Day1は、サイドイベントに出たあとは、中世風の料理を食べて、そのまま休みました。現地チームは、カラオケをエンジョイしたそうです。

さて､Day2です。

1 Red Teaming in the Age of Hybrid Warfare: Simulating and Defending Against State

Rense Buijenさんのﾌﾟﾚｾﾞﾝです。ビデオは、これです。

レッドチームの源ですが、「Red」は、軍事演習において、敵対力を意味しています。冷戦においてNATOや米国国防省が、ソビエトの戦略とドクトリンをシミュレートするのに利用しました。

現代の紛争において、曖昧になっています(blurring)。Red Teamは、この新しい環境を反映するように進化しないといけません。

国家支援のサイバー作戦としては

• Fancy Bear
• APT41
• Lazarus Group

があります。それらの目的は、

• エスピオナージ
• 破壊
• 栄強攻策
• 戦略的利点

になります。

脅威をみるとき、ハイブリッド脅威といえ、インンパクトと否定可能性を増加するために伝統的な諜報とサイバー活動をブレンドしている。ハイブリッドキャンーンは、サイバー、物理、情報ドメインをわたって行われます。HUMINTは、最初のアクセスであり、OSINTも偵察に利用される。物理的侵入がサイバーの支援に使われるし、情報工作も利用されます。

伝統的なRed Teamのスコープ

• サイバー犯罪の脅威を再現に集中
• 脅威リサーチおよびインシデント対応手続きからツール，技術，手続きを採用し、Red Teamのプレイブックに移転
• 技術的脆弱性の暴露、EDR・セクデンメト化、・にんしょゔなどのセキュリティ対応策の有効化、攻撃的技術に対するリアルタイムでの対応においてブルーチームの訓練

粘り強い(tenacity)ギャップ

• 技術的悪用に対する過度の集中(キャッペーンレベルの現実を見過ごす)
• 運営コンテキストの欠如
• 不十分な執拗さ
• 依頼者の購入活動の戦略性

ハイブリッド脅威の風景

• ハイブリッド脅威は、デジタルのみではない
• OSINTとHUMINTを統合して現実的であるようにしている
• 現実社会のインテリジェンスに基づいてモデル攻撃ベクターであって技術的脆弱性ではない
• ソーシャルエンジニアリングを内部文化、ワークフロー、行動規範に対する頭骨を利用して、模倣する
• 物理的なセキュリティ違反をチームのフルスペクトラムの侵入への作戦とする

粘り強さとと執拗さを増す

• 長期のアクセスゴールをエミュレートする
• 的の執拗さを移すように進化したＣ２インフラを利用する
• キャンペーンレベルの考察を優先かする
• ブルーチームを訓練し継続的な・潜行型の侵入のきっかけを認識できるようにする

提案される価値

• 現実的なRedTeamによって明らかにされるﾐｽ、軽微なｷﾞｬｯﾌﾟ
• 国家支援、キャンペーンレベルの脅威に対する評価
• 実際のAPTで使われる低度・ゆっくりとした攻撃ﾃｸﾆｯｸを手さぐりして探知と対応を拡張する
• 国家･NATOのﾚﾍﾞﾙのミッションとサイバー防衛を揃えるのを手伝う
• 国際組織や外部サプライヤーの一番弱いリンクを理解する

２ Toy Soldiers: behind the curtain of the coerced threat actors by Fortinet

Aamir Lakhaniさん(FortiGuard Lab)による講演です。ビデオは、公開されていないようです。(秘密の話も入っていました)

インターネットは、嘘をつく、などの話から､Black Cat Case Intrusion(2023年5月))話になりました。

乱用されたクレデンシャルについては、クレデンシャルハーベスティングとイニシャル・アクセス・ブローカーが、この大きなトレンドだそうです。ランサムウエアの紹介と、そのサポートとの会話の紹介がされました。

また，10代のハッカーのプロファイルもされました。(ここから秘密)

