デンマーク情報機関、ハイブリッド戦の戦術が最新段階へとエスカレートする中、親ロシア系ハッキング集団による協調キャンペーンを明らかに
要約
デンマーク国防情報局(DDIS)は2025年12月18日、重要な2件のサイバー攻撃について、ロシア国家とつながりのある主体によるものだと公に断定した。これは、ウクライナを支援する西側諸国に対するロシアのハイブリッド戦キャンペーンにおける、さらなるエスカレーションを示す。重要な水インフラを標的とした攻撃と、民主的プロセスを妨害した攻撃という2件は、欧州諸国が直面する脅威環境の変化を示すとともに、国家支援のサイバー作戦に対する不可欠なサービスの脆弱性を浮き彫りにしている。
攻撃の概要:重要インフラと民主的プロセスが攻撃下に
水道事業者への侵害 ― 2024年12月
DDISが親ロシア派グループ「Z-Pentest」によるものとする事案では、ハッカーがデンマークのケーエ(Køge)にある水道事業者へ侵入し、運用技術(OT)システムを掌握してポンプ圧力設定を操作した。結果として配管が3本破裂したが、被害は限定的に抑えられた。
技術的な重要性:本件は、OTの操作を通じてサイバー攻撃者が重要インフラに直接の物理的影響を与えることに成功した稀な例である。これはサイバーセキュリティ専門家が長年恐れてきたものの、実際には滅多に現実化しないシナリオだ。この攻撃は次を示している:
- 産業制御システム(ICS)への侵入成功
- 運用技術(OT)を操作する能力
- 物理プロセスとそのサイバー制御メカニズムの理解
- 単なる妨害ではなく、具体的な損害を与える意図
選挙を標的としたDDoSキャンペーン ― 2025年11月
2つ目のキャンペーンは、ロシア情報機関との確立された関係を持つグループ「NoName057(16)」によるものとされ、2025年11月の地方自治体および地域評議会選挙を前に、デンマークのウェブサイトを標的とした分散型サービス妨害(DDoS)攻撃で構成されていた。
戦略的含意:DDISの評価によれば、これらの攻撃は複数の目的に資するものだった:
- 民主的プロセスの最中に公衆の不確実性を生み出す
- 威嚇の一形態としてサイバー能力を誇示する
- ウクライナ支援に対するデンマークへの報復
- 西側の対応とレジリエンスを試す
- 複数の欧州選挙で観測されるパターンを確立する
脅威アクターの状況
Z-Pentest:重要インフラの専門家
Z-Pentestは、ロシア国家と連携するハッキング集団の進化として懸念すべき存在である。金銭的利益を狙う従来型のサイバー犯罪組織とは異なり、Z-Pentestは次を示している:
- 産業制御システムに関する高度な理解
- 物理的損害を与える意思
- 重要インフラに侵入し得る十分なオペレーショナル・セキュリティ
- ロシアのより広範な戦略目標との連携
NoName057(16):DDoSの専門家
NoName057(16)は、ロシアの主要な分散型サービス妨害兵器として台頭し、複数の欧州諸国にまたがる協調キャンペーンを実施している。同グループの活動は一貫してロシアの外交政策目標と整合しており、とりわけウクライナに軍事的または人道的支援を提供する国々を標的としている。
関連報道:ロシアのDDoS能力とキャンペーンの詳細については、ウクライナのメディアやロシア占領地域を標的とした類似作戦を詳述する当社分析「2025年7月の主要DDoS攻撃3件」を参照。
確立されたパターン:
- 政治的に敏感な時期(選挙、政策発表)における標的化
- 国家レベルの資源を示唆する国境を越えた連携
- プロパガンダ価値を狙った公的な犯行声明
- 攻撃手法の高度化の進行
デンマークの対応:不十分さの認識
驚くほど率直な評価として、デンマーク当局者は国家のサイバーセキュリティ能力に大きなギャップがあることを認めた。レジリエンス・備え担当大臣トルステン・シャック・ペダーセンは、次のように率直に述べた。「我々がサイバーセキュリティの頂点にいると思うなら、信じられないほどナイーブだと思う。」
この認め方が重要なのは、次の理由による:
- 通常の政府メッセージングからの逸脱:防御能力への自信を示す傾向が強い一般的な政府発信とは異なる
