「あなたはサイバー犯罪と聞いて何を思い浮かべますか?」
もしかしたら黒いパーカーを着たハッカーが、暗い部屋でキーボードを叩いている姿を想像するかもしれません。
しかし、現実のサイバー犯罪は、もっと広く、もっと組織的です。
個人を騙すようなフィッシングもあれば、国家の情報を狙うスパイ活動もあります。
サイバー空間では、金銭目的の犯罪と国家の思惑が重なることがあるのです。
この記事では、まずIPAの最新ランキングをもとに、今どのような脅威が重視されているのかを確認します。
そのうえで、攻撃者が何を狙っているのか、金銭目的と国家目的がどこで重なるのか、そしてロシア、中国、北朝鮮、イランなどと関連づけられるサイバー活動にはどのような意図が見えるのかを整理します。
もちろん、サイバー攻撃は「誰がやったのか」の特定は簡単ではありません。
だからこそ、この記事では断定しすぎません。
「中国が」「ロシアが」と大きな主語で決めつけるのではなく、
「中国系とされる脅威アクター」
「ロシア政府と関連づけられる攻撃グループ」
「北朝鮮と関連づけられる暗号資産窃取」
のように、できるだけ慎重に整理します。
- 第1章:まずサイバー犯罪には何があるのか
- 第2章:ランキングから見る現実|ランサムウェア・サプライチェーン・AIリスク
- 第3章:攻撃者は何を狙うのか|金・情報・破壊・影響力
- 第4章:金銭目的と国家目的はどこで重なるのか
- 第5章:ロシア系とされる攻撃|戦争・諜報・犯罪組織との境界
- 第6章:中国系とされる攻撃|長期的な情報収集と経済・軍事情報
- 第7章:北朝鮮系とされる攻撃|暗号資産窃取と制裁回避
- 第8章:イラン系とされる攻撃|地域対立・破壊・影響工作
- 第9章:日本はなぜ狙われるのか
- 第10章:個人と企業はどう守るべきか
- まとめ:サイバー犯罪を理解することは、現代の国際情勢を理解することでもある
- もっと深く学びたい方へ
- 主な参考資料・出典
第1章:まずサイバー犯罪には何があるのか
サイバー犯罪と聞くと、個人情報を盗まれる、クレジットカードを不正利用される、パソコンがウイルスに感染する、といったイメージがあるかもしれません。
もちろん、それもサイバー犯罪です。
しかし、現在のサイバー犯罪は、それだけではありません。
- 企業の業務を止めるランサム攻撃
- 取引先や委託先から侵入するサプライチェーン攻撃
- 偽メールや偽サイトで認証情報を盗むフィッシング
- 暗号資産を狙う攻撃
- 重要インフラを混乱させる攻撃
- 国家機密や企業秘密を狙うスパイ活動
- SNSや偽情報を使って世論を揺さぶる情報戦
こうしたものが、同じサイバー空間で起きています。
ここで大切なのは、サイバー犯罪を「手口の一覧」として見ないことです。
- ランサムウェア
- フィッシング
- DDoS攻撃
- 標的型攻撃
- サプライチェーン攻撃
名前だけを覚えても、全体像は見えません。
本当に見るべきなのは、次の3つです。
- 誰が攻撃しているのか?
- 何を狙っているのか?
- その攻撃は、社会や国家とどうつながるのか?
たとえば、同じフィッシングでも、目的はさまざまです。
- 個人の銀行口座を狙う場合もある
- 企業の認証情報を盗み、ランサム攻撃の入口にする場合もある
- 政府関係者のメールを狙い、外交情報を盗む場合もある
同じ手口でも、目的が違えば意味は変わります。
サイバー犯罪を理解するには、手口だけでなく、構図を見る必要があります。
- 犯罪者が金を狙う
- 攻撃者が情報を盗む
- 国家系とされるアクターが外交や軍事に関わる情報を集める
- 制裁下の国が外貨を得るために暗号資産を狙う
- 情報工作によって社会の分断を広げようとする
こうして見ると、サイバー犯罪は単なる「ネット上の悪さ」ではありません。
金銭犯罪であり、産業スパイであり、情報戦であり、安全保障問題でもあります。
だからこそ、この記事ではまず最新の脅威ランキングを確認し、そのあとで攻撃者の目的を整理していきます。
第2章:ランキングから見る現実|ランサムウェア・サプライチェーン・AIリスク
サイバー犯罪を理解するとき、まず役に立つのが、実際にどのような脅威が重視されているのかを見ることです。
ここでは、IPAの「情報セキュリティ10大脅威 2026」を参考にします。
IPAの「情報セキュリティ10大脅威 2026」は、2025年に社会的影響が大きかった情報セキュリティ上の事故や攻撃をもとに、研究者や企業実務担当者など約250名の選考会メンバーが審議・投票して決定したものです。
組織向けは順位付き、個人向けは順位を付けず五十音順で掲載されています。(IPA)
組織向けの上位を見ると、現在のサイバー犯罪の構図がかなり見えてきます。
IPA「情報セキュリティ10大脅威 2026」の組織向けでは、
- 1位が「ランサム攻撃による被害」
- 2位が「サプライチェーンや委託先を狙った攻撃」
- 3位が「AIの利用をめぐるサイバーリスク」
- 4位が「システムの脆弱性を悪用した攻撃」
とされています。(IPA)
ここで注目したいのは、単に「ハッカーが侵入する」という話ではないことです。
上位に並んでいる脅威は、企業や組織の活動そのものに深く関わっています。