これらの行動の動機は、金銭目的が73パーセント、諜報が､13バーセントとなっています。

積極的な変更としては、倫理的ハッキングを推奨すること、結果を教育すること、キャリーパスを共有すること、が推奨されました。

3 Fancy Bear Caged: The Surprising Dynamics of Cyber Operations in Russia’s Hybrid War in Ukraine

Ryan Maness准教授の講演です(ビデオはこちら) もともとは、米国国防省の肩書だったのが個人の肩書に変更になったようです。

Modern Hybrid Warfare: Russia versus the Westという本(リンク)を共著で準備していて、その本に基づいてお話をするということです。特にその4章が、このテーマです。

導入

戦前の予測においては、「ショックと恐怖」と「雷」となって、ウクライナの防衛システムをマヒさせるだろうと予測されていた。これらの予測は間違っていて、サイバー戦争は、しかしながら、具現化しなかった。実際の現実においはて、サイバー作戦は、戦争を劇的には変えなかった。ウクライナの能力をについて深刻な影響を与えたという証拠は限られている。

調査の対象

Dyadic Cyber Incident  and campaign(DCID) のデータセット、ウクライナ国家特別通信および情報防護サービス(SSSCIP)報告書，マイクロソフト脅威インテリジェンス報告書による。サイバー攻撃の増加にかかわらず、列度は、減少しており、戦略的なインパクトは、低いのままである。

仮説

1. 戦争前に比較して、サイバー作戦のレートと烈度は、増したのではないか
2. 紛争の前、中において、ロシアは、破壊的活動と諜報活動をリスク計算のバランスを変更しらうとしているのではないか
3. 戦争前と比較して、軍事ターゲット主たる標的になるのはないか。
4. マルチドメイン作戦は、ロシアの軍事力サイバー力の調和を増大させているのではないか
5. 情報工作が、増加しているのではないか

手法

インシデントをタイプ(破壊、諜報、デグレード)、標的(民間、政府-非軍事、軍事)，烈度、、情報工作・マルチドメインの存在によってコード付け。

範囲の限界として、国家、・代理行動に焦点を合わせて、犯罪者・ハクティビストのサイバー攻撃には、注目しない、

結果

• 2022年においては、 低レベルの烈度の破壊攻撃が増加している。標的においては、民間標的が多く、政府関係への攻撃が増加するということはない。
• 従来のキャンペーンと協調したのは、54中6のみであった(サイバー作戦を現代戦闘に統合するのは、困難である)
• サイバーによる情報交錯は、増加が見られなかった

戦闘時におけるサイバー作戦

ロシアの実績

• クリミア(2014)・シリア(2015)においても有効なサイバーの利用はない
• 重要インフラに対するサイバー攻撃は、短期のインパクトを有する
• (NATOの支援を受けた)防御努力は、ロシアの攻撃的サイバー能力を削いでいる

ウクライナの準備

• ウクライナは、NATOv民間企業(Google、マイクロソフト)と協同した
• 防御的準備は、ロシアのサイバーでの有効性を減少させている

示唆

• サイバー作戦は、環境構築および情報収集に関するものであって、直接の強制や戦場での成功に関するものはすくない
• サイバー技術は、伝統的な武力を代替するものではなく、それとの協力も限られている
• ウクライナにおけるサイバー作戦気インパクトが限られていることによって、サイバー紛争に関する将来の期待も変更されるのか？

結論

• 紛争時において、サイバー烈度は、減少した
• 破壊は、増加して、情報活動は、減少した
• 民間を標的とすることが多い/予測に反している
• サイバーとキネティックの協力は、最低限である
• サイバーによる情報工作は、確実でありる
• 非サイバーによる情報工作が支払い的てある
• 停戦は、より烈してサイバー作戦に回帰するかもしれない

特定の条件？

• プーチンやインナーサークルしか、知らなかった
• 軍事的プランナーとサイバー攻撃がまだ、暗闇におり、協調が困難ではないか
• プーチンは、3日でキエフが陥落すると思っていた
• ウクライナのサイバー能力を無視していた
• 伝統的な影響工作は、きわめて増加している
• 次のステップは、？

4 理論から実務に-サイバースペースにおける国際法の国家の立場の発展

“From Theory to Practice Developing a National Position on International Law in Cyberspace”です。ビデオは、こちら(リンク) これは、CCDCoEのハンドブック「サイバースペースにおける国際法の国家の立場の発展」(リンクは、こちら)の紹介のパネルということになるかと思います。スポンサーには、日本の外務省の名前もあがっています。