- 緊急性のシグナル:サイバーセキュリティ投資の増加と国際協力の必要性を示す
- 現実の認識:先進的な欧州諸国でさえ国家支援の脅威に苦戦している現実を認める
- 政治的余地の創出:必要だが高額な安全保障インフラ改善を進めるための政治的空間を作る
外交・防衛面での対応
デンマークの対応には次が含まれる:
- ロシア大使を召喚し、正式な外交抗議を行う
- 特定グループを名指しした公的な帰属(アトリビューション)
- より広範な欧州の安全保障調整との統合
- 現行の防御が不十分であることの認識
トロエルス・ルンド・ポウルセン国防相は、これらの事案を「我々が話してきたハイブリッド戦が、残念ながら今まさに起きているという非常に明確な証拠」と表現した。
ハイブリッド戦という文脈
これらのサイバー攻撃は、欧州諸国を標的とするロシアのハイブリッド戦作戦という、より広いパターンの中に位置づけられる:
2025年9月:ドローン侵入
コペンハーゲンは、デンマークの空港および軍事施設で発生した一連のドローン侵入を「ハイブリッド攻撃」と分類し、欧州の「ドローン・ウォール」計画につながる脆弱性を露呈させた。
欧州全体でのパターン認識
DDISは、複数の欧州諸国において選挙を標的とする類似の攻撃パターンを特定し、孤立した事案ではなく協調キャンペーンであることを示唆した。
関連報道:ドイツもロシアのハイブリッド戦に直面しており、APT28(Fancy Bear)による攻撃とされた事案を扱う当社レポート「ドイツ、航空管制攻撃でロシアを非難」で詳述している。
戦略目標
ロシアのハイブリッド戦キャンペーンは、相互に関連する複数の目標を追求している:
- 信頼の毀損:重要インフラの安全性への信頼を揺るがす
- 政治的圧力の創出:ウクライナ支援を減らすよう圧力をかける
- 防御能力の試験:防御能力と対応プロトコルを試す
- 到達力の誇示:西側諸国の最も機微なシステムへの浸透力を示す
- 低強度紛争の常態化:従来の戦争閾値を下回る低強度の対立を常態化させる
デンマークでの攻撃は、ロシア国家支援作戦のより広いパターンに合致しており、とりわけ2004年以降少なくとも活動しているGRU軍事情報部隊のAPT28(Fancy Bear)による作戦と整合する。
APT28の主要作戦:
- 2016年 DNC侵害:米大統領選への影響を狙った注目度の高い攻撃
- 2017年 マクロン陣営:メール流出と偽情報でエマニュエル・マクロン陣営を標的化
- 2021-2025年 フランス・キャンペーン:フランスの省庁、防衛請負企業、シンクタンクを体系的に標的化(詳細分析はこちら)
- 2024年8月 ドイツ:ドイツ航空管制(Deutsche Flugsicherung)の航空管制システムへの攻撃
- 2025年11月:APT28メンバー、アレクセイ・ルカシェフをタイで初逮捕(全文はこちら)
組織にとっての技術的・戦略的含意
重要インフラ運用者向け
ケーエの水道事業者への攻撃は、いくつかの重要な教訓を提供する:
- OTセキュリティは先延ばしできない:組織は、運用技術のセキュリティ改善を先送りすることをもはや正当化できない。この攻撃は、理論上のリスクがすでに運用上の現実になったことを示している。
- ネットワーク分離は不可欠:IT環境とOT環境の適切なセグメンテーションは、連鎖的侵害に対する主要な防御であり続ける。
- 物理的影響シナリオの検証が必要:インシデント対応計画は、物理的損害を引き起こすサイバー攻撃を想定しなければならず、サイバーチーム、運用担当、緊急サービス間の連携が必要となる。
- サプライチェーンの可視性が重要:重要システムのあらゆる構成要素と、そのセキュリティ態勢を把握することは、もはや任意ではない。
すべての組織向け
- DDoS耐性は拡張可能でなければならない:国家主体がDDoSを好んで用いる傾向が強まる中、組織は十分な容量と緩和戦略を確保する必要がある。
- 地政学リスク評価:組織はリスク評価フレームワークに地政学分析を組み込み、自国の外交政策上の立場が標的化につながり得ることを理解しなければならない。
- 官民のインテリジェンス共有:デンマークの迅速かつ具体的な帰属は、政府と民間部門のインテリジェンス共有パートナーシップの価値を示している。
