要約
カナダは、国家安全保障および重要インフラを標的とする国家・非国家アクターの増加によって特徴づけられる、ますます複雑で攻撃的なサイバー脅威環境に直面している。国家の敵対勢力は従来型の諜報活動を超えて進化し、将来の破壊的攻撃に備えて重要ネットワーク内に事前配置を行うとともに、サイバー作戦とオンライン情報キャンペーンを組み合わせて威圧し、世論に影響を与えている。
中華人民共和国(PRC)は、カナダに対する最も高度で活発な国家支援型サイバー脅威であり、広範な諜報活動、知的財産の窃取、越境的抑圧に関与している。ロシアのサイバー計画はカナダと同盟国に対抗し不安定化させることを目的としており、イランは中東を越えて強圧的かつ破壊的なサイバー作戦を拡大している。
同時に、サイバー犯罪は、強靭で相互接続された「サービスとしてのサイバー犯罪(Cybercrime-as-a-Service:CaaS)」エコシステムに支えられ、広範かつ破壊的な勢力として存続している。このモデルは悪意あるアクターの参入障壁を下げ、脅威の増大を促進する。ランサムウェアは、特にカナダの重要インフラに対して最も影響の大きいサイバー犯罪脅威として台頭しており、アクターは利益最大化のために恐喝手法をエスカレートさせている。ランサムウェア事案と関連支払いは2023年に過去最高に達し、この傾向は、脅威アクターが能力を洗練させデジタル・サプライチェーンを悪用するにつれて継続すると見込まれる。
脅威評価の概要
本ブリーフィングは、通信保安局(CSE)の一部であるカナダ・サイバーセキュリティ・センター(Cyber Centre)が公表した国家サイバー脅威評価 2025-2026(NCTA 2025-2026)の主要所見を要約したものである。本評価は、2024年9月20日時点で入手可能な機密・非機密情報に基づき、サイバー事案がカナダ国民の日常生活に連鎖的かつ破壊的な影響を及ぼす「サイバー脆弱性の新時代」にカナダが入ったと結論づけている。
報告書の分析では、厳格な評価手法に基づき、判断の確からしさを示すために推定表現(確率表現)を用いている。
|
推定表現 |
確率 |
|
ほぼ確実 |
95% – 100%の可能性 |
|
非常に可能性が高い/非常に確からしい |
80% – 95%の可能性 |
|
可能性が高い/確からしい |
60% – 80%の可能性 |
|
五分五分 |
40% – 60%の可能性 |
|
可能性は低い/確からしくない |
20% – 40%の可能性 |
|
可能性は非常に低い/非常に確からしくない |
5% – 20%の可能性 |
|
ほとんど可能性なし |
0% – 5%の可能性 |
——————————————————————————–
国家の敵対勢力は、複雑で拡大するサイバー・エコシステムを活用し、諜報活動にとどまらず、破壊的攻撃や影響工作キャンペーンを含む作戦を実施している。PRC、ロシア、イランのサイバー計画が、カナダに対する最大の戦略的脅威として特定されている。
国家サイバー・エコシステム
国家のサイバー計画は、中核要素と周辺要素から成る多面的なエコシステムを通じて運用される:
- 中核エコシステム:
- 情報機関・軍事組織:サイバー空間作戦を実施する、国家に直接関連するアクター。
- フロント企業:サイバー脅威アクターの隠れ蓑を提供する国家統制下の組織。
- 周辺エコシステム:
- サイバー請負業者:プロジェクトベースのサイバー活動を行う民間企業(例:PRCのI-Soon)。
- フリーランスのサイバー運用者:機会主義的に国家のために働く個人または小規模チーム。
- 支援組織:関連研究機関、商用監視ベンダー、エクスプロイト・ブローカーなど、技術・人材・ツールを提供する組織。
中華人民共和国(PRC)
PRCのサイバー計画は、その世界規模、先進的な手口、野心的な目的により、カナダに対する最も高度で活発な国家サイバー脅威であると評価されている。
- 戦略目標:PRCは、諜報活動、知的財産(IP)窃取、悪意ある影響工作、越境的抑圧などを含む、高位の政治・商業目標に資するためサイバー作戦を実施している。
- 政府機関の標的化:PRCのアクターは、カナダのあらゆる政府レベル—連邦、州、準州、自治体、先住民—を執拗に標的としている。
- 過去4年間で、カナダ政府機関に関連する少なくとも20のネットワークがPRCアクターに侵害された。
- カナダ当局者、特に中国共産党(CCP)に批判的な者(対中議会間同盟(IPAC)のメンバーなど)は、偵察作戦の標的となっている。