つまり、サイバー犯罪は情報システム部門だけの問題ではなく、
経営、取引、委託、業務継続、顧客情報、社会インフラに関わる問題になっています。
1位:ランサム攻撃による被害
ランサム攻撃は、いま最も深刻な脅威のひとつです。
攻撃者は、企業や組織のデータを暗号化し、復旧と引き換えに身代金を要求します。
近年は、それだけではありません。
データを盗んだうえで、
「支払わなければ公開するぞ。」
と脅す手口もあります。
つまり、業務停止と情報漏えいを同時に突きつけるわけです。
これが怖いのは、被害が画面の中だけで終わらないことです。
大企業なら億単位の損害が出ます。
自治体なら住民サービスが止まります。
病院なら人の命が失われるかもしれません。
ランサム攻撃は、単なるデータの問題ではありません。
社会の機能そのものを止める攻撃です。
2位:サプライチェーンや委託先を狙った攻撃
2位の「サプライチェーンや委託先を狙った攻撃」も重要です。
攻撃者は、必ずしも正面玄関から入ってくるわけではありません。
- 大企業のセキュリティが強ければ、取引先を狙う
- 本体に入れなければ、委託先を狙う
- ソフトウェア更新の仕組みを悪用する
- クラウドサービスや外部ベンダーを経由する
このように、守りが薄いところから回り込むことがあります。
これは、現代のビジネスがつながりすぎていることの裏返しです。
企業は一社だけで動いているわけではありません。
多くの外部組織とつながっています。
便利である一方、そのつながりが攻撃経路にもなります。
「自社だけ守ればよい」では足りない時代になっているのです。
3位:AIの利用をめぐるサイバーリスク
2026年版で特徴的なのが、AIリスクです。
IPAの組織向けランキングでは、「AIの利用をめぐるサイバーリスク」が2026年に初選出され、3位に入っています。(IPA)
これはかなり象徴的です。
生成AIは、仕事を効率化する便利な道具です。
一方で、攻撃者もAIを使えます。
例えば最近の迷惑メールは自然な日本語になってきたように感じます。
AIは、防御側にも攻撃側にも使える道具です。
さらに、企業がAIを使う側にもリスクがあります。
AIは便利です。
しかし、便利だからこそ、業務の中に深く入り込みます。
そして、深く入り込むほど、サイバーリスクも大きくなります。
4位:システムの脆弱性を悪用した攻撃
4位の「システムの脆弱性を悪用した攻撃」も、非常に基本的で重要です。
脆弱性とは、ソフトウェアやシステムの弱点です。
攻撃者は、その弱点を突いて侵入します。
- 更新されていないサーバー
- 設定ミスのあるクラウド
- 古いVPN機器
- 脆弱な認証設定
- 公開されたままの管理画面
こうしたものが入口になります。
Google CloudのM-Trends 2025では、2024年に観測された初期侵入経路として、脆弱性の悪用が33%で5年連続トップ、盗まれた認証情報が16%で2位に上がったと整理されています。(Google Cloud)
これはかなり示唆的です。
攻撃者は、映画のような天才的ハッキングだけで侵入しているわけではありません。
- 既知の脆弱性を突く
- 盗んだIDとパスワードで入る
- 設定ミスを見つける
- 人をだまして認証情報を入力させる
現実の攻撃は、意外なほど地味で、しかし効果的です。
ランキングから見えること
IPAのランキングから見えるのは、サイバー犯罪が「技術だけの問題」ではなくなっていることです。
- ランサム攻撃は、業務継続の問題
- サプライチェーン攻撃は、取引関係の問題
- AIリスクは、業務利用と情報管理の問題
- 脆弱性悪用は、日々の運用と更新の問題
つまり、サイバー犯罪は、組織の活動そのものを狙っています。
ここで大切なのは、攻撃者の目的を見ることです。
なぜ攻撃するのか。
次の章では、攻撃者が狙うものを、金、情報、破壊、影響力の4つに分けて整理します。
第3章:攻撃者は何を狙うのか|金・情報・破壊・影響力
サイバー攻撃を理解するには、手口よりも先に、目的を見るとわかりやすくなります。
攻撃者は、何を得ようとしているのか。
大きく分けると、4つあります。
- お金
- 情報
- 破壊
- 影響力
この4つです。
1. お金を狙う
最もわかりやすいのは、お金です。
- ランサム攻撃
- フィッシング
- ビジネスメール詐欺
- 投資詐欺
- 暗号資産の窃取
- クレジットカード情報の窃取
- 不正送金
これらは、金銭目的の攻撃です。
2024年 Internet Crime Report では、2024年にIC3へ寄せられた苦情は85万件以上、損失額は166億ドルを超え、前年から33%増えたとされています。
被害申告件数の上位はフィッシングやなりすまし、恐喝、個人データ侵害で、暗号資産を含む投資詐欺の損失は65億ドル超とされています。(Federal Bureau of Investigation)
この数字からわかるのは、サイバー犯罪の多くが「高度な侵入」だけではないということです。
例えば、偽サイトにパスワーを入力させるために人間の心理が狙われています。
サイバー犯罪は、コンピューターを攻撃する犯罪であると同時に、人間をだます犯罪でもあります。
2. 情報を狙う
次に、情報です。
情報は、お金になります。