- インシデント対応には帰属の観点を含める:事案が国際的に重要な問題となり得ることを踏まえ、組織はフォレンジック証拠を保全すべきである。
ロシアの進化するサイバー戦術
諜報から物理的影響へ
ロシアのサイバー作戦は過去10年で大きく進化してきた:
初期段階(2004-2015):諜報と情報収集に注力
- 政府・軍ネットワークを標的とするAPT28作戦
- 政治組織からの情報収集
- 高度なマルウェア能力の開発
影響工作段階(2016-2019):情報戦と選挙干渉
- DNC侵害とWikiLeaksとの連携
- マクロン陣営の標的化
- NotPetyaによる世界的混乱(2017年)- 被害額100億ドル
ハイブリッド戦段階(2020-現在):サイバーと物理作戦を組み合わせた多面的攻撃
- ウクライナ重要インフラに対するPathWiperマルウェア
- 複数の欧州標的に対する協調DDoSキャンペーン
- 物理インフラへの攻撃(デンマーク水道事業者)
- 航空システムに対する継続的キャンペーン
ウクライナ紛争という触媒
2022年のロシアによるウクライナ侵攻は、ハイブリッド戦作戦を劇的に加速させた:
ウクライナへの直接攻撃:
- 重要インフラを標的とするPathWiperワイパー型マルウェア
- FSB支援のArmageddonグループによる5,000件超のサイバー攻撃
- エネルギー、水、通信の体系的標的化
対抗作戦:
- ロシア占領地域に対するウクライナのサイバー作戦
- クリミアで25万人が通信不能
- ロシアの外食・小売インフラに対する標的型攻撃
西側標的の拡大:
- ウクライナ支援国(デンマーク、ドイツ、フランス)への攻撃
- 欧州全域での選挙干渉キャンペーン
- 重要インフラの偵察と攻撃準備
帰属(アトリビューション)の問題:なぜ公表が重要なのか
デンマークが、特定グループを名指ししてこれらの攻撃を公に帰属させた判断は、外交およびサイバーセキュリティ上の重要な決定である。このアプローチは:
説明責任を生む
公的帰属は、直接的な結果が限定的であっても、ロシアに評判上・外交上のコストを課す。
同盟国の連携を強化する
詳細な帰属により、他国は特定の脅威アクターのTTP(戦術・技術・手順)に基づいて防御態勢を改善できる。
将来の作戦を抑止する
国家支援作戦を完全に止める可能性は低いが、公的帰属は攻撃者の費用対効果計算を引き上げる。
国民を啓発する
ハイブリッド戦に関する透明性は、国民が自国の脅威を理解する助けとなり、必要な安全保障投資への政治的支持を形成する。
関連報道:国家支援の帰属統計を含む2025年の脅威環境の包括的分析については、主要サイバー攻撃の39%が国家支援アクターに帰属されたことを記録する「2025年サイバーセキュリティ情勢ブリーフィング」を参照。
「平和と戦争の間の空間」
MI6の新長官が最近の環境を表現したように、西側諸国は「平和と戦争の間の空間」—伝統的な抑止モデルが適用しにくいグレーゾーン—に置かれている。
この曖昧さは、いくつかの課題を生む:
- 対応の調整:限定的な損害にとどまる一方で重大な能力を示す攻撃に、民主国家はどう対応すべきか。
- 同盟調整:NATOやEUの枠組みは通常戦に向けて設計されており、持続的な低強度サイバー作戦には適合しにくい。
- 民間部門の役割:重要インフラの大半は民間所有であり、責任と能力をめぐる複雑な問題を生む。
- 法的枠組み:サイバー作戦を規律する国際法は未整備で、サイバー空間における武力攻撃の定義について合意が限定的である。
より広い文脈:ロシアのサイバー戦エコシステム
ロシアのサイバー能力は、複数の情報機関に分散している:
GRU(軍事情報):
- APT28(Fancy Bear、Forest Blizzard、BlueDelta)
- 複数キャンペーンで文書化されたAPT29の標的化
- Sandworm Team(NotPetya、ウクライナ電力網攻撃)
FSB(連邦保安庁):
- Armageddonグループ ― ウクライナのインフラに対する5,000件超の攻撃
- 国内監視・統制作戦
- 防諜作戦
SVR(対外情報庁):
- SolarWindsサプライチェーン侵害(2020年)