- 越境的抑圧:PRCはサイバー能力を用いて、カナダ国内の活動家、ジャーナリスト、ディアスポラ・コミュニティを監視・嫌がらせ・沈黙させており、特に「五毒」(法輪功実践者、ウイグル人、チベット人、台湾独立支持者、民主化活動家)と呼ぶ集団を標的としている。
- 経済スパイ活動:カナダのイノベーション・エコシステム、民間部門、学術界は長年の標的である。PRCアクターは、量子コンピューティング、6Gネットワーク、先進航空などの戦略技術分野における中国の経済・軍事発展を支えるため、商業上機微なデータを盗んだ可能性が非常に高い。
- 重要インフラへの事前配置:重要な戦略転換として、PRCアクター(Volt Typhoonとして追跡)は、紛争時の潜在的な破壊的攻撃に備え、米国の重要インフラ内にほぼ確実に事前配置している。北米の重要インフラ(例:送電網、パイプライン)が統合されている性質上、この活動はカナダに直接のリスクをもたらす。
ロシア連邦
ロシアのサイバー計画は、カナダと同盟国に対抗し不安定化させる戦略の重要な構成要素である。
- 戦略目標:ロシアは、サイバー諜報とネットワーク攻撃を偽情報と組み合わせ、国際的地位を高め、民主的制度への信頼を損ない、対立相手を弱体化させようとしている。
- カナダに対する諜報活動:カナダは、NATO加盟、ウクライナ支援、北極圏での存在感により、非常に価値の高い諜報標的である可能性が高い。ロシアのアクターは、政府、軍、重要インフラのネットワークを標的とし、サプライチェーン侵害(例:SolarWinds)やクラウドサービスへの攻撃(例:Microsoftの企業メール侵害)を通じて行うことが多い。
- 親ロシア系非国家(PRNS)アクター:ロシアは、ハクティビストやサイバー犯罪者のネットワークを活用し、カナダに対する破壊的活動を実施しており、ロシア情報機関との関連がある可能性が高い。
- これらのグループは、ウクライナ首相の訪問などの出来事に合わせ、カナダ政府および民間部門のウェブサイトに対するDDoSキャンペーンを実施している。
- PRNSアクターはまた、水道施設など北米の重要インフラにおける運用技術(OT)システムの侵害および妨害を試みている。
イラン・イスラム共和国
イランは、相手を強圧し、嫌がらせ、抑圧するために攻撃的なサイバー計画を用いており、中東を越えて破壊的攻撃を実施する意思を強めている。
- 強圧的作戦:イランの国家支援アクターは、サービス妨害攻撃、データ消去、データ漏えいを含む多段階の破壊的作戦を実施し、相手を威嚇して外交政策に影響を与えようとしている。これらの行為は、否認可能性を維持するため、ハクティビストのペルソナやソーシャルメディア・チャネルによって増幅されることが多い。
- 越境的抑圧と諜報活動:イランは、ソーシャルエンジニアリングを用いて、体制への脅威と見なされるカナダ国内の個人(活動家、ジャーナリスト、イラン系ディアスポラのメンバーなど)を標的とする点で非常に高度である。これらのキャンペーンは、なりすましによって信頼を築いた後、認証情報を収集するためのマルウェアを配布することが多い。
注目すべきその他の国家アクター
- 朝鮮民主主義人民共和国(DPRK):DPRKのサイバー計画は、収益獲得と情報収集という二重の目的を持つ。国家支援アクターは、体制の資金源とするため、ランサムウェアや暗号資産窃取を含むサイバー犯罪に直接関与している。これは、カナダの個人および組織に対する、持続的で十分な資源を有するサイバー犯罪脅威となっている。
- インド共和国:インドは国家安全保障上の利益を推進するため、近代化されたサイバー計画を構築している。商用サイバー・ベンダーを活用し、カナダ政府ネットワークに対するサイバー諜報を行っている可能性が高く、その活動レベルは公式な二国間関係の状況によって左右される可能性が非常に高い。
——————————————————————————–
2. サイバー犯罪の脅威
主として金銭的利益に動機づけられるサイバー犯罪は、カナダ国民に影響を及ぼす可能性が最も高い脅威であり続けている。その持続性は、高度で強靭なオンライン・エコシステムの成長によって支えられている。
「サービスとしてのサイバー犯罪(CaaS)」エコシステム
CaaSのビジネスモデルはサイバー犯罪をプロフェッショナル化し、より利用しやすく、拡張可能にした。
- 機能:専門化したアクターが、オンライン・マーケットプレイス(例:摘発されたGenesis Market)、フォーラム、暗号化チャット・プラットフォームを通じて、すぐに使える悪意あるツール、データ、サービスを他のサイバー犯罪者に販売または貸与する。