- 売ることもできる
- 脅迫に使うこともできる
- 次の攻撃に使うこともできる
さらに、国家と関連づけられる脅威アクターにとって、情報は外交・軍事・経済の武器になります。
- 相手国の政策を知る
- 軍事技術を盗む
- 企業の研究成果を得る
- 交渉前に相手の手の内を読む
- 重要人物の情報を集める
情報を盗む攻撃は、被害に気づきにくいことがあります。
ランサム攻撃のように派手ではありません。
しかし、長期間にわたって静かに情報を抜かれることがあります。
見えにくいからこそ危険です。
3. 破壊する
サイバー攻撃は、情報を盗むだけではありません。
- システムを止める
- データを消す
- 業務を止める
- インフラを混乱させる
- 工場や病院の運営に影響する
こうした破壊的な攻撃もあります。
特に重要インフラが狙われると、影響は大きくなります。
サイバー攻撃によってこうしたインフラが止まれば、生活に直接影響します。
サイバー攻撃は、もはや画面の中だけの出来事ではありません。
現実世界の安全や生活を揺さぶる攻撃になっています。
4. 影響力を狙う
最後に、影響力です。
これは少し見えにくい目的です。
たとえば、情報工作があります。
- 偽情報を広げる
- SNSで対立を煽る
- 選挙への不信を高める
- 政府やメディアへの信頼を下げる
- 特定の国や集団への憎悪を増幅する
これは、お金を直接奪う攻撃ではありません。
しかし、社会の判断を歪めます。
「人々が何を信じるか?」
「誰を敵だと思うか?」
「政府を信頼するか?」
「選挙結果を受け入れるか?」
「戦争や外交危機をどう見るか?」
こうした認識に影響を与えようとする攻撃です。
現代のサイバー空間では、サーバーだけでなく、世論も攻撃対象になります。
これは、台湾有事やロシア・ウクライナ戦争の記事でも見た構図です。
軍事と情報戦は切り離せません。
目的が重なるから難しい
サイバー攻撃の目的は、きれいに分かれるわけではありません。
お金を盗む攻撃が、国家の資金源になることがあります。
情報を盗む攻撃が、外交や軍事に使われることがあります。
破壊的な攻撃が、戦争や危機の一部になることがあります。
偽情報が、社会の分断や選挙への不信につながることがあります。
つまり、サイバー犯罪は単なる犯罪ではありません。
- 金銭犯罪
- スパイ活動
- 破壊工作
- 情報戦
これらが重なった領域です。
次の章では、この重なりをもう少し掘り下げます。
特に、金銭目的の犯罪と国家目的の攻撃は、どこで交わるのでしょうか。
第4章:金銭目的と国家目的はどこで重なるのか
サイバー犯罪を考えるとき、私たちはつい二つに分けたくなります。
犯罪者による金銭目的の攻撃。
国家によるスパイ活動や破壊工作。
しかし、現実はそこまできれいに分かれません。
金銭目的と国家目的は、サイバー空間で重なることがあります。
犯罪者が国家に利用される
まず、犯罪者が国家に利用される場合があります。
国家が直接攻撃すると、責任を問われます。
しかし、犯罪組織やハッカー集団が攻撃したように見えれば、国家は関与を否定しやすくなります。
このように、国家が犯罪者を黙認したり、利用したりしていると疑われるケースがあります。
もちろん、これは非常に慎重に扱う必要があります。
すべての犯罪組織が国家とつながっているわけではありません。
また、国家との関係がどの程度あるのかも、外からはわかりにくい場合があります。
だからこそ、「国家がやった」と簡単には断定できません。
しかし、国家の利益と犯罪者の活動が重なることはあります。
金銭犯罪が国家の資金源になる
次に、金銭犯罪が国家の資金源になる場合があります。
わかりやすいのが、北朝鮮と関連づけられるサイバー犯罪です。
北朝鮮は、国際制裁によって外貨獲得が制限されています。
その中で、暗号資産の窃取や偽装IT労働者を通じた外貨獲得が指摘されています。
一見すると、これは金銭犯罪です。
しかし、その資金が体制維持や核・ミサイル開発に使われる可能性があるなら、単なる犯罪ではなく安全保障問題になります。
ここが重要です。
暗号資産を盗まれた企業や個人の被害が、国際政治とつながる。
サイバー犯罪の怖さは、このつながりにあります。
国家目的の攻撃が犯罪インフラを使う
逆に、国家目的の攻撃が、犯罪者のインフラや手口を使うこともあります。
サイバー空間では、攻撃に必要な道具が市場化されています。
- マルウェア
- アクセス権
- 盗まれた認証情報
- 攻撃インフラ
つまり、攻撃の分業が進んでいるのです。
この分業によって、攻撃者の正体はさらに見えにくくなります。
Attributionが難しい理由
サイバー攻撃では、「誰がやったのか」を特定することを attribution と呼びます。
これが非常に難しい。
なぜなら、攻撃者は痕跡を隠すからです。
- 別の国のサーバーを経由する
- 他の攻撃グループの手口を真似る
- 言語設定を偽装する
- 盗まれたツールを使う
- 踏み台となる端末を使う
- 攻撃時間をずらす
- 偽の痕跡を残す
そのため、攻撃元のIPアドレス(ネット上の住所)だけでは判断できません。
必要なのは、複数の要素です。
- 使われたマルウェア
- 攻撃手順
- 狙われた組織
- 攻撃のタイミング