4.1 Kubo Macek 先生

このハンドブックの背景、構造、目的、主たる成果について

背景

• 資金的支援があったこと
• アカデミックのみではなく、3領域(ラテンアメリカ、アジア太平洋、アフリカ諸国)のラウンドテーブルが開催された。46国から参加された。

成果(Takeaway)

• ベストプラクティスのカタログ、実体的な法的問題、
• 33国はすでに国家的立場を明らかにしている。国家立場を検討中の国もある(外務省、防衛省、情報機関の協力の成果である)。興味はあるが、具体的に動いていない国(懐疑的な国もある)。

構成

1. 動機
2. 次のステップ/どのようにするか
3. 実体(Substance)
4. 世界への提示

4.2 Agnes Kasper 先生

「注意深く提供されたサイバーにおける行動に関する国家の立場の宣明」ということができ、広範囲に渡るわたるもの。この宣明は、公表されているものであり、国家機関の問題であり、サイバー行動における書類化された公共のものです。

法的な重要性(legal significance)を有するものです。 条約の解釈に役立つものであり、明確にするものです。また、また、宣誓書は、特定のルール、主権、内政干渉、武力行使、国家責任などに触れています。法的なバランス・機能を越えて、より広い機能(意思の伝達機能、法の生成機能、抑止機能など)があります。

4.3 Mohamed Helal 先生

アフリカ連合の共通の立場をまとめていますが(リンク)、これは、法的な意味とポリシーの意味があります。プロセスは、もともとは、法的な立場からはじまったのです、国際法をまとめる立場は、サイバースペースにおける国際法からはじまって一般的な立場(主権、国家責任、武力の行使、内政干渉の禁止など)を明らかにすることになったのです。

これらは、国際法を再記載する作業であり、アフリカ連合の安全保障委員会に該当するところで議論しました。2023年3月末には、アフリカ連合は、大規模なサイバー攻撃の対象となりました。その結果、国会CERTを充実させることになりました。それで、自分たちの立場は、ということになりました。予防的・抑止的立場ということになります。

4.4 中村和彦 先生

中村和彦博士は、「越境サイバー侵害行動と国際法 ― 国家実行から読み解く規律 」を書いています(リンク)。日本は、2021年5月に国家的な立場を明らかにしていて、初期の国家のひとつだったのですが、その経験からして、以下の点を指摘しています。

1. 種々の利害関係者からのインプットによるものであること(2019年ころからの作成活動であり、タリンマニュアルなどの業績も関与してきている。公表後も非公式な接触も行われている)
2. 実体の章にも関係するが、きわめて簡潔であり、国際人権法や国際刑事法には触れていない。優先順位の観点から、主たる点について触れているのみである。
3. 組織間の議論によっており、国家ポリシーに反映している。能動的サイバー防御に関する法に反映している

4.5 Rene Vark 先生

エストニアの国家立場については、詳細なものがある(リンク 国連のページ)ので、それについては、以下の点が指摘されています。

1. 2019年のCyCon の場で大統領から、集団的対抗措置の考え方が公表されたこと
2. スピーチは、たくさんの論点を含んでいたこと
3. アップデート・拡張する機会だろうと考えていること(国際人権法・国際人道法など)
4. 単独の文書がもっとも一般的な形式だろうと考えること
5. より、知識と経験を積み重ねていること

5 ヨーロッパのデジタル防衛を強化する”Strengthening Europe’s Digital Defense”

Damon Becknel (MS)の講演です。ビデオはありません。

国家脅威

具体的な国家脅威としては

1. Midnight Blizzard (Russia)
2. Secret Blizzard (Russia)
3. Seashell Blizzard (Russia)
4. Mint Sandstorm (Iran)
5. Twill Typhoon (China)
6. Linen Typhoon (China)
7. Storm-2372 (Russia)
8. Storm-0287 (North Korea)

