって示唆されているように、情報戦作戦の強化や戦略的影響力キャンペーンなど、戦争以外の分野でより大きな影響力を持つ役割を果たすことを示唆している[30]。
Granted, our findings may not be generalizable to other conflicts or future developments in the Russo–Ukrainian War. Some scholars have argued that Russian military essentially failed in the strategic and operational planning of the invasion of Ukraine which perhaps reflects a similar inaccurate planning in cyberspace [28, 137]. Others suggest that Russia prioritizes cyber-enabled espionage and information operations over military cyber effects [30]. Meanwhile, multiple Western militaries and companies have offered substantial assistance to Ukraine’s cyber defenses, including migrating data to cloud services hosted in NATO countries [110]. Had Russian military been organized differently and avoided their strategic planning failures, and had Ukraine received less assistance in cyberspace, another picture of the utility of cyber operations could have emerged. A conflict between other actors in other circumstances may well introduce its own idiosyncratic factors influencing the utility of cyber operations in warfighting. It is too early to determine how representative our findings are. もちろん、我々の調査結果は、他の紛争や今後のロシア・ウクライナ戦争の展開に一般化できるものではないかもしれない。一部の学者は、ロシア軍はウクライナ侵攻の戦略および作戦計画において本質的に失敗したと主張しており、これはおそらくサイバー空間における同様の不正確な計画を反映していると考えられる[28, 137]。また、ロシアは軍事的なサイバー効果よりも、サイバー技術を活用したスパイ活動や情報操作を優先しているという意見もある[30]。一方、複数の西側諸国の軍および企業は、NATO諸国がホストするクラウドサービスへのデータの移行を含め、ウクライナのサイバー防衛に実質的な支援を提供している [110]。ロシア軍が異なる編成で戦略計画の失敗を回避できていた場合、また、ウクライナがサイバー空間でそれほど多くの支援を受けていなかった場合、サイバー作戦の有用性について別の見解が示されていた可能性がある。他の状況における他のアクター間の紛争は、戦闘におけるサイバー作戦の有用性に影響を与える独自の要因を導入する可能性がある。我々の調査結果がどれほど代表的なものなのかを判断するには、まだ時期尚早である。
The article’s main contribution to the field of cyber conflict studies is thus the TECI-model itself. Precisely because the role of cyber operations in warfighting is unsettled, and because this role may change over time, the field needs an operationalized model capable of systematically analyzing cyber operations in war to compare and track the utility of cyber operations over time and across conflicts. The TECI-model fills this gap in the literature, has been empirically tested and applied on data in this article, and will be as readily applicable on future data sets from Ukraine and other conflicts that may shape the role of cyberspace in war. したがって、本記事がサイバー紛争研究分野に貢献できる主な点は、TECIモデルそのものである。戦時におけるサイバー作戦の役割が定まっておらず、また、この役割が時とともに変化する可能性があるからこそ、この分野では、戦時におけるサイバー作戦を体系的に分析し、サイバー作戦の有用性を時系列および紛争間で比較・追跡できる実用化されたモデルが必要とされている。TECIモデルは、この分野における研究のギャップを埋めるものであり、本記事では実証的に検証され、データに適用されている。また、ウクライナやその他の紛争から得られる将来のデータセットにも容易に適用できるだろう。これらの紛争は、戦争におけるサイバー空間の役割を形作る可能性がある。

 

 

参考文献

 

Continue reading "OXFORD JOURNAL of Cybersecurity 戦争においてサイバー作戦の有用性は限界的"

| | Comments (0)

より以前の記事一覧