サイバーが照準を作り、火力が落ちる——Amazon CSOの警鐘と「連動型キネティック攻撃」の現実

今日の深掘りポイント

• 国家支援グループは、侵入・窃取ではなく「標的選定（targeting）」のために企業ネットワークへ触手を伸ばしている可能性が高まっている、という指摘です。
• ロシアのウクライナ侵攻前後の衛星通信妨害や、イラン関係グループのOT機器侵害など、サイバー活動と物理的影響の接続を示す公的・一次情報が積み上がっています。
• 「自社は軍事標的ではない」という前提が崩れ、サプライチェーン内の“標的情報（図面・位置・運用計画・連絡網）”を持つだけで、攻撃誘因になり得ます。
• 日本のCISO・SOCは、IT/OTの分離と可視化に加え、「標的情報」の棚卸し・封じ込めを優先課題に再設計すべき局面です。
• 本件は信頼性と即応性が高いシグナルと読みます。対応は「重要インフラのみ」ではなく、製造・物流・通信・建設・クラウド活用部門まで横断で必要です。

はじめに

AmazonのCSOであるSteve Schmidtが、国家がサイバー作戦を活用して物理攻撃の標的選定と効果増大を図っていると発言した、と報じられています。特にイランやロシアを念頭に、サイバーの偵察・侵入で得た情報が、ミサイル等の実攻撃に結びつく「サイバー連動型キネティック攻撃」が常態化しつつあるという文脈です。報道の一次ソースはThe Registerで、Schmidtの発言趣旨が整理されています［出典: The Register］(https://www.theregister.com/2025/11/19/amazon_cso_warfare_cyber_kinetic/)。

このテーマは、ウクライナ戦争で露呈したサイバーと火力の「同期」、およびイラン関係アクターのOT機器侵害の事実と重なります。総合的にみて現実味と信頼性は高く、日本企業も「標的情報」を持つだけで巻き込まれるリスクを再評価する必要がある段階です。

深掘り詳細

事実整理（一次情報に基づくエビデンス）

• 2022年2月のロシアによるウクライナ侵攻前後、ViasatのKA-SAT衛星通信網が破壊的攻撃を受け、ウクライナおよびEU域内で通信に重大な支障が発生しました。EUは公式声明でロシアを名指しで非難し、当該攻撃が侵攻の一環だったと位置づけています［EU理事会声明］(https://www.consilium.europa.eu/en/press/press-releases/2022/05/10/statement-by-the-high-representative-on-behalf-of-the-european-union-on-the-malicious-cyber-activity-against-the-ka-sat-network/)。Viasat自身も詳細な技術概説を公表し、欧州各地で数万規模の端末に影響があった旨を説明しています［Viasat incident overview］(https://news.viasat.com/blog/corporate/ka-sat-network-cyber-attack-overview)。
• 米CISA・FBI・NSAなどは、イラン革命防衛隊（IRGC）関係者とされるグループが水道事業体を含む各種セクタでUnitronics製PLCの脆弱設定（デフォルト資格情報など）を悪用したとする共同勧告を出しています。これにより実プロセスに影響を与え得る位置にまで侵入が成立していた事実が公的に確認されています［CISA AA23-321A］(https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-321a)。
• Microsoftは、ロシアの対ウクライナ作戦で、破壊的マルウェアや侵入活動がミサイル攻撃などの物理作戦と同期間・同地域で高い相関を持って発生していることをデータで示しています。これにより「サイバーが単独で完結する」のではなく、軍事作戦の前・最中・直後に同期する傾向が確認されています［Microsoft Special Report, 2022］(https://www.microsoft.com/en-us/security/blog/2022/06/22/defending-ukraine-early-lessons-from-the-cyber-war/)。
• Mandiantは、IRGCと関連付けられるAPT42が人物・組織への持続的スパイ活動を展開し、監視・所在特定・関係者ネットワークの把握といった「標的情報」収集に注力していることを報告しています。これは必ずしもミサイル着弾に直結する証拠ではありませんが、物理的拘束やハラスメントなど現実世界の行為に接続された事例が示されています［Mandiant APT42］(https://www.mandiant.com/resources/blog/apt42-irans-cyber-espionage)。
• 上記を背景に、Amazon CSOの発言として、敵対国がサイバーを通じてターゲットを見定め、物理攻撃に結びつける実態があるとの警鐘が報じられています［The Register］(https://www.theregister.com/2025/11/19/amazon_cso_warfare_cyber_kinetic/)。