があげられています。標的としては、ウクライナ、英国、ポーランド、ドイツ、フランスなどです。

対抗策

MSとしては、政府がサイバースペースにおける責任ある行動を執行する役割を政府に果たしてもらいたいと考えています。具体的には、

1. 国際的規範および外交の強化(新規規範の生成、マルチステークホルダーの抱え込み、二国間協定の発展)
2. 悪意ある行動にたいしての政府の特定行為を鋭くすること(帰属におとける統一性の確保、公的帰属認定における文脈化、他の政府との協力)
3. 抑止結果を付加(拡張された対抗措置、適法な集団的対抗措置、レッドラインの明確化)

AI による脅威

1. システム脅威(システム侵入、インフラ侵入)
2. エコステム脅威(コンテンツ生成、悪辣な知識取得、脅威の増大、社会的攻撃)

ロシア(2024年6月-イーロンマスクの音声の生成) Storm 1679の例など

AI時代におけるリスクの中和

1. Forest Blizzard (Russia)->改正通信プロトコルの調査
2. Emerald Sleet (North Korea)->sジア太平洋の防衛問題の専門家の特定
3. Crimson Sandstorm (Iran)->探知を免れるマルウエアの調査
4. Charcoal Typhoon (China)->vヘッシング利用に応じたコンテンツの生成

MSは、脅威に先んじるポリシー

• 特定および行動
• 他のプロバイダーに対する通知
• 他の利害関係者との協力
• 透明性

サイバー防衛のためにAIを利用する

• 隠れた攻撃をAIで探知する
• AI によるエンドポイント探知の対応をあわせて攻撃を破壊する
• サイバーセキュリティにわたってAIを拡張する

ケーススタディ Octo Tempest

Octo Tempest というのは、金銭的な動機によるサイバー犯罪者グループ。戦略・技術および手順については略します。

対応のガイダンスとしては、対応は、迅速であること、そして、特権昇格を防止すること、具体的には、

• 多要素認証としてのSMSやパスワードリセット方式を取り除くこと
• 管理者グループ、役割、特権を精査すること
• 高度の特権アカウントでみずからパスワードをリセットするきことを取り除くこと
• 管理者がパスワードを変更するのに追加のレイヤーを開発すること

があげられています。また、セキュリティ製品の変化をチェックすること、テナントの存在する/新しいカスタムドメインやフェデレーションをレビューすること、侵害されたインフラと連携する運用のセキュリティを意識すること、があげられています。

ケーススタディ Lummer Stealer

Malware as a Serice としてのLummaがあります。ちなみにLumma Steralerについては、こちら。 マイクロソフトが、それに対するテイクダウンに貢献した報告についてはこちらです。

ケーススタディ CovertNetwork-1658

Microsoftは、2024年10月31日に発表したブログ記事で、中国の脅威アクター「Storm-0940」が、ボットネット「CovertNetwork-1658」を利用して顧客を標的とするパスワードスプレー攻撃を実行していると警告しました(リンク)。日本語の紹介記事は、こちら。

マイクロソフトのデジタルヨーロッパへのコミットメント

• ヨーロッパにわたるAIのクラウドのエコシステム
• ヨーロッパのデジタルレジリエンスの支持
• ヨーロッパのデータの保護の維持
• ヨーロッパのサイバーセキュリティの保護と防衛
• ヨーロッパの経済的競争力を強化の支援

6 サイバースペースから宇宙への国家責任と法的チャレンジ(State responsibility and legal challenges from Cyberspace to Outer Space)

ビデオのリンクは、こちらです。

6.1. P.J.Blout

対衛星ミサイルは、1980年代にテストがなされていたが、そのあと、停止されて、次には、2007年の中国が実験しました。アメリカも実験をして、また、インド、ロシアも実験をしています。軌道の上に、デブリが広がっていて、問題になっています。適法性についてのグレイエリアが広がっています。

宇宙システム自体を攻撃の対象にしなくても、地上のシステム攻撃の対象にすることができます。スペースのシステムは、他のシステムに連携しているのです。リスクと機会との関係です。スターリンクを考えてみると、通信システムであってインターネットを個人に利用させるためのもので、膨大な機会になります。衛星につなぐわけですが、敵国が、それをハックして、バックドアツールを仕込むこというリスクもあります。この場合に、法は、どのように関係するのでしょう。

