地政学的動向を背景としたロシア系脅威アクターの活動と日本への影響（前編）

はじめに

2022年2月頃に始まったロシアによるウクライナ侵攻を背景に、日本を含む西側諸国は対露経済制裁やウクライナ支援等を実施してきました。それと同時に、このような政策に対する報復を意図した親露派ハクティビストによるDDoS攻撃が日本の官公庁や民間企業で近年多く報告されています。

かつては、中国や北朝鮮と比較すると、ロシア系脅威アクターが日本を標的としたサイバー攻撃を行うことはそれほど明確には確認されていませんでした。しかし、攻撃の頻度とそれによる日本社会への影響度はウクライナ侵攻以降次第に高まっています。

これは同時に、日本を今まで直接攻撃してこなかったロシア系脅威アクターが今後の情勢次第で日本を標的にする可能性を示唆しているとも考えられ、改めて攻撃手法やその背景を理解したうえで備える必要があると言えます。

本稿では、上記の課題意識のもと、2025年に予定または進行中の政治・外交等のイベントにおいてロシア系脅威アクターが日本の組織に対してどのような活動を展開する可能性があるかについて考察します。そのためには、過去に観測された地政学的動向を背景としたロシア系脅威アクターの活動を整理する必要があります。

そこで、国家支援型スパイ活動・妨害工作グループ、ハクティビスト、影響工作に特化したグループの3種類に大別したうえで、金銭目的ではなく地政学的な文脈で国家的目標の達成に資するような攻撃パターンを分析します。

また、脅威アクターのプロファイリングと攻撃パターンの分析の結果をもとに、2025年における重要なイベントに視点を向けながら、日本を標的としたロシア系脅威アクターによるサイバー攻撃のシナリオと対応策をまとめます。

このような考察を通じて、ロシア系脅威アクターによる日本を狙った攻撃の予見可能性を引き上げることができます。

国家的目標の遂行に寄与するロシア系脅威アクターの活動

情報技術が発達した現代社会において、国家が地政学的な利益を追求するうえでサイバー攻撃が積極的に活用されている理由の一つに、少ないリソースでより多くの損害を標的にもたらすことが可能な「非対称性」という特徴が挙げられます。これはとりわけ平時において、敵対国の政策方針の変更等を引き出すうえでは有効な手段になり得ます。

ただし、2022年2月下旬からロシアはウクライナと交戦状態にあることから、当該2カ国間で果たすサイバー攻撃の役割は「紛争の閾値を操作するためのツール」から、作戦支援やエスカレーション管理等の「軍事パフォーマンスに寄与するためのツール」に変化している点が指摘されています^*1。

この点を考慮した場合、ウクライナと同国を支援する西側諸国や日本に対するロシアのサイバー攻撃もその動機において差異があると考えられます。つまり、直接的な交戦相手であるウクライナとは異なり、当該戦争に対する関与の程度によって、その他の支援国に対する姿勢は変化するということです。

日本はG7の一員であり、なおかつ米国の同盟国でもあることから、今次の戦争に対しては西側諸国と歩調を合わせて対露経済制裁やウクライナ支援を実施しています。

このような地政学的背景に着目しながら、日本を標的とする、または今後その可能性が考えられるロシア系脅威アクターの活動を分析します。

1. ロシア系脅威アクターの類型

国家的目標の遂行に寄与するロシア系脅威アクターの活動を分析するために、脅威アクターの類型化を通じて現状を整理します。PwCでは通常、脅威アクターをスパイ活動、サイバー犯罪（金銭目的）、妨害工作、ハクティビズムで分類しています。

しかし、本稿では金銭目的ではなく地政学的な文脈で国家的目標を達成するまたはそれに資するような国内外の活動事例を例示するため、金銭目的のランサムウェアグループ等のサイバー犯罪は除外したうえで、スパイ活動または妨害工作を実行する国家支援型グループ、親露的な政治的主張を動機とするハクティビスト、標的国の世論工作等を通じて社会的混乱を引き起こすことを目的とする影響工作グループに着目しました。

