過去1年間に英国の重要インフラ組織で発生したサイバーインシデントの4分の3は、国家行為者によるものか、ロシア・中国・イランといった敵対国家と関連していたことが、英国国家サイバーセキュリティセンター(NCSC)のCEO、リチャード・ホーン氏の発言で明らかになりました。
ホーン氏は6月17日、王立統合軍事研究所(RUSI)のAnnual Security Lecture 2026に登壇し、2025年6月から2026年5月の間に重要国家インフラ(CNI)に影響を与えたサイバーインシデント200件に同機関が対応したと述べました。
これは、前回の年次レビュー時点でNCSCが204件の「国家的に重大な」サイバーインシデントに対応していたと4月にホーン氏が公表した内容をさらに踏み込んだものです。
近・中・遠のデジタル空間で活動するサイバー脅威アクター
ホーン氏は、自らが「遠」「中」「近」と名付けた3つの争奪空間を横断する脅威について説明しました。
「遠」の空間は「敵対者のホームグラウンド」であり、英国とパートナー諸国は情報収集、制裁、法執行機関による対応、そして攻撃的サイバー作戦を通じて、敵対者の能力をその源泉から妨害・弱体化させていると述べました。
「中」の空間は正規ユーザーと悪意ある行為者が同じデジタルインフラを共有する領域です。ホーン氏は、攻撃者がクラウドやオープンソースのサプライチェーンを悪用して悪意あるコードを拡散し、大規模な影響を及ぼそうとしていると警告しました。また、クラウドベースのAIサービスが今後ますます攻撃者の能力を高める役割を担うようになるとも警告しました。
「ここではクラウド、テクノロジー、通信インフラを堅牢化し、それらの環境内における敵対者の拠点を排除することで、集団的かつ大規模な効果をもたらすことができます」と同氏は訴えました。
「近」の空間、すなわち標的となる組織のシステムについては、ホーン氏は取締役会に対し、「露出範囲の把握」「防御」「対応」という実践的な能力を優先するよう求めました。
サイバーセキュリティは「リスク」ではなく「継続的な戦い」
ホーン氏はまた、サイバーセキュリティは静的なリスクとしてではなく、継続する争いとして捉えなければならないと主張しました。
「皆さんの多くは、サイバーセキュリティが取締役会のリスク台帳の上位に位置しながら、最終的には単なる『リスク』として軽減対象に扱われている光景に見覚えがあるでしょう。しかしそれは多くの場合、誤った捉え方です。リスクという言語が役立つ場面もありますが、かえって害になることもあります」と同氏は述べました。
「リスクという言語は、リスクをコントロール下に置くために何が必要か、つまり『許容範囲内』に収めて耐えられる状態にするにはどうすればよいかを考えさせます。しかし争いという言語は、コントロールではなく能力とパフォーマンスに関するものです」と付け加えました。
ホーン氏は、経営幹部やセキュリティリーダーに対し、サイバーをリスク台帳の一項目として扱うことをやめ、継続的な改善を受け入れるよう警告しました。
「経営幹部がいつサイバーセキュリティへの投資を終えられるのかと問うとき、答えは『永遠に終わらない』です」と述べました。
チェック・ポイント・ソフトウェアのパブリックセクター担当部長グレアム・スチュワート氏は、ホーン氏のスピーチは「この国のすべての取締役会室の壁に貼り付けておくべきだ」と述べました。
同氏は、NCSCのCEOがサイバーセキュリティをコンプライアンスの実施事項ではなく「争い」として位置づけているのは「全くもって正しい」と述べました。
「サイバーセキュリティを単なる形式的な確認作業として捉えている組織は、危険なほど無防備な状態に陥るでしょう」とスチュワート氏は警告しました。
OPSWATのグローバル担当SVP(上級副社長)ジェームズ・ニールソン氏は、重要インフラ組織における従来のITシステムとOT(運用技術)ネットワーク・デバイスの間に存在する知識格差を指摘しました。
「英国の重要インフラ組織の多くが抱える課題は、その環境にITとOTのアセットが混在しているにもかかわらず、双方に深い専門知識を持つ人材が極めて少ないことです。これが脅威評価と防御構築における知識の空白を生み出しています」と述べました。
ClarotyのEMEA担当ゼネラルマネージャー、アンドリュー・リンテル氏も同意し、攻撃者が製造業、上下水道、発電といったOTが多用されるセクターを特に標的にするのは「成功した場合に最大限の混乱と恐怖をもたらせると見なされているため」だと強調しました。
「これらのセクターは、20のCNIセクターにわたって観測された攻撃の40%以上を占めています」とリンテル氏は指摘しました。
レガシー脆弱性問題への対応が急務
RUSIのイベントでのスピーチでホーン氏はAIを加速要因として特に取り上げました。最先端のAIモデルはすでにコード内の長年の脆弱性を発見する上で有効であり、攻撃者は今後ますます攻撃の自動化と規模拡大を進めるだろうと予測しました。
「今日組織が許容している多くの脆弱性は、明日の紛争において悪用されるでしょう」と述べました。
これは、2028年までに英国の重要インフラにおけるレガシー技術の既知の脆弱性に対して、攻撃者がAIのサイバー能力を使用することは「非常に可能性が高い」とするNCSCの評価に基づいた発言です。
この評価について、チェック・ポイントのスチュワート氏は「遠い将来の話ではなく、次の製品サイクルの話です」と警告しました。
「敵対者たちは今日すでに事前配置を進めており、重要な国家インフラを支えるテクノロジーの中に足がかりを築いていることが分かっています。紛争時にはそれが大規模な混乱を引き起こすための迅速な悪用を可能にする恐れがあります」とホーン氏は述べました。
このような事前配置戦術の最も重要な事例として、ホーン氏は米国のデジタルインフラに侵入した中国国家と関連するキャンペーンVolt Typhoonを挙げました。
また、こうした情報収集が必然的に戦争目的にも利用されることを強調しました。
「明日のいかなる紛争においても、実際の標的選定は今日収集された情報に基づくものとなるでしょう」と警告しました。
セキュリティリーダーや経営幹部が現時点でこの脅威を軽減するためにできることの一つは、サポートが終了したレガシーシステムへの対処です。
「サイバー空間において、私たちは明日の紛争に備えているのではありません。ある意味で、今日すでにその戦いの最中にいるのです」とホーン氏は締めくくりました。
翻訳元: https://www.infosecurity-magazine.com/news/hostile-states-cni-75-percent-ncsc/