これらは「サイバー→物理」の因果を厳密に立証する十分条件ではないものの、国家レベルの意思・能力・行動の連関を裏づける材料としては強固です。

戦略インサイト（今後の読みと現場示唆）

• 標的は「制御系そのもの」だけではないです。より広く「標的選定に使えるデータ（Targeting Data）」—施設図面、BMS/SCADAのトポロジ、監視カメラ系のIP割り当て、社員・協力会社のスケジュールや位置情報、配送・停泊予定、出入管理ログ、緊急時連絡網、VIP動線、衛星通信端末の配置—が攻撃価値を持ちます。これらは一般企業のIT側に保管されがちで、OTとは別レーンで漏洩するリスクが高いです。
• 侵入コストは下がり、収穫は大きいです。初期侵入はクラウド・メールの同意フィッシングや外部公開の遠隔管理、VPN・SaaSアカウントの奪取で達成可能です。その後の活動は低ノイズで、長期潜伏しながら“選定に十分な断片情報”だけを抜く傾向が強まります。
• ミサイル・ドローンの発射意思決定には「鮮度の高い座標」「設備のクリティカリティ」「被害想定」が要るため、攻撃者は周期的な再侵入・再スキャンで最新情報を確保しようとします。したがって検知ロジックは「単発侵入」ではなく「反復的・低量の探索と小口の流出」に敏感であるべきです。
• 日本企業のリスクは二重です。国内重要インフラは当然として、海外拠点（特に中東・欧州）・サプライヤ・物流事業者・建設/エンジニアリング会社が保有する“標的情報”が、同盟国の基地・港湾・発電・通信ノードへ連鎖する可能性があります。自社が“国家標的”でなくても、他者を狙う照準データの倉庫になり得ます。

脅威シナリオと影響

以下は仮説に基づくシナリオです。MITRE ATT&CKに沿った典型的な戦術・技法の流れを併記します（技法は代表例）。

• シナリオ1：港湾・海運の「停泊予定とインフラ配置」を抜かれる
  想定流れ:

  1. フィッシングでメール・SaaS侵入（T1566, T1078）
  2. SharePoint/Boxから係留計画・港湾BMS図・CCTV配置を収集（T1114, Collection）
  3. 小口で外部に送出（T1041）
  4. 数日〜数週後、入出港のタイミングで無人機・ミサイル等の物理攻撃が同期
     影響: 港湾操業の停止、保険料率上昇、航路迂回コスト、物流SLA崩壊。日本の総合商社・造船・港湾運営・海運の複合的打撃が想定されます。

• シナリオ2：送電・通信の「ボトルネック設備特定」からの複合攻撃
  想定流れ:

  1. 外部公開の遠隔管理やVPNからの侵入（T1133, T1190）
  2. 資産台帳・系統図・保守窓口連絡網を探索（Discovery, T1003で資格情報強化）
  3. 重要ノードの冗長性・復旧手順・予備部品配置を窃取（Collection, T1119）
  4. キネティック攻撃と同時に妨害系サイバー（例: 監視・指令機能の阻害、ATT&CK for ICSのInhibit Response Function相当）
     影響: 広域停電・通信輻輳。復旧遅延と世論への心理的効果。Viasat事案のような通信能力低下は軍民両用で致命的です［EU・Viasat出典参照］。

• シナリオ3：人物ベース標的化（出張・動線・会議予定の把握）
  想定流れ:

  1. 役員・出張手配ベンダのアカウント奪取（T1566, T1078）
  2. 旅程・宿泊・会議参加者名簿の収集（T1114, T1087/Account Discovery）
  3. 物理的嫌がらせ・拘束・拉致に接続（APT42の行動様式と整合）［Mandiant出典参照］
     影響: 個人の安全、企業機密の二次漏えい、対外的信用失墜。

MITRE ATT&CKでの全体像（代表例）:

• 偵察/準備: Active Scanning (T1595), Gather Victim Identity (T1589), Search Open Websites (T1593)
• 初期侵入: Phishing (T1566), Exploit Public-Facing Application (T1190), External Remote Services (T1133), Valid Accounts (T1078)
• 横展開/持続化: Remote Services (T1021), OS Credential Dumping (T1003), Scheduled Task/Job (T1053)
• 収集/流出: Email Collection (T1114), Automated Collection (T1119), Exfiltration Over C2 Channel (T1041)
• ICS文脈: 監視/指令妨害（ATT&CK for ICSのInhibit Response Function, Impair Process Control などに相当）

重要なのは、ここでの“成功条件”が「業務停止」ではなく「精度の高い照準データの取得」にある点です。ゆえに、侵入の痕跡は静かで、流出は小口・継続・非破壊的である傾向が強いです。