これらの脅威アクターは、国家の戦略的目標を実現するために行動する権限を与えられた組織、すなわちProxy（代理人）でもあり、責任回避の手段としても利用されます。このような特性に鑑みながら、本稿では、国家支援型スパイ活動・妨害工作グループ、親露派ハクティビスト、影響工作グループの3種類に大別し、今後日本を標的にする可能性があるロシア系脅威アクターを図表1のとおり列挙しました。

図表1：日本を標的にする可能性があるロシア系脅威アクターの分類

カテゴリー	脅威アクター	攻撃活動の特徴
カテゴリー	脅威アクター	攻撃の動機	攻撃対象	攻撃手法
国家支援型スパイ活動・妨害工作グループ	Blue Athena（APT28）、Blue Kitsune（APT29）、Blue Echidna（Sandworm）	スパイ活動、妨害工作	政府機関、軍事組織、民間企業	標的組織の関心に応じて武器化した添付ファイルを通じてインフォスティーラーを配信するメール本文内の悪意のあるリンクからフィッシングページに飛ばし、認証情報を入力させるワイパー型マルウェアを標的システム内に配信し、重要インフラの機能を停止させる
親露派ハクティビストグループ	White Dev 149、Blue Kurama、White Dev 135	ハクティビズム（政治的主張）	政府機関、民間企業（重要インフラ含む）	標的組織のWebサイトに対してDDoS攻撃を行うことで一時的なサーバーダウンを引き起こす標的組織のWebサイトのコンテンツを改竄するサイバー攻撃の結果をSNS掲示板等で宣言することが多い
影響工作に関与するグループ	Blue Dev 14（Doppelganger）	世論操作、偽情報拡散	一般大衆、社会全体の世論	著名なメディアや人物などになりすまして偽情報を拡散する社会的・政治的分裂を煽り、選挙プロセスやイベントへの信頼を損なわせる近年では生成AIで偽情報拡散コンテンツを大量に生成している

2. ロシア系脅威アクターの攻撃活動に関する特徴

前項で抽出した各脅威アクターの攻撃活動とその特徴についてまとめます。

i. 国家支援型スパイ活動・妨害工作グループ

Blue Athena

Blue Athena（APT28）は、露連邦軍参謀本部情報総局（GRU）に所属する第85主要特殊サービスセンター（GTsSS）第26155部隊に関連付けられているロシア系脅威アクターです。過去には、2016年米国大統領選挙において、米国民主党全国委員会（DNC）のネットワークを侵害することで民主党陣営に不利な情報を漏洩したほか、複数の著名な国際機関を標的としたサイバー攻撃を行ったとされています。さらに、ウクライナ情勢の緊迫化を背景に、近年は欧州各国の政府機関やNATO関連等を標的に機密情報の窃取を目的としたスピアフィッシング攻撃が多数観測されています。

標的システム内に長期間潜伏するために用いられるバックドア型マルウェアのHeadlaceやZebrocyを配布する方法も巧妙で、開発者向けWebフックテストツールを悪用して外交官向けにおとり広告を送付する手法や、外交政策や軍事同盟、新型コロナウイルス等に関する最新のトピックについて英語で記載された悪意のあるドキュメントを添付した標的型メール攻撃を戦術として採用するケースが報告されています。

なお、Zebrocyは過去に日本を標的に含む攻撃キャンペーンにも用いられていることが確認されています。上記のような標的型メール攻撃のほかにも、ネットワークの末端に位置する監視対象となっていない機器（ルーターやゲートウェイ、メールサーバー、ファイアウォール）を狙った、ブルートフォース攻撃や漏洩した認証情報を悪用した侵害の事例報告もあります。

Blue Kitsune

Blue Kitsune（APT29）は、ロシアの対外情報庁（SVR）に関連付けられているロシア系脅威アクターです。当該脅威アクターも2016年米国大統領選挙に先立ってDNCのネットワークを侵害したほか、Blue Athenaと同様に欧米やアジアの外交機関のネットワークに対する長期的なアクセス経路を複数確保し、各国の政府機関から外交政策に関する情報を収集するスパイ活動に従事しているとされています。