- 提供内容:サービスには、Ransomware-as-a-Service(RaaS)、Malware-as-a-Service、Phishing-as-a-Service(PaaS)、Access-as-a-Serviceが含まれる。
- 影響:CaaSは技術的参入障壁を下げ、より多くの低熟練アクターによる攻撃を可能にし、サイバー犯罪全体の量と強靭性を高めている。
詐欺・スキャム
詐欺やスキャムは、カナダ国民に影響を与えるサイバー犯罪の中でほぼ確実に最も一般的な形態であり、重大な金銭的影響をもたらしている。
- カナダにおける詐欺による報告損失(CAD):
- 2021年:3億8,300万ドル
- 2022年:5億3,000万ドル
- 2023年:5億6,700万ドル
- 主要手法:フィッシングおよびスピアフィッシングは、最も多く報告される詐欺の種類の一つである。PaaSキットの普及や、非常に説得力のある詐欺メッセージを作成できるAI搭載チャットボットの拡大により、脅威は増大している。
ランサムウェアの脅威
ランサムウェアはカナダが直面する最も破壊的なサイバー犯罪の一つであり、攻撃は規模・頻度・複雑性の面で増加している。カナダの重要インフラが直面する最大のサイバー犯罪脅威であると評価されている。
- 拡大する規模:2023年は世界的にランサムウェアの記録的な年となり、事案は推定74%増、身代金支払い総額は10億米ドルに達した。
- 2023年にカナダで支払われた平均身代金は113万カナダドルで、2年間で約150%増加した。
- サイバーセンターが把握するランサムウェア事案は、2021年以降、年平均26%の前年比成長を示している。
- 主要ランサムウェア・グループ(2023年):LockBit、ALPHV、CL0P、PLAY、Black Basta。多くはRaaSモデルで運用され、中核開発者がアフィリエイトにランサムウェアを貸与する。
- 重要インフラの標的化:ランサムウェア・アクターは「ビッグゲーム・ハンティング」—業務停止を避けるため支払いに応じやすいと見なされる大規模組織や重要インフラ事業者を狙う—にますます注力している。
- 最近のカナダの事案:Suncor Energy、SickKids病院、オンタリオ州南部の5つの病院、London Drugs、ノバスコシア州政府、ハミルトン市はいずれも、ランサムウェアを含む重大なサイバー事案の影響を受けている。
- 医療分野では攻撃が大幅に増加しており、世界的に2022年以降、事案がほぼ倍増している。
分野別ランサムウェア事案(カナダ、2022-2023)
以下は、サイバーセンターが観測した、2022年から2023年にかけてのカナダにおけるランサムウェア事案の増加率を示す:
|
分野 |
増加率 |
|
情報技術 |
159% |
|
金融 |
157% |
|
建設 |
133% |
|
運輸 |
122% |
|
専門サービス |
112% |
|
小売 |
90% |
|
医療 |
75% |
|
エネルギー |
67% |
- 強靭性と回避:Hive、ALPHV、LockBitなどのグループに対する国際的な法執行機関の大規模な妨害にもかかわらず、ランサムウェア・エコシステムは強靭である。アクターはしばしば名称を変えて活動を再開し、柔軟で分散型のCaaSモデルに支えられている。
——————————————————————————–
3. サイバー脅威環境を形成するトレンド(~2026年)
NCTA 2025-2026は、今後数年間にカナダのサイバー脅威環境を形作る5つの主要トレンドを特定している:
- 人工知能(AI):AI技術がサイバー空間の脅威を増幅している。
- 進化する手口:サイバー脅威アクターは、検知回避のための技術を継続的に進化させている。
- 地政学に触発された非国家アクター:これらの集団が脅威環境に不確実性をもたらしている。
- ベンダー集中:少数の主要テクノロジー・ベンダーへの依存が、システム全体のサイバー脆弱性を高めている。
- デュアルユースの商用サービス:商用で利用可能なデジタルサービスが、地政学的対立のデジタルな交戦の中で巻き込まれるケースが増えている。
翻訳元: https://breached.company/national-cyber-threat-assessment-2025-2026-key-insights/