- 攻撃後の行動
- 過去の類似事例
- インフラの使い方
- 目的との整合性
これらを総合して分析します。
それでも、100%断定できないことがあります。
そのため、この記事では慎重な表現を使います。
「〇〇系とされる」
「〇〇政府と関連づけられる」
「〇〇を目的としていると分析される」
サイバー犯罪は、犯罪と安全保障の境界にある
ここまで見ると、サイバー犯罪がなぜ難しいのかが見えてきます。
サイバー犯罪は、犯罪と安全保障の境界にあります。
警察、軍、企業、個人だけの問題でもありません。
国家、企業、個人、国際機関がすべて関わる問題です。
次の章からは、国ごとの意図を見ていきます。
まずは、ロシア政府と関連づけられる攻撃グループについてです。
ただし、ここでも断定しすぎず、公開レポートでどのように分析されているかをもとに整理していきます。
第5章:ロシア系とされる攻撃|戦争・諜報・犯罪組織との境界
ロシアと関連づけられるサイバー攻撃を考えるとき、重要なのは、軍事・外交・情報戦とのつながりです。
特にロシアによるウクライナ侵攻以降、サイバー攻撃は現実の戦争と切り離せないものになりました。
もちろん、ここで言う「ロシア系」とは、ロシア国民全体を指す言葉ではありません。
また、すべての攻撃についてロシア政府が直接命令したと断定するものでもありません。
見るべきなのは、ロシア政府と関連づけられる脅威アクターが、どのような目的で活動していると分析されているのか、という点です。
ウクライナ戦争とサイバー攻撃
ロシア・ウクライナ戦争では、戦車やミサイルだけでなく、サイバー攻撃も使われてきました。cisaとは
CISA(Cybersecurity and Infrastructure Security Agency:サイバーセキュリティー・インフラセキュリティー庁)は、ロシアの国家支援型サイバー脅威に関する複数のアドバイザリを公開しており、関係機関と連携しながら重要インフラの防御強化を呼びかけています。(CISA)
また、Microsoft Digital Defense Report 2024では、ロシアの脅威アクターによる標的の約75%がウクライナまたはNATO加盟国にあり、ロシアがウクライナ戦争をめぐる西側の政策情報を集めようとしていると分析されています。(Microsoft AI)
これは、サイバー攻撃が単なる技術的な犯罪ではないことを示しています。
戦場で起きていることと、サイバー空間で起きていることがつながっているのです。
諜報としてのサイバー攻撃
ロシア系とされる攻撃では、情報収集の側面も重要です。
- 外交文書
- 軍事情報
- 政策決定の内部情報
- シンクタンクの分析
- 政府関係者のメール
- 防衛産業の情報
こうした情報は、外交や軍事判断に使えます。
- 相手国がどのような制裁を準備しているのか?
- どの国がウクライナ支援に積極的なのか?
- NATO諸国がどこまで関与するつもりなのか?
- 兵器支援の内容は何か?
こうした情報を事前に知ることができれば、外交や軍事行動を有利に進められる可能性があります。
つまり、サイバー攻撃は「盗み」ではありますが、国家にとっては諜報活動でもあります。
ここが、一般的な金銭犯罪とは違うところです。
破壊と混乱
ロシア系とされる攻撃では、破壊的なマルウェアも注目されてきました。
CISAは、ウクライナの組織を標的にした破壊的マルウェアとして、WhisperGateやHermeticWiperなどが使われたとするアドバイザリを公開しています。
これらはコンピューターシステムを破壊する目的で使われたとされています。(CISA)
このような攻撃は、情報を盗むだけではありません。
- システムを壊す
- 復旧を妨げる
- 通信や行政機能を混乱させる
- 戦争時の社会運営を難しくする
つまり、サイバー攻撃が現実世界の混乱を増幅します。
戦争では、相手の軍だけでなく、政府、通信、物流、情報空間も狙われます。
サイバー攻撃は、その一部になっています。
犯罪組織との境界が曖昧になる
ロシア関連で難しいのは、犯罪組織との境界です。
ランサムウェアなどの金銭目的の攻撃を行う犯罪組織が、ロシア語圏と関連づけられることがあります。
ただし、それをすぐに「ロシア政府の攻撃」と言うことはできません。
- 犯罪組織が独自に動いている場合もある
- 国家が黙認していると疑われる場合もある
- 国家の利益に沿う攻撃が見逃されている可能性もある
- 犯罪者が国家系アクターに利用される可能性もある
ここは非常にグレーです。
だからこそ、表現には慎重さが必要です。
「ロシアが攻撃している」と大きく言い切るのではなく、
「ロシア政府と関連づけられる脅威アクター」
「ロシア語圏の犯罪組織」
「ロシアの利益と重なる活動」
のように分けて考える必要があります。
ロシア系攻撃から見える意図
ロシア系とされるサイバー活動から見える意図は、主に次のようなものです。
- 軍事作戦を補助する
- ウクライナやNATO諸国の情報を集める
- 政府や重要インフラを混乱させる
- 西側諸国の政策決定を探る
- 情報戦によって世論を揺さぶる
- 犯罪組織との曖昧な関係を利用する
ここで見えてくるのは、サイバー攻撃が戦争の外側にあるものではないということです。