- 長期的な諜報キャンペーン
- 戦略的インテリジェンス収集
親ロシア系プロキシ集団
正式な情報機関に加え、ロシアはプロキシ組織を活用している:
Z-Pentest:重要インフラ標的化の専門家 NoName057(16):DDoS作戦の専門家 各種ハクティビスト集団:もっともらしい否認可能性を伴う協調作戦
反作用:ロシア自身が標的に
興味深いことに、ロシアもまたサイバー作戦の標的となり、数十年にわたる一方向の脅威の流れが逆転しつつある:
DarkGaboonキャンペーン:金銭目的のグループが2年にわたり、流出したLockBit 3.0ランサムウェアを用いてロシア企業を標的化し、ロシア全土の銀行、小売、観光、公共サービス部門を攻撃してきた。これはサイバー脅威の伝統的な地理を覆す、注目すべき逆転である。
米連邦裁判所侵害:ロシアの情報収集
デンマークでの攻撃は、他の重要なロシア作戦に続くものでもある。たとえば米連邦司法システムへの侵害では、ロシアのハッカーが:
- PACER電子提出システムを侵害
- ロシアおよび東欧との関連を持つ刑事事件を標的化
- 秘密情報提供者の身元が露見した可能性
- 複数の連邦管区にわたる封印事件文書へアクセス
この侵害は、重要な司法インフラにおける数十年のサイバーセキュリティ軽視を浮き彫りにし、戦略的関心を持つ特定の個人や事件を狙う情報収集作戦にロシアが注力していることを示した。
組織への提言
直ちに取るべき行動
- OTセキュリティ態勢の見直し:産業制御システムを運用している場合、リモートアクセス機能とネットワーク分離に焦点を当てた緊急のセキュリティ評価を実施する。
- DDoS耐性のテスト:現実的なDDoSシミュレーションを実施し、容量制限と緩和のギャップを特定する。
- 脅威モデルの更新:特に重要インフラ分野、またはウクライナ支援姿勢が強い国で事業を行う場合、国家支援アクターを脅威モデリングに組み込む。
- 監視の強化:特にOT環境における異常な運用変更を検知する能力を導入または改善する。
戦略的取り組み
- インテリジェンス・パートナーシップの確立:国家のサイバーセキュリティ機関や情報共有組織との関係を構築し、戦術的脅威インテリジェンスを受け取れるようにする。
- チームの相互訓練:ITセキュリティチームがOTの含意を理解し、その逆も同様となるようにし、収斂する脅威に対応できる組織能力を高める。
- 国外との接点の文書化:敵対国とつながりのある技術コンポーネント、ベンダー、サービス提供者をすべて把握し文書化する。
- シナリオベース計画:重要システムに対する国家支援攻撃を想定したインシデント対応シナリオを策定し、緊急サービスや政府機関との連携も含める。
統計的背景:2025年のサイバー戦情勢
デンマークの事案は、エスカレートするサイバー戦のより広い文脈の中で発生している:
攻撃量:
- 組織あたり週次サイバー攻撃数が前年比47%増(2025年Q1)
- 世界のランサムウェア事案が126%急増
- 新規被害者2,063件の記録的なランサムウェア四半期
国家支援活動:
- 主要サイバー攻撃の39%が国家支援アクターに帰属
- ロシア、中国、米国でサイバー戦活動の61%を占める
- 重要インフラ(エネルギー、水、輸送)への攻撃が34%増
経済的影響:
- 2025年のサイバー戦被害コスト推計は131億ドル
- 前年比21%増
- NotPetya単独で100億ドルの被害(2017年攻撃)
法執行の対応:ロシアの不処罰を崩す
数十年にわたり、ロシアのサイバー犯罪者や国家支援ハッカーは、ロシアが自国民の引き渡しを拒否してきたことに守られ、ほぼ完全な不処罰のもとで活動してきた。しかし、最近の動きは、この計算が変わりつつあることを示唆している:
Operation Endgame(2025年):国際的な法執行作戦が主要サイバー犯罪インフラを標的とし、世界で1,000件超の逮捕につながった。
Operation Cronos(2024年2月):LockBitランサムウェアのインフラを解体し、同グループの不誠実さ(約束にもかかわらず被害者データを削除していなかった)を明らかにした。
