デジタル化するグローバル紛争、企業に求められる「戦時対応プレイブック」

Intellect Servicesは、どこにでもあるような地味な会社でした。ウクライナで税務ソフトウェアを販売する、家族経営の中堅企業です。同社の経営陣を責めることはできません。まさか自分たちが地域を巻き込むサイバー戦争の巨大な駒になるとは、誰も予想していなかったのですから。

しかしロシアの対外軍事情報機関にとって、Intellect Servicesは大いに興味をそそる存在でした。同社のプラットフォーム「M.E.Doc」は、ウクライナ企業のあいだで広く使われていたからです。M.E.Docを侵害すれば、実質的に同国経済の大部分に影響を及ぼすことができます。そして他の中堅企業と同様、この会社もロシアの行く手を阻むような特別なサイバーセキュリティ防御体制を備えていたわけではありませんでした。

その後の展開はご存じの通りです。世界で最も悪名高い脅威アクターであるSandwormが、M.E.Docのソフトウェアアップデートにバックドアを仕込みました。これが後に「NotPetya」として知られることになるものです。

Intellect Servicesが被った被害にとどまらず、NotPetyaは世界中の何も知らない何千もの企業に数百億ドル規模の損害をもたらしました。サイバー戦争が交戦国の国境をはるかに越えて波及しうることを示す典型例です。

戦争状態にある国家は、必ずしも相手国の政府や軍を直接狙うわけではありません。むしろ民間セクターの方がはるかに容易な標的になり得ると、Forresterのアナリストであり著書「Code War: How Nations Hack, Spy, and Shape the Digital Battlefield」の著者でもあるAllie Mellen氏は指摘します。企業側が反撃するのは非常に困難だからです。

自分たちが戦争の標的になるとは考えていない企業の多くが、実際には標的にされています。多くの経営幹部は、この点についてもっと真剣にプレイブックを練る必要があると、Mellen氏は先月ラスベガスで開催された「Zenith Live 2026」で主張しました。

なぜ企業が軍事標的になるのか

そもそも、なぜ国家が民間企業を戦争に巻き込むのでしょうか。

赤十字国際委員会(ICRC)の法律顧問であるJonathan Horowitz氏は、1977年のジュネーブ諸条約を引用します。同条約は国際人道法(IHL)の下での軍事目標を、「その性質、位置、目的または用途により軍事行動に効果的に寄与し、かつその全部または一部の破壊、捕獲または無力化が、その時点における状況下において明確な軍事的利益をもたらすもの」と定義しています。

では、この定義には誰が含まれるのでしょうか。まず最も分かりやすいのは、「軍と契約関係にあれば、それだけで標的になる」ケースだとMellen氏は言います。「それが現実です。敵対勢力は米軍のサプライチェーンを断ち切ろうとしたり、少なくともあらゆる手段で米軍にダメージを与えようとしたりするからです」

とはいえ、軍や政府と直接的なつながりを持たない組織であっても、現代戦争の複雑な性質ゆえに、然るべき国家からすれば軍事目標に見えてしまうことがあります。医療機器メーカーのStrykerは、米軍のさまざまな部門に医療機器や患者管理システムを供給しています。同社は、イラン情報治安省(MOIS)とつながりを持つイランのハクティビスト集団Handalaの標的となりました。

「かつての戦場では、すべてが民間人の存在しない場所で起きていました。しかし時代は変わりました」とHorowitz氏は説明します。「都市化が進み、武力紛争は民間人が暮らす都市部にまで及ぶようになりました。そこでは民間インフラと軍事インフラが入り混じっています」

橋や鉄道が戦時中に軍事目的と民間目的の両方に使われ、民間人を不必要な危険にさらしてしまうのと同じように、デジタルインフラもまた軍事目的と民間目的の両方に使われうるため、中立的な組織やその顧客までもが攻撃の射程に入ってしまうのです。

軍はすでに、デジタルサービスプロバイダーを攻撃対象にする姿勢を見せています。物理的な攻撃すら辞さないケースもあり、それはそうしたサービスプロバイダーの下流にいる顧客企業すべてに波及効果をもたらします。

「もしあなたが、どこかのクラウドシステムを利用している地域の公営エネルギー事業者だとして、そのクラウドシステムが前線基地への支援も行っているという理由で標的にされたとしたら――プロバイダー側と自治体側の双方が、自分たちがどれほどのリスクにさらされているかを本当に理解しているのか、真剣に考えるべき問題が出てきます」とHorowitz氏は説明します。

敵国軍の弱体化という直接的な目的以外にも、交戦国にはさまざまな思惑があり、それによってより多くの組織が標的候補リストに加わることになります。国際法の是非はさておき、政治的に声高な発言をする人物が運営する組織をハッキングすれば、プロパガンダとしての価値を持ちます。M.E.Docのようなサプライチェーンベンダー――あるいは実際にはどんな種類の企業であっても――をハッキングすれば、敵対国の経済に混乱の種をまき、その国民からの政治的圧力を引き起こすことができるのです。

企業に必要な「戦時サイバーセキュリティ戦略」

トランプ政権が2026年3月に発表した「Cyber Strategy for America」という指令は、民間組織にとっての戦時リスクをさらに高める可能性があります。この文書の冒頭で真っ先に掲げられているのは、単に米国の組織を防御するだけでなく、「米国政府が持つ防御的および攻撃的サイバー作戦の全機能を展開する」という宣言です(強調は引用者による)。

「ハックバック」(報復攻撃)の是非についてはコメントを避けつつも、Mellen氏はこう主張します。「これは、他国がどのようにサイバー作戦を実行するかという発想そのものを変えることになるでしょう。より多くの国が、『民間セクターへのサイバー攻撃を、エスカレーション(事態激化)措置とみなされる一歩手前までどこまで押し進められるか』と考え始めるはずです」

こうした理由もあり、Mellen氏とHorowitz氏は、あらゆる種類の組織に対し、地政学的な紛争によって自社が直面しうるサイバーリスクを評価するよう強く勧めています。そのためにはまず、地政学的な情勢の変化と、それが自組織に及ぼしうる影響について、継続的に議論する場を持つことが欠かせません。

次のステップは、そうした情報を実践に落とし込むことです。実効性のあるサイバーセキュリティや物理セキュリティへの投資、あるいは組織が国家的な脅威アクターにとって魅力の薄い標的になるような、ささやかな工夫でも構いません。Horowitz氏は、サービスプロバイダーが民間向けサービスと公共部門向けサービスを分離し、データセンターを軍事施設から離れた場所に置くよう配慮することを提案しています。

Mellen氏は、企業が自社と結びつけて公にアピールする顧客を意識すべきだと提案します。たとえば、自社のウェブサイトに米軍を顧客として掲載しないというだけのことでも、ブランドの見え方を管理し、標的にされるリスクを下げる助けになると彼女は言います。Mellen氏は、こうした対策の一部は中小規模の企業にとって現実的ではないことも認めていますが、それでもこの分野を専門とするベンダーの支援を受けることで、リスクの可視性を高めながらセキュリティを強化することは可能だとしています。

「私たちはもはや、脅威アクターが特定の業界や地域だけを狙うと決まっていて、自分たちがその業界や地域に属していなければ心配しなくていい、という世界には生きていません」と彼女は強調します。「脅威アクターが動機をどう変化させるか、そして地政学的情勢の変化によって自社が標的にされる側へと切り替わる可能性があることを、常に意識しておく必要があります」

翻訳元: https://www.darkreading.com/cybersecurity-operations/businesses-wartime-cybersecurity-gameplans

ソース: darkreading.com