現代の戦争では、ミサイルや戦車だけでなく、ネットワーク、情報、世論、社会インフラも攻撃対象になります。
ロシア系とされる攻撃は、その現実を強く示しています。
第6章:中国系とされる攻撃|長期的な情報収集と経済・軍事情報
次に、中国系とされるサイバー攻撃です。
ここでも注意が必要です。
「中国系」と言うとき、それは中国国民全体を指しているわけではありません。
また、すべての攻撃について中国政府が直接命令したと断定するものでもありません。
各国政府やセキュリティ企業が、中国政府と関連づけて分析している脅威アクターについて整理する、という立場です。
中国系攻撃の特徴は「長期的な情報収集」
中国系とされるサイバー活動では、長期的な情報収集がよく指摘されます。
短期的にお金を奪うというより、時間をかけて重要な情報を集めると言われています。
Microsoft Digital Defense Report 2024では、ロシア、中国、イラン、北朝鮮の脅威アクターがIT製品やサービスへのアクセスを狙い、サプライチェーン攻撃にも関わったと整理されています。(Microsoft CDN)
また、Microsoftは、国家系脅威アクターが金銭目的で活動したり、サイバー犯罪者や汎用マルウェアを利用して情報収集を行ったりしているとも説明しています。(Microsoft)
このように、国家系攻撃と犯罪的手口は重なります。
しかし、中国系とされる活動では、特に長期的な情報収集や戦略的な情報取得が重要になります。
なぜ情報を集めるのか
では、なぜ中国系とされる攻撃者は、情報収集を重視すると分析されるのでしょうか。
背景には、中国の国家戦略があります。
たとえば、先端技術に関する情報が得られれば、自国の産業政策や軍事技術に活かせる可能性があります。
外交文書や政策情報が得られれば、交渉を有利に進められるかもしれません。
防衛関連情報が得られれば、相手国の能力や弱点を把握できます。
つまり、サイバー空間での情報収集は、経済・軍事・外交のすべてに関わるのです。
知的財産と産業スパイ
中国系とされる攻撃では、知的財産の窃取も大きな論点です。
- 企業が長い時間とお金をかけて開発した技術
- 研究機関が蓄積したデータ
- 製造ノウハウ
- 設計図
- ソースコード
- 特許化前の研究成果
こうした情報は、非常に価値があります。
もし盗まれれば、企業の競争力が失われるかもしれません。
国の産業競争力にも影響します。
特に半導体、通信、AI、防衛技術、バイオ、素材などの分野では、技術情報は国家戦略そのものです。
ここで重要なのは、産業スパイと国家戦略がつながることです。
企業秘密を盗むことは、個別企業の被害に見えます。
しかし、その技術が国の軍事力や経済力に関わるなら、安全保障問題になります。
台湾有事との関係
中国系とされるサイバー活動を考えるとき、台湾有事ともつながります。
台湾有事では、サイバー攻撃や情報戦が大きな役割を持つ可能性があります。
- 本格的な軍事行動の前に、情報を集める
- 通信や社会インフラを混乱させる
- 偽情報で世論を揺さぶる
- 台湾の防衛意思を弱める
- 米国や日本の判断を混乱させる
このように、サイバーは台湾有事の前段階から使われる可能性があります。
これは、台湾だけの問題ではありません。
日本も無関係ではありません。
台湾有事の際、日本の政府機関、メディア、重要インフラ、在日米軍関連、半導体関連企業、日本語SNSが影響を受ける可能性があります。
中国系攻撃から見える意図
中国系とされるサイバー活動から見える意図は、主に次のようなものです。
- 長期的に情報を集める
- 先端技術や知的財産を得る
- 外交・軍事上の判断材料を集める
- 台湾海峡や南シナ海をめぐる危機に備える
- サプライチェーンや重要インフラへのアクセスを確保する
- 影響工作によって相手国社会を揺さぶる
もちろん、すべてを一つの目的で説明することはできません。
攻撃者ごとに目的も手口も違います。
しかし、中国系とされる活動では、短期的な金銭目的よりも、長期的な国家戦略と結びついた情報収集が重要な軸として見えてきます。
ここでも、理解と正当化は違います。
中国が経済・軍事・外交上の情報を重視する理由は理解できます。
しかし、他国の政府機関や企業に侵入し、情報を盗むことは正当化できません。
サイバー空間であっても、情報の窃取は現実の被害を生みます。
中国系とされる攻撃は、サイバー空間が経済戦略と安全保障の最前線になっていることを示しています。
次の章では、北朝鮮と関連づけられるサイバー活動を見ていきます。
北朝鮮の場合は、金銭目的と国家目的が特に強く重なります。
第7章:北朝鮮系とされる攻撃|暗号資産窃取と制裁回避
北朝鮮と関連づけられるサイバー活動で特徴的なのは、金銭目的と国家目的が重なっていることです。
一般的なサイバー犯罪では、攻撃者は自分たちの利益のためにお金を盗みます。
しかし北朝鮮の場合、暗号資産の窃取や偽装IT労働者による外貨獲得が、制裁回避や体制維持、核・ミサイル開発の資金源と結びついている可能性が指摘されています。
ここが、北朝鮮系とされるサイバー活動の重要な点です。
単なる金銭犯罪ではありません。
国家の生存戦略とつながっているのです。
暗号資産を狙う理由