大使館職員に対して行政通知を装ったフィッシングメールを送付し、HTML形式のドロッパーおよび新種のダウンローダーを通じてCobalt Strike BEACONを標的システム内に配送する攻撃手法などが確認されています^*2。

さらに、2024年10月には、日本を含む欧米諸国の政府機関、防衛関連組織、学術研究機関、NGOを標的に、RDP（Remote Desktop Protocol）設定ファイルが含まれるフィッシングメールを送付していたことが報告されています。このメールを開くと悪意のあるサーバーへの接続が自動的に開始され、Blue Kitsuneはこのサーバーに標的デバイスのローカルリソースをマッピングすることで機密情報を窃取していたとされます^*3。

Blue Echidna

Blue Echidna（Sandworm）は、ロシア連邦軍参謀本部情報総局（GRU）に所属する特殊技術センター（GTsST）第74455部隊に関連付けられているロシア系脅威アクターです。過去にBlue Echidnaが展開したと考えられているサイバー攻撃として、2015 年と 2016 年の冬のウクライナの電力網に対するサイバー攻撃、2017 年のウクライナ憲法記念日に合わせて行われた世界規模の NotPetya 攻撃、ロシアのドーピングによるオリンピック出場禁止に対抗して行われたとされる2018 年平昌オリンピックの開会式妨害などが挙げられます。

これらの事例に見られるBlue Echidnaの攻撃手法に係る特徴は、産業用制御システム（ICS: Industrial Control System）を攻撃する能力を有するワイパー型マルウェアの使用です。

2015年12月および2016年12月のウクライナの電力施設を標的としたサイバー攻撃では、IndustroyerやKilldiskと呼ばれるワイパー型マルウェアによってICSを破壊し、実際に大規模停電を引き起こしました。近年では、ハクティビストを装って米国やポーランドの水道施設、フランスの水力発電施設を標的としたサイバー攻撃を行い、制御システムを操作する動画やスクリーンショットを公開しました。米国の水道施設に至っては、実際にシステムの不具合が発生してタンクが溢れたことが報告されています^*4。

このように、Blue Echidnaの妨害工作を動機とした攻撃活動は、特に欧米諸国の重要インフラを標的としており、ウクライナ情勢で対露経済制裁やウクライナ支援を実施する日本も警戒する必要があります。

ii. 親露派ハクティビストグループ

White Dev 149/Blue Kurama/White Dev 135

次に、親露派ハクティビストグループの攻撃活動とその特徴について整理します。前述の国家支援型スパイ活動・妨害工作グループとは異なり、ハクティビストが用いる攻撃手法や動機は比較的シンプルであり、ウクライナやNATOへの支持を表明し、ロシアに批判的である国々や組織に対してDDoS（分散型サービス拒否）攻撃を実施するという特徴があります。

新型コロナウイルス感染症の流行によってDXが加速した昨今の日本社会において、DDoS攻撃の社会的影響はますます大きくなっています。とりわけ、2024年末から2025年年始にかけて集中的に発生した日本を標的としたDDoS攻撃はメディアも大きく取り上げており、システム障害の発生によってフライトの大幅な遅延、ネットバンキングの一時停止、さらには天気予報専門メディアのWebサイトの接続障害など、国民生活に直結する社会インフラが機能不全に陥ったことは憂慮すべき事態です（※当該攻撃はいかなるハクティビストグループも本稿執筆時点で犯行声明等は公表していません）。

このような社会的背景を考慮した場合、ウクライナ情勢が緊迫化した2022年以降に親露派ハクティビストグループが日本を標的としたDDoS攻撃を高い頻度で行っていることに関しては、引き続き警戒が必要です。