セキュリティ担当者のアクション

“サイバー→照準→キネティック”を前提に、90日で進めるべき最優先アクションを整理します。

• 標的情報（Targeting Data）の棚卸しと分離

  • 施設図面、BMS/SCADAトポロジ、サプライチェーンの配送・停泊計画、VIP動線、衛星通信端末・非常通信の設置座標、緊急連絡網などを「標的情報」としてデータ分類を再編するべきです。
  • これらを一般コラボ系SaaSから切り離し、ゼロトラストな“情報保全エンクレーブ”（条件付きアクセス、デバイス健全性必須、ダウンロード禁止、ワーターマーク、期限付き共有）に移設します。

• IT/OT/BMSの経路遮断と露出削減

  • OT/IT間のL3/L4分離（ファイアウォール/データダイオード）を明確化し、OTからインターネットへの直接流出経路をゼロにするべきです。
  • 監視カメラ、入退室、BMS、PLCなどのベンダリモート接続はフェデレーション/MFA必須、固定IP制限、ジャンプサーバ経由に限定します。
  • 既定資格情報・共有アカウントは撲滅します（CISA AA23-321Aが示す基本不備の是正）［CISA AA23-321A］。

• 低ノイズ・小口流出の検知最適化

  • Cloud/SaaS DLPで「地図/図面/設計/工程/GIS/座標/停泊/旅程/指令/非常連絡」などの辞書化と指紋化（Exact Data Match）を実装します。
  • Egress監視は総量ではなく「反復的な小容量抽出」「通常業務時間外・休日のアクセス」「地域外の認証＋閲覧のみアクティビティ」を優先的にアラートします。
  • 同意フィッシング（OAuth同意）検知・審査ワークフローをSOCに組み込みます。

• 情報と物理の統合インシデント・コマンド

  • SOCとGSOC（物理セキュリティ）をワンルーム化し、CCTV/BMSアラートとサイバー兆候を時系列で相関できる体制にします。
  • 危機レベルのトリガー条件を定義します（例：標的情報の不正閲覧＋施設周辺のドローン出現＝物理警戒レベル昇格）。

• サプライヤ・共同利用者の最低基準

  • 物流、建設、保守、BMS運用ベンダに対し、MFA/運用端末の隔離/定期資格情報ローテーション/共有アカウント禁止/インターネット直結の遠隔管理禁止を契約条項に明記します。
  • 図面・工程・旅程の共有先は専用エンクレーブを強制し、メール添付・汎用クラウド共有リンクを廃止します。

• レジリエンス（“通信が落ちる日”の準備）

  • 衛星通信・携帯網が劣化する事態を前提に、代替通信（地上無線・メッシュ）と「ネット分断時の権限委譲・復旧手順」を文書化・訓練します。Viasat事案は現実の教訓です［EU・Viasat出典参照］。

• テーブルトップ演習（サイバー×物理）

  • 想定シナリオ：図面流出→数日後に港湾周辺で物理的妨害／旅程漏洩→現地でのハラスメント、など。
  • MITRE ATT&CKの各段階での検知・遅延・封じ込めポイントを洗い出し、SOCプレイブックを更新します。

• クラウド実装の即効策（ベンダ非依存方針で）

  • 標的情報の格納バケットに対し、外部共有禁止、組織外ダウンロード禁止、クライアント証明書必須、地理的アクセス制限を設定します。
  • 監査ログの長期保管と不変化（WORM）を有効化し、低量・高頻度のアクセスパターン検知に特徴量学習を適用します。

最後に、今回のシグナルは「確度が高く、行動可能性も高い」性質を持っています。破壊的マルウェアや停止ではなく、“照準データの静かな収穫”に目を凝らすことで、現場の検知面・レジリエンス面の成熟度を一段引き上げられるはずです。

参考情報（一次・公的情報を優先）

• The Register: Amazon CSO warns on cyber-kinetic linkage（2025-11-19）
  https://www.theregister.com/2025/11/19/amazon_cso_warfare_cyber_kinetic/
• EU理事会声明：KA-SATネットワークに対する悪意あるサイバー活動について（ロシア非難）
  https://www.consilium.europa.eu/en/press/press-releases/2022/05/10/statement-by-the-high-representative-on-behalf-of-the-european-union-on-the-malicious-cyber-activity-against-the-ka-sat-network/
• Viasat公式：KA-SATサイバー攻撃の技術概説
  https://news.viasat.com/blog/corporate/ka-sat-network-cyber-attack-overview
• CISA共同勧告 AA23-321A：IRGC系アクターによるUnitronics PLC悪用
  https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-321a
• Microsoft Special Report：Defending Ukraine – Early Lessons from the Cyber War
  https://www.microsoft.com/en-us/security/blog/2022/06/22/defending-ukraine-early-lessons-from-the-cyber-war/
• Mandiant：APT42（IRGC連関の人物監視型スパイ活動）
  https://www.mandiant.com/resources/blog/apt42-irans-cyber-espionage