北朝鮮は、国際制裁によって外貨獲得の手段が制限されています。
その中で、暗号資産は狙いやすい対象になります。
FBIは、北朝鮮がDeFiや暗号資産関連企業の従業員を高度なソーシャルエンジニアリングで狙い、マルウェアを展開して暗号資産を盗む活動を行っていると警告しています。(Federal Bureau of Investigation)
これは、ただシステムを破る攻撃ではありません。
人をだます攻撃です。
- 偽の求人
- 偽の投資話
- 偽の面接
- 偽のプロジェクト
- 偽のソフトウェア
相手に「これは本物だ」と思わせて、入口を開かせる。
技術だけでなく、人間の信頼が狙われています。
偽装IT労働者という静かな脅威
北朝鮮系とされる活動では、偽装IT労働者も大きな問題です。
北朝鮮のIT人材が、国籍や身元を偽って海外企業のリモート案件に入り込み、報酬を北朝鮮側へ送ると指摘されています。
FBIは2025年、北朝鮮IT労働者がデータ恐喝にも関わる事例があるとして、企業向けに警告を出しています。(インターネット犯罪苦情センター)
これは派手なミサイル発射とは違います。
企業にとっては深刻です。
- 採用した開発者が、実は身元を偽っている
- 社内システムにアクセスできる
- ソースコードに触れる
- 顧客情報に触れる
- 報酬が制裁回避の資金になる可能性がある
こうなると、採用や委託も安全保障の問題になります。
北朝鮮系攻撃から見える意図
北朝鮮系とされるサイバー活動から見える意図は、かなり明確です。
- 外貨を得る
- 制裁を回避する
- 核・ミサイル開発の資金源を確保する
- 暗号資産業界やIT企業を狙う
- 技術者や企業の信頼を悪用する
北朝鮮にとって、サイバー空間は「もうひとつの外貨獲得ルート」です。
北朝鮮のサイバー活動は、ミサイル問題と別物ではありません。
サイバー犯罪で得た資金が、体制維持や軍事開発に使われる可能性があるなら、それは国際安全保障そのものです。
第8章:イラン系とされる攻撃|地域対立・破壊・影響工作
イラン系とされるサイバー活動では、地域対立、情報収集、破壊、影響工作が重要なキーワードになります。
北朝鮮が「資金獲得」と結びつきやすいのに対し、イラン系とされる活動は、中東の緊張や米国・イスラエルとの対立と結びついて語られることが多いです。
もちろん、ここでも「イラン国民」や「イラン全体」を主語にしてはいけません。
見るべきなのは、イラン政府と関連づけられる、またはイラン系と分析される脅威アクターの活動です。
重要インフラや組織への侵入
イラン系とされる攻撃では、政府機関、重要インフラ、通信、金融、メディア、反体制派などが狙われることがあります。
CISAは、イラン系サイバーアクターについて、ランサムウェア攻撃を可能にする侵入活動を行ったグループに関する共同アドバイザリを公開しています。(CISA)
ここで重要なのは、イラン系とされる活動が、単に情報を盗むだけではないことです。
平時には情報収集。
危機時には妨害や破壊。
サイバー空間では、その境界が曖昧です。
影響工作との結びつき
イラン系とされる活動では、影響工作も重要です。
Microsoftは2024年の米国選挙に関するレポートで、イランによるサイバー対応型の影響工作が活発化していると分析しています。(Microsoft CDN)
これは、システムを壊す攻撃とは違います。
人々の認識を揺さぶる攻撃です。
- 偽情報を流す
- 対立を煽る
- 候補者や政策への印象を操作する
- メディアやSNSを使って社会の分断を広げる
現代のサイバー攻撃では、コンピューターだけでなく、人間の判断も標的になります。
ここは、ロシア・ウクライナ戦争や台湾有事でも見た構造と同じです。
戦争や外交危機では、事実そのものだけでなく、人々が何を信じるかが重要になります。
イラン系攻撃から見える意図
イラン系とされるサイバー活動から見える意図は、主にこのあたりです。
- 米国・イスラエル・湾岸諸国への対抗
- 中東の地域対立における情報収集
- 反体制派や批判勢力の監視
- 重要インフラへの圧力
- 選挙や世論への影響工作
- 危機時に使えるサイバー上の足場作り
つまり、イラン系とされる攻撃は、地域の軍事・外交対立と結びつきやすい。
ミサイルや代理勢力だけではなく、サイバー空間もまた、イランの対外戦略の一部として使われる可能性があります。
ただし、ここでも断定しすぎないことが大切です。
- 攻撃者の特定は難しい
- 国家との関係にも濃淡がある
- 民間企業や政府機関の分析も、確率的な評価であることが多い
イラン系とされるサイバー活動は、中東の緊張がサイバー空間にも広がっていることを示しています。
第9章:日本はなぜ狙われるのか
サイバー攻撃は、遠い国の話ではありません。
日本も狙われます。
理由はシンプルです。
日本には、攻撃者にとって価値のあるものが多いからです。
- 製造業
- 自動車
- 半導体
- 防衛産業
- 宇宙開発
- 研究機関
- 金融
- 医療
- 官公庁
- 重要インフラ
- 暗号資産関連企業
これらは、金銭目的の犯罪者にとっても、国家系とされる攻撃者にとっても魅力的な標的になります。
日本は地政学的にも狙われやすい
日本は、米国の同盟国です。
