新たな研究によれば、サイバー関連の制裁だけでは通常、悪意あるサイバー活動を妨害するには至らないが、悪意ある行為者のネットワークを「有害化(toxify)」し得るという。
王立防衛安全保障研究所(RUSI)が10月28日に公表した報告書は、9月に開催されたRUSIサイバー制裁タスクフォースの第1回会合を踏まえて作成された。
この会合では、英国、米国、EUの現職および元政府関係者に加え、その他のEU関係者が、国家によるサイバー脅威に対抗するうえでの制裁の役割について議論した。
報告書は、制裁が政府および政府間機関のサイバー抑止戦略において、ますます重要な要素になっていると結論づけた。
しかしRUSIは、制裁だけではサイバー攻撃や悪意あるサイバー諜報キャンペーンを妨害するには不十分だと指摘した。
こうした懸念がある一方で、報告書は、経済制裁が敵対者の行動を変化させ得ると述べた。すなわち、地下ネットワークが名指しされた行為者から距離を置かざるを得なくなり、その結果、活動の見返りが小さくなり、政治的・経済的コストが増すことで、作戦が複雑化する。
制裁はまた、取引所やサービスプロバイダーなど民間部門の仲介者の意思決定にも影響し、制裁対象者への関与が露見するリスクを避けるため、支援を打ち切る選択を促し得る。
タスクフォース会合の参加者の一人は、この影響をサイバー悪性作戦の「有害化」と表現した。
さらにRUSI報告書は、サイバー制裁は、外交・法執行・情報(インテリジェンス)手段など他のレバーと組み合わせ、敵対者の行動変容を促すクロスドメイン戦略の一部として採用される場合に最も効果的だと結論づけた。
米国:影響力のあるサイバー制裁の先導者
米国は、重大な悪意あるサイバー活動に関与する個人および組織に対する措置を認める枠組みを最も長期にわたり維持しており、先頭を走っている。
この枠組みは2015年に大統領令13694によって設立され、その後、情報機関の職員や軍部隊から、サイバー犯罪グループおよびその支援者に至るまで、幅広い対象に対して用いられてきた。
さらに、米国のサイバー制裁アプローチは、主に次の2つの理由から最も効果的だと説明された。
- 米国のサイバー帰属(アトリビューション)および関連する経済制裁は、名称変更や再編が可能なグループや組織だけに焦点を当てるのではなく、持続的な身元とオンライン上のネットワークを持つ個人を名指しすることに概ね重点を置いている
- 米国の制裁は一般に、外交的措置、公的な技術勧告、刑事起訴など、他の重要な国策手段と組み合わせて実施される
EU:外交力の強国だが運用上の課題も
RUSI報告書は、EUの専用サイバー制裁制度は比較的新しく、2019年に同ブロックのサイバー外交ツールボックスの一部として導入され、米国よりも慎重に運用されていると指摘した。
原則として、この枠組みは強力になり得る。EUおよび加盟国の外交政策または安全保障を脅かすサイバー活動の責任があると特定された個人について、資産凍結や渡航禁止をEUが可能にするためである。
しかし実務上、この枠組みは2019年以降ほとんど使われておらず、これまでに指定されたのは17人と4団体にとどまる。これにはロシア、中国、北朝鮮の作戦に関連する行為者が含まれる。
RUSI報告書が指摘した最初の制約は、27加盟国すべての全会一致が必要である点だ。
報告書は「掲載(指定)の提案は加盟国または上級代表のいずれからでも開始できるが、すべての指定は全会一致の合意を確保しなければならない」と述べている。
さらに、EU加盟国は機微な情報(インテリジェンス)を広く共有することに消極的、あるいは共有できない場合が多く、その結果、前進する掲載であっても、公開の根拠がほとんどない「最大公約数(最低限)」のみが含まれることが多い。
最後に、EUのサイバー制裁制度は、監視・透明性・執行調整の不足により、大きな金融面の混乱が生じたという証拠が限られているとして、その有効性が不明確だとの批判に直面してきた。
課題の背景には、加盟国による分散的な帰属(アトリビューション)と、制裁が統一された戦略的アプローチではなく政治的妥協によって形作られがちであることがある。
ただしRUSI報告書は、これまで悪意あるサイバーキャンペーンの帰属に消極的だったフランスやチェコなどのEU加盟国が、近年それを行うようになったと指摘した。
報告書は「フランスは2025年4月、サイバー攻撃をロシア軍情報機関(GRU)に帰属させる初の公的発表を行った。チェコは2025年5月、サイバー諜報アクターAPT31の悪意ある活動を中国に帰属させた」と述べている。
「これらの例は、悪意ある行為者を公に名指しすることがより広く受け入れられつつあることを示しており、レジリエンス(強靭性)を高め、境界線を示すためのツールボックスの一部として、制裁をより活用する道を開いている。」
英国:中核戦略としてサイバー制裁を調整
報告書は、英国がEU離脱後の2020年に独自のサイバー制裁制度を導入したと指摘した。
それ以降、同国のサイバー関連制裁へのアプローチは、他国、特に米国、そして民間部門のパートナーとの連携に重点を置いてきた。
報告書は「英国はまた、指定内容を必要最小限よりも詳細にすることで、その指定に重みを加えようとしてきた。例えば近年、活動をGRUに帰属させた事例では、民間部門や国際パートナーが文脈を理解できるよう意図した説明が含まれている」と述べている。
しかし、タスクフォース会合に参加した英国拠点の参加者は、この分野における同国の主な課題は、高い証拠基準と外国の脅威アクターを逮捕できる見込みの低さから、制裁を刑事起訴と組み合わせることだと述べた。
RUSI報告書によれば、米国とは異なり、英国は制裁を、直接的な法執行ツールというよりも、帰属(アトリビューション)、妨害、外交的シグナリングのために主に用いている。
RUSI:サイバー制裁政策の提言
これらの結論を踏まえ、RUSI報告書は、サイバー関連制裁が悪意あるサイバー活動に与える影響を高めるため、タスクフォース会合の参加者が強調したいくつかの提言を取りまとめた。
提言には次が含まれる。
- 制裁の戦略目的を明確化する:政府は制裁の明示的な目標を具体化し、より精密なターゲティングと、成果のより明確な評価を可能にすべきである
- 制裁をクロスドメイン戦略に統合する:これまで最も効果的だった事例は、サイバー制裁が外交声明、起訴、差し押さえ、または秘密裏の妨害と組み合わされたケースである
- 実行犯だけでなく「支え手」に焦点を当てる:暗号資産取引所、技術サプライヤー、サービスプロバイダーへのターゲティングを強化することで、より広範な混乱を生み、仲介者の行動を形成できる
- 透明性と影響に関するデータを増やす:現時点では、制裁が資産凍結、運用活動の低下、または特定行動の抑止につながったかどうかについて、一貫したデータがほとんどない
翻訳元: https://www.infosecurity-magazine.com/news/nation-state-cyber-weakened/