アレクセイ・ルカシェフ逮捕(2025年11月):ロシア国外でのAPT28 GRU将校の初逮捕として、タイで拘束された。この逮捕が示すもの:
- ロシアの「聖域」保護の崩壊
- ロシア国境外への渡航に伴う現実的リスク
- 訴追を超える潜在的な情報価値
- 米国とタイの強固な安全保障協力のシグナル
Operation Moonlander(2025年):20年にわたるボットネット帝国を解体し、侵害ルーター上に構築されたプロキシサービスを運用していたとして、ロシア国籍3名とカザフスタン国籍1名を起訴した。
今後:新たな常態
デンマークが「サイバーセキュリティの頂点にいるわけではない」と率直に認めたことは、より広い現実を反映している。すなわち、国家支援のサイバー作戦から重要インフラを守る防御を完璧にした国は存在しない。デンマークの水道事業者と選挙関連ウェブサイトへの攻撃は、例外ではなく、ハイブリッド戦の新たなベースラインとして現れつつある。
組織と国家はこの現実に適応しなければならない:
- 持続的脅威:国家支援作戦は継続し、地政学的緊張の高まりとともにエスカレートする可能性が高い。
- 標的の拡大:どの分野も、ハイブリッド戦作戦の対象外だと想定できない。
- 能力ギャップ:多くの組織と多くの国家は、国家レベルの脅威に単独で対抗する資源を欠いている。
- 集団防衛:国際的な協調、官民パートナーシップ、強固な情報共有を通じてのみ、民主国家は十分なレジリエンスを構築できる。
デンマークの事案は、警告であると同時に機会でもある—より深刻な攻撃が起きる前に防御を強化する好機であり、脅威が現実かつ差し迫っていることを思い起こさせる。
結論:激化するデジタル戦場
デンマークが、ロシア国家とつながる集団にサイバー攻撃を帰属させたことは、外交抗議以上の意味を持つ。ハイブリッド戦が理論上の懸念から運用上の現実へ移行したという、厳然たる認識である。水インフラと選挙システムへの攻撃は、ロシアが民主社会の基盤要素を標的にする意思を示している。
要点:
- 物理的影響は現実:ケーエの水道事業者への攻撃は、サイバー作戦が重要インフラに具体的な物理損害を与え得ることを証明した。
- 民主的プロセスが標的:選挙に焦点を当てたDDoSキャンペーンは、民主制度への信頼を損なうことを狙う。
- 防御ギャップは大きい:先進的な欧州諸国でさえ、国家レベルの脅威に対してサイバーセキュリティ能力が不十分であることを認めている。
- ハイブリッド戦はすでに到来:サイバー攻撃、ドローン侵入、情報作戦の組み合わせは、地政学的競争における新たな常態を示す。
- 集団的対応が必要:どの国も単独では防げない—国際協力と情報共有が不可欠である。
当社の包括的な2025年サイバーセキュリティ情勢分析で記録したとおり、国家支援のサイバー作戦は主要攻撃の39%を占め、観測されたサイバー戦活動の61%はロシア、中国、米国の3か国が共同で担っている。デンマークの事案は孤立した出来事ではなく、今後数年の安全保障環境を規定する、攻撃的サイバー作戦のより広いパターンの一部である。
もはや問題は、組織が国家支援のサイバー脅威に直面するかどうかではない。いつ直面するのか、そして効果的に対応できる準備ができているかどうかである。
ロシアのAPT28作戦:
ロシアのより広範なサイバー作戦:
- ロシア関連サイバー攻撃、連邦裁判所システムの重大な脆弱性を露呈
- 2025年7月の主要DDoS攻撃3件が示す進化するサイバー戦術
- デジタルの反作用:サイバー犯罪者が今やロシアを標的にしている理由
- 最近の世界的サイバー攻撃:ウクライナに対するPathWiperマルウェア
世界の脅威環境:
- 2025年サイバーセキュリティ情勢ブリーフィング
- 世界サイバーセキュリティ・インシデントレビュー:2025年1月〜4月
- 脅威インテリジェンス・レポート:2025年夏 サイバー脅威情勢
- 誰がハッキングされているのか? 2025年後半の主要サイバー攻撃
法執行作戦:
本分析は、デンマーク国防情報局(DDIS)、The Guardian、その他のオープンソース・インテリジェンスによる公的報道に基づく。国家支援の脅威への曝露を懸念する組織は、各国のサイバーセキュリティ機関および適格なセキュリティ・コンサルタントに相談すべきである。