- 在日米軍基地がある
- 台湾海峡や朝鮮半島にも近い。
- 中国、ロシア、北朝鮮という国家系サイバーアクターが注目される国々に囲まれている
Microsoft Digital Defense Report 2024も、日本について、ロシア・中国・北朝鮮という国家が支援する脅威アクターに囲まれているという見方を示しています。(Microsoft CDN)
これは、日本が単に経済的に豊かな国だから狙われる、という話ではありません。
日本は、東アジアの安全保障構造の中にいます。
- 台湾有事
- 北朝鮮の核・ミサイル
- ロシア・ウクライナ戦争
- 米中対立
- 経済安全保障
これらと日本は無関係ではありません。
だから、サイバー攻撃も「地政学」とつながります。
製造業とサプライチェーンが狙われる
日本企業は、サプライチェーンの中で重要な位置にいます。
- 自動車部品
- 半導体材料
- 製造装置
- 精密機械
- 化学素材
- 医療機器
- 防衛関連技術
こうした分野では、一社が止まるだけで広い影響が出ます。
攻撃者から見ると、大企業本体を直接攻撃するより、取引先や委託先から入る方が簡単な場合があります。
セキュリティが強い大企業ではなく、つながっている中小企業を狙う。
これがサプライチェーン攻撃の怖さです。
攻撃者は、正面玄関から来るとは限りません。
裏口、勝手口、取引先、クラウド、VPN、委託先から入ってくる。
日本企業は、自社だけでなく、つながり全体を守る必要があります。
日本語の情報空間も狙われる
日本が狙われるのは、システムだけではありません。
情報空間も狙われます。
- 台湾有事
- 沖縄の基地問題
- 原発
- ワクチン
- 移民
- 選挙
- 災害
- 対中・対韓・対米感情
こうしたテーマは、社会の感情を揺さぶりやすく、実際にSNSで目にすることもあるでしょう。
偽情報や切り抜き、なりすましアカウントによって、社会の分断が広げられる可能性があります。
サイバー攻撃というと、ついサーバーやネットワークを想像します。
しかし現代では、人間の認識も攻撃対象です。
- 何を信じるか?
- 誰を疑うか?
- どの情報を拡散するか?
そこも、守るべき領域になっています。
第10章:個人と企業はどう守るべきか
サイバー犯罪と国家の話をすると、話が大きくなりすぎます。
- ロシア
- 中国
- 北朝鮮
- イラン
- 国家系アクター
- ランサムウェア
- サプライチェーン攻撃
そう聞くと、個人には何もできないように感じるかもしれません。
しかし、そうではありません。
攻撃の入口は、意外と基本的なところにあります。
警察庁も、ランサムウェアなどの被害防止のため、VPN機器等の脆弱性対策や認証情報の適切な管理を呼びかけています。(警察庁)
まず守るべきは「入口」
多くの攻撃は、入口から始まります。
- 盗まれたIDとパスワード
- 使い回されたパスワード
- 更新されていないVPN機器
- 脆弱なサーバー
- 偽メールの添付ファイル
- 不審なリンク
- 設定ミスのクラウド権限を持ちすぎたアカウント。
ここを塞ぐだけで、かなり変わります。
個人なら、
- パスワードを使い回さない
- 二要素認証を使う
- OSやアプリを更新する
- 怪しいメールやSMSを開かない
- 重要なアカウントは特に強く守る
- バックアップを取る
企業なら、
- VPNや公開サーバーを更新する
- 多要素認証を導入する
- 権限を最小限にする
- ログを監視する
- バックアップをオフラインでも持つ
- 委託先や取引先のリスクも見る
- インシデント対応手順を準備する。
地味ですが、地味な基本が本当に効きます。
「自分だけの被害」で終わらない
サイバーセキュリティで大事なのは、被害が自分だけで終わらないことです。
自分のアカウントが乗っ取られる
▼
そこから会社に侵入される
▼
取引先へ偽メールが送られる
▼
顧客情報が漏れる
▼
ランサム攻撃の入口になる
▼
盗まれた資金が犯罪組織や国家系活動に流れる
つまり、個人の小さな油断が、社会の大きな被害につながることがあります。
これは怖がらせたいわけではありません。
ただ、サイバー空間ではみんながつながっているということです。
自分を守ることは、周りを守ることでもあります。
完璧ではなく、壊れにくくする
サイバー攻撃を完全に防ぐことは難しいです。
どれだけ対策しても、ゼロリスクにはできません。
だから大事なのは、完璧を目指すことではありません。
侵入されにくくする
▼
侵入されても早く気づく
▼
被害を広げない
▼
復旧できる
▼
同じ失敗を繰り返さない
この考え方が重要です。
サイバーセキュリティは、壁を高くするだけではありません。
- 壊れにくくする
- 壊れても戻れるようにする。
そういう備えです。
まとめ:サイバー犯罪を理解することは、現代の国際情勢を理解することでもある
サイバー犯罪は、単なる「ネット上の悪さ」ではありません。
- 個人をだますフィッシング
- 企業を止めるランサム攻撃
- 取引先から侵入するサプライチェーン攻撃
- 脆弱性を突く攻撃
- 暗号資産を盗む攻撃
- 国家機密や企業秘密を狙うスパイ活動
- 世論を揺さぶる情報工作。
これらは、同じサイバー空間で起きています。