6.2 Anna Blechova “The Next Step in global connectivity: Legal Challenges in the Shift from Subsea cable to satellite”

重要インフラがリスクに面していること、深海ケーブルが重要であること(トラフィックの95％)、重要な国としては、アイスランド、キプロス、アイルランドがあること、近時は、幾つかのインシデントが発生していること(台湾2023、紅海2024、エジプト2022、バルト海2023-24)。深海ケーブルの代替としては、衛星ネットワーク、防護の強化、ハイブリッドシステムがあります。

深海ケーブルの法的枠組としては、深海ケーブル防護条約(海底電信線保護万国連合条約 1884)、国連海洋法条約(UNCLOS)(リンク)、その他の協定があります。海洋法の法的範囲としては、領海、排他的経済水域、公海にわけられます。

現在の枠組の限界としては、

• サイバーセキュリティのギャップ
• 執行の問題
• 歴史的無視

があげられました。深海のインフラの国家責任については、「国際的違法行為についての国家責任条文」があり、その適用については、種々の問題があります。

宇宙法の枠組としては、宇宙条約(1967)、登録条約(1975)、責任条約(1972)があります。これらについては、民間企業が当事者となってきていること、条約は固定化されていること、新たな脅威が出現していること、が課題となっています。特に、一般的な国家責任条文に比較して、宇宙条約6条は、国家に責任を集中させており、責任の負担において閾値が低いとしています。宇宙活動の国家帰属の課題としては、より閾値が低いこと、国家のコントロールについて「全般的なコントロール」なのか「効果的なコントロール」なのか、商業的活動にいても国家責任が発生することになることが指摘されました。

深海も宇宙においても、規制のギャップというのがあり、アプローチが進化しつつあるとされています。条約の現代化ハイブリップ的な解決の支援によって解決がもたらされるだろうとしています。

6.3 Giulia Pavesi “NATO at a Crossroad Between Space and Cyber Threats”

論文集の7ページからの同盟の論文が掲載されており、同論文は、NATO 5条の潜在的な適用について検討しているとのことです。

Attack Surface

低軌道においては、12500ペイロード、中軌道(MEO) および静止軌道(GEO)においては、500ペイロード

サイバーおよび宇宙ドメインにおけるNATOのスタンス

この観点から宇宙ドメインにつくいて見ていくと

• ブリュセルサミットでの戦略的重要性の認識(2018)
• 第5の作戦領域としての認識(2019)
• NATO同盟航空指令におけるNATOスペースセンター設立(2020)
• 宇宙ドメインにおける5条の適用の認識(2021)
• NATOの宇宙ポリシー(2022)(リンク 更新は、2025/6/24)
• NATO宇宙CoE設立(2023)(リンク)

サイバー脅威からスペースシステム -多レイヤー対応

宇宙ドメインとサイバーの関係は、複雑である-構成国家の宇宙システムを標的とするサイバー脅威にどのように対応するか-ことから、以下のたレイヤー対応が提案されている。

• 法的(規範や対応の閾値の定義)
• 政治的(同盟単位および戦略的曖昧さのナビゲート)
• 運営的(統合防衛のための断片化された領域の橋渡し)

法的レイヤー

• 法的枠組(国連憲章)
• 武力攻撃の禁止(Prohibition of Use of Force)
• 「武力攻撃」(Armed Attack)の定義->Nicaragua判決 -“重大な(grave)” or “より重大ではない(less grave) “

政治的レイヤー

• NATOのアプローチ(第5条の適用は、ケースバイケース、戦略的曖昧さ)
• 曖昧さのリスク(同盟内における一貫しない対応の可能性、弱い対応は、NATOの信用性を危機に陥れる)
• 政治的ナラティブおよび適法性(攻撃の証拠の連絡および協調、比例制および法の支払いのコミットメント、他の国際的アクターの支援)

運営的レイヤー

• 断片化された指令構造
• 技術および能力のギャップ
• 統一された標準の欠如
• サイロ化された作戦

ポリシーの断片化

• 宇宙-サイバーの関連分野に言及する80の異なる政策戦略
• 種々のアプローチ
• NATOポリシーの断片化
• 統制津された効果的な同盟戦略の発展を隠してしまう

ケーススタディ(伝統的なサイバー攻撃)

• コロニアルパイプライン
• Viasat Hack
• アルバニアへのサイバーキャンペーン

7 サイバーにおける集団的対抗措置は、違法なサイバー作戦に対する国際法の対応を強化するのか” Do Collective Countermeasures in Cyber Strengthen Int. Law’s Response to Unlawful Cyber Operations?”