とりわけ、現在の日露関係は、ウクライナ支援や対露経済制裁、NATOへの関与、同盟国との軍事演習など、あらゆるコンテキストにおいて停滞状態にあります。したがって、日露関係に影響する地政学的イベントの注視は親露派ハクティビストグループによるサイバー攻撃の予見可能性を一定程度引き上げるのに有効といえます。

他方で、2023年10月7日からイスラエルとハマスの間で続く戦闘に関して、ロシア系脅威アクターと親パレスチナ派ハクティビストグループが共にイスラエルおよびその支援国に対するサイバー攻撃で連携している点も留意すべきです。2023年10月16日、国連安全保障理事会においてロシアが提出したイスラエル・ハマス停戦案に対して日本政府が反対票を投じたことに関連して、親パレスチナのハクティビストグループが日本の政府機関や民間企業のWebサイトに対してDDoS攻撃やWebコンテンツの改ざんを実行したと主張しました。

また、Blue Kuramaも同年10月8日、イスラエル政府の公式ウェブサイトに対するDDoS攻撃の責任を主張しました。当該グループは、イスラエル政府がウクライナのゼレンスキー政権を支持していると非難し、イスラエル政府のシステムを標的にすることを発表しました^*5。本稿執筆時点で、Blue Kuramaやその他の親露派ハクティビストグループによるこの問題に関連した日本を標的としたサイバー攻撃は確認されていません。しかし、新たに発足した米第二次トランプ政権の中東政策やその同盟国である日本の外交スタンスによっては、日本が攻撃の対象になる可能性もあるため、引き続き注視していく必要があります。

図表2：White Dev 149/Blue Kurama/White Dev 135によるものとされる近年の攻撃

攻撃時期	関与が報告されているハクティビストグループ	被害状況	政治的主張	関連する地政学的イベント
2022年9月6～8日	Blue Kurama	行政総合ポータルサイト「e-Gov」、地方税ポータルサイト「eLTAX」、クレジットカード、SNS、港湾管理組合等のWebサイトでアクセス障害が発生	日本がウクライナ支援国である点を批判	東方経済フォーラム（ロシア極東ウラジオストクで2015年から毎年9月頃開催）への日本の不参加ロシア軍東部軍管区の大規模演習「ヴォストーク2022」の実施期間中（同国大統領や国防相が現地視察）
2023年2月13日～18日、同年3月1日	Blue Kurama、White Dev 149	石油業界団体や鉄道会社のほか、政府機関、電気機器メーカー、建設機械メーカーや証券会社等のWebサイトでアクセス障害が発生	ウクライナ支援、対露経済制裁を批判	2023年2月1日にウクライナ政府が日本政府による1億7,000万ドル規模の復興支援金の拠出を発表同年2月6日に日本政府が指定上限価格を超える価格で取引されるロシア原産の石油製品輸入禁止の追加措置を発表同年2月28日に日本政府がロシアの個人および団体に対する資産凍結等の措置を発表
2024年2月19～23日	White Dev 149、White Dev 135	政党、議会、自動車関連組合のWebサイトでアクセス障害	ウクライナ支援を批判	2024年2月19日に日・ウクライナ政府の経済復興推進会議で民間主導の復興支援が公表
2024年7月15～16日	White Dev 149	自治体や政党、公共交通機関、金融関連用語集のWebサイトでアクセス障害	NATOとの軍事連携強化を批判	ストルテンベルグ同事務総長が2024年2月11日の岸田元総理との会談で日本との安全保障での連携を強化し、インド太平洋やサイバー領域での合同軍事演習を拡大していくと宣言
2024年10月14～20日	White Dev 149、White Dev 135	造船業、製造業、業界団体、シンクタンク、政治団体、港湾運送業、金融業、行政機関、空港、マスコミ等のWebサイトでアクセス障害	日米合同軍事演習を批判	2024年10月23日から11月1日に全国各地で日米共同統合演習「キーン・ソード」が実施予定ロシア外務省は同年10月11日に、日米共同統合演習の実施をめぐって日本政府に対して抗議