IPA「情報セキュリティ10大脅威 2026」でも、ランサム攻撃、サプライチェーン攻撃、AIリスク、脆弱性悪用が上位に並んでいます。これは、サイバー犯罪が企業活動や社会全体に深く入り込んでいることを示しています。(IPA)
攻撃者の目的は、大きく分けると4つです。
- 金
- 情報
- 破壊
- 影響力
金銭目的の犯罪者は、お金を狙います。
国家系とされる攻撃者は、情報、軍事、外交、世論、制裁回避を狙います。
そして現実には、その境界が重なることがあります。
北朝鮮と関連づけられる暗号資産窃取は、金銭犯罪であると同時に、制裁回避や核・ミサイル開発資金と結びつく可能性があります。
ロシア政府と関連づけられる攻撃は、ウクライナ戦争やNATO諸国への情報収集、破壊、情報戦とつながります。
中国系とされる攻撃は、長期的な情報収集、技術、経済、軍事情報の獲得と結びついて語られます。
イラン系とされる攻撃は、中東の地域対立、影響工作、重要インフラへの圧力と関係します。
もちろん、攻撃者の特定は簡単ではありません。
国家名を雑に主語にしてはいけません。
攻撃者は偽装し、踏み台を使い、他のグループの手口を真似ることもあります。
だからこそ、断定ではなく、公開レポートに基づいて慎重に見る必要があります。
しかし、慎重であることは、脅威を軽く見ることではありません。
そして日本も、その中にいます。
製造業、半導体、防衛産業、官公庁、重要インフラ、金融、医療、暗号資産、情報空間。
狙われる理由は十分にあります。
だから必要なのは、恐怖ではありません。
理解と備えです。
- パスワードを使い回さない
- 二要素認証を使う
- 更新する
- バックアップを取る
- 委託先も含めて守る
- ログを見る
- 偽情報をすぐ拡散しない
- 攻撃される前提で復旧策を持つ
どれも地味ですが、サイバー空間では、その地味な備えが社会を守ります。
サイバー犯罪を理解することは、技術を理解することだけではありません。
- 金の流れを見ること
- 情報の価値を見ること
- 国家の意図を見ること
- 社会の弱点を見ること
- そして、自分たちの生活がどれほどネットワークに依存しているかを見ること
サイバー犯罪は、現代の国際情勢そのものにつながっています。
だからこそ、知ることには意味があります。
この記事を読んで少しでもサイバーセキュティに興味を持っていただけたら幸いです。
ここまでお読みいただきありがとうございました。
サイバーセキュリティの基本から整理したい場合は、【まとめ】サイバーセキュリティ基礎講座まとめ|攻撃の仕組みと防御の基本を体系的に学ぶもあわせてご覧ください。
フィッシング、マルウェア、ランサムウェア、パスワード、多要素認証、ゼロトラスト、VPN、DDoS、情報漏洩、サプライチェーン、重要インフラ、国家安全保障まで、攻撃の仕組みと防御の基本を体系的に整理しています。
Veritas Labでは、国際情勢・歴史・科学・心理学・サイバーセキュリティを横断しながら、複雑な世界の構造を読み解いています。
このブログの考え方や、初めての方におすすめの記事は「Veritas Labの歩き方」にまとめています。
もしご興味あればお読みいただけると嬉しいです。
もっと深く学びたい方へ
サイバーセキュリティについて
※一部リンクにはアフィリエイトを利用しています。
あなたの負担が増えることはありません。
いただいた収益は、ブログ運営や書籍購入などの学習費に充てています。
- 左門至峰『マンガ+図解で基礎がよくわかる 情報セキュリティの教科書』
セキュリティの基本的な用語や仕組みをマンガや図解でわかりやすく学びたい方へ
- 小宮山 功一朗, 小泉 悠『サイバースペースの地政学』
この記事では扱っていない海底ケーブルの覇権などについて触れています
主な参考資料・出典
- IPA「情報セキュリティ10大脅威 2025 https://www.ipa.go.jp/security/10threats/10threats2025.html
- Microsoft Digital Defense Report 2025
https://cdn-dynmedia-1.microsoft.com/is/content/microsoftcorp/microsoft/msc/documents/presentations/CSR/ - CrowdStrike Global Threat Report 2025
https://www.crowdstrike.com/ja-jp/resources/reports/global-threat-report-executive-summary-2025/ - Chainalysis 2025/2026 Crypto Crime Report
https://go.chainalysis.com/2025-Crypto-Crime-Report.html
https://www.chainalysis.com/reports/crypto-crime-2026/ - Verizon 2025 Data Breach Investigations Report (DBIR)
https://www.verizon.com/business/resources/reports/