ビデオは、これです。2019年のCyConで手段的対抗措置が、提唱されたのは、私のブログでもリアルタイム(Cycon express-presidential speech(29/5/2019)(日本語訳 その1))でお伝えしたところですが、それから6年たって、集団的対抗措置は、国際法の大きな論点のひとつになっています。

7.1 Gwendolyn Lee Strasberg 　”自分を警戒せよ－集団的対抗措置を発展させるための「不本意な(unwilling)、または、不可能な(unable)」類似”

経緯

• 2019年CyCon（伝統的な「領域」がサイバーでは、存在しない、サイバー隣人である、技術が法よりも変化が早い）
• （武力行使の閾値以下）集団的自衛権の概念に対応する集団的対抗措置

法的枠組

• 中立法から相当な注意に（中立性違反を防止する義務）
• 「中立を執行するのが、いやいや／できない場合において、相当な注意義務に違反する」
• 侵略行為禁止の普遍的（erga omnes）禁止があり、自分の領域からの脅威に対応するべき相当な注意義務がある
• 領域国家が、その義務に違反するときは、第三国が介入することができ、48条（１）に基づいて集団的対抗措置をとりうる

四要素テスト

• 被害国の同意および協力（重要－＞ニカラグア事件との違い）
• 第三国の介入のための必要性　（広範な考察、特定の考慮（技術的リスク）・脅威の性質）
• 集団的対抗措置の望ましい目的
• 対抗措置の法への適合（発生した行為に対する対応、責任有る当事者を標的、比例措置、武力攻撃の閾値以下、回復可能性）

集団的対抗措置の望ましい目的

対抗措置は、国際法の義務への適合を誘うものであ必要がある

• サイバー活動が帰属しうる場合－＞被害国が対抗できない場合－＞責任ある国家に対して悪意有る行為を停止するように集団的対抗措置を開始する）
• サイバー活動が帰属し得ない場合－＞領域国家が対応を渋る場合（unwilling）－＞相当な注意義務を遵守するように領域国家に対して集団的対抗措置を開始する
• 同－＞領域国家ができない（unable）場合－＞悪意有る活動を停止するように非国家主体に対して集団的対抗措置を開始する

7.2　Laurii Kriisa　　”Collective countermeasures-what are the options?”

状況（ｼﾅﾘｵ）

• Ａ国は、悪意あるサイバーキャンペーンの標識とされていて、進行中の議会選挙が標的とされた
• A国 の将来の再定義しようというB国の試みであった。
• C国は、国際法と安全保障のために何を選択肢としうるか。

選択肢

• 個別の対抗措置
• 支援
• 報復(retorsion)(国が裁量によってとる国際法上合法であるが非友好的な措置)
• 制限(Restraint)(外向的な対応など)
• 自衛権の行使(Self-defense )

法的に実行可能な選択肢だとして、正しい選択肢なのか？

• 帰属の決定において十分な速度で関連性を認定できるか
• エスカレーションの観点
• ポリシ・戦略との関連

7.3 Steven Hill

国際組織(IO)と集団的対抗措置についての議論です。2020年から25年までの議論としては、集団的な属性の決定が注目されること、連帯の重要であること、2020年からEUのサイバー外交ツールボックスが活用されていること、が指摘されました。 もっとも、実務的に例をみないのは、その秘密性、構成国のそれぞれの事情があること、政治的な事情があること、などがあるとされました。 IO自体は、それ自体としての能力を有しないこと、が話されました。

8 オフタイム

CyCon dinnerは、Fotografiskaという素敵な写真ミュージアム。お天気もいいし、最高でした。

そのあと、恒例のカラオケ。今年の会場は、Shamrock。オールドタウンにはいるところの道からすぐです。

でもって、熱唱した姿は、こちら。

「カーマは、気まぐれ」と「Fame」は、世界共通の言葉です。