iii. 影響工作に関与するグループ

Blue Dev 14

Blue Dev 14（別名：Doppelganger）は、ロシアの戦略的目標を支援するために影響力工作を行う脅威アクターです。2022年春以来、特に西欧のウクライナ支援国を標的としてきましたが、2024年にはイスラエルや米国に攻撃活動の焦点を移し、イスラエル・ハマス戦争や米国大統領選挙に関する偽情報を流布しているとされています。また、Blue Dev 14はパリオリンピックを貶める偽情報キャンペーンを欧州の各言語で行い、フランス語のフェイクニュースサイトを使ってIOCの汚職やフランス政府を批判し、社会不安を煽っていたことが報告されています。これはウクライナでの戦争から西側諸国の注意を逸らすためのロシアの戦略と考えられます。

2024年11月に実施された米国大統領選挙に対してBlue Dev 14が行ったとされる影響工作に注目すると、標的国における世論操作を企図した巧みな戦術が見えてきます。米司法省によれば、Blue Dev 14は米国やドイツ、メキシコ、イスラエルなどの報道機関に似せたドメインを作成し、独自のメディアを立ち上げていたのみならず、偽のSNSアカウントやインフルエンサー、AI生成による有料広告を駆使して、有権者を親ロシア的なコンテンツに誘導し、各国の有権者の投票行動に影響を与えることを狙っていました。内容としては、米国がウクライナ支援を縮小し内政に注力すべきといった親ロシア政策を強調しており、有権者層に応じて情報や使用するSNSを変えていたと報告されています^*6。

現時点で、Blue Dev 14が日本を標的に世論操作等を目的とした影響工作を展開した事例は報告されていません。しかし、ウクライナ戦争に関して他の西側諸国と歩調を合わせて反ロシア的な外交政策を継続する日本も今後の情勢次第では標的になる可能性が考えられます。とりわけ、2025年は日本国内で大阪・関西万博等の国際イベントや戦後80周年にまつわるモニュメンタルな行事も予定されているため、SNS空間における偽情報拡散など想定し得る事象には事前に対応策を用意しておくことが肝要です。

本稿では、ロシア系脅威アクターを3種類に大別し、その攻撃パターンを分析しました。後編ではこれをもとに、2025年における重要なイベントを視野に入れ、日本を標的としたロシア系脅威アクターによるサイバー攻撃のシナリオと対応策をまとめます。

^*1 スコット・ジャスパー著、川村幸城訳「ロシア・サイバー侵略その傾向と対策」2023年、作品社

^*2 Mandiant, 2022. Trello From the Other Side: Tracking APT29 Phishing Campaigns（Last Accessed: 2025/03/18）
https://cloud.google.com/blog/topics/threat-intelligence/tracking-apt29-phishing-campaigns/?hl=en

^*3 Health Sector Cybersecurity Coordination Center (HC3), 2024. New Spear Phishing Campaign by Midnight Blizzard（Last Accessed: 2025/03/18）
https://www.hhs.gov/sites/default/files/new-midnight-blizzard-campaign-analyst-note-tlpclear.pdf

^*4 Mandiant, 2024. Unearthing APT44: Russia’s Notorious Cyber Sabotage Unit Sandworm（Last Accessed: 2025/03/18）
https://cloud.google.com/blog/topics/threat-intelligence/apt44-unearthing-sandworm/?hl=en

^*5 CYFIRMA, 2023. ISRAEL GAZA CONFLICT : THE CYBER PERSPECTIVE （Last Accessed: 2025/03/18）
https://www.cyfirma.com/research/israel-gaza-conflict-the-cyber-perspective/

^*6 U.S. Department of Justice, 2024. Justice Department Disrupts Covert Russian Government-Sponsored Foreign Malign Influence Operation Targeting Audiences in the United States and Elsewhere（Last Accessed: 2025/03/18）
https://www.justice.gov/archives/opa/pr/justice-department-disrupts-covert-russian-government-sponsored-foreign-malign-influence