サイバー空間では、平時から国家が関与するサイバー攻撃が増加している。国家が関与するサイバー攻撃が観測されるようになったのは2005年頃までさかのぼるが、2015年頃までの国家が関与する攻撃は、政策決定者や防衛産業など特定の企業・組織・個人から機密情報や知的財産を窃取することを目的とした標的型攻撃などの「情報窃取型」サイバー攻撃や、相手国内の混乱の誘発を狙い重要インフラの制御系システムの麻痺ないし破壊を目的とする「機能妨害型」/「機能破壊型」サイバー攻撃が主流であった。
しかし、2015年頃から、標的型攻撃の手法を用いて仮想通貨取引所などの金融機関に侵入し不正な送金を行い、また、データを人質に身代金を要求するランサムウェアによる攻撃などの「金銭目的型」サイバー攻撃が増加している。さらに、相手国内の情報操作を目的として、偽ニュースの流布、代理主体を用いたサイバー攻撃によるかく乱、サイバー窃取した機密情報の暴露などを行う「情報操作型」サイバー攻撃が新たに見られるようになってきた。
アメリカは2018年9月に公表した「国家サイバー戦略」において、「ロシア、中国、イラン、北朝鮮」の4カ国を安全保障上の懸念国と認定し、「サイバーという道具を用いて、我々の経済と民主主義を弱体化させ、知的財産を奪い、我々の民主主義のプロセスに争いのタネを蒔いている」敵対国であると規定している。
日本は、アメリカが懸念国と認定する4カ国のうち3カ国に取り囲まれている。これらの国は、既存の国際ルールを逸脱したサイバー攻撃を平時から積極的に行っており、これらの国が関与したと指摘されているサイバー攻撃の特徴は、表1のように整理することができる。
ロシアは、①「情報操作型」サイバー攻撃による民主主義国プロセスへの干渉と情報戦、②周辺国に対する「機能妨害型」/「機能破壊型」サイバー攻撃、③軍事行動に伴う「ハイブリッド戦」、が特徴である。今後は、ロシア・ウクライナ戦争に対する制裁による外貨の枯渇から、金銭目的型の攻撃にも手を染める可能性が高いと考えられる。
中国は、「情報窃取型」を特徴としている。相手国の政府や政府機関が持つ「政策情報」の窃取に加え、中国の国防技術や科学技術の発展に資する「知財情報」の窃取、中国企業をビジネス上有利にする「企業秘密」の窃取を行っている。加えて、最近ではアジア地域を中心に、ロシアと同様の「情報操作型」攻撃による民主主義プロセスへの干渉が目立つようになってきている。
北朝鮮は、韓国やアメリカに対する「機能妨害型」/「機能破壊型」サイバー攻撃を行っていたが、直近では、国連の経済制裁による外貨不足を補うため、「金銭目的型」のサイバー攻撃にもっぱら従事している。北朝鮮のサイバー部隊は、外貨獲得を目的として、日本の金融機関、仮想通貨取引所、個人・企業の口座情報を標的にサイバー攻撃していることが確認されている。
このような攻撃のうち、中長期に影響を及ぼすのが、「情報窃取型」のサイバー攻撃である。中国はこの「情報窃取型」のサイバー攻撃を積極的に行っているが、他国の国家機関を標的とした政策情報の窃取だけでなく、先進国の民間企業、研究所、大学などを標的とした情報窃取も行っている。このようなサイバー攻撃は、既存の国際法・ルールから逸脱しているのみならず、攻撃による結果として、先進国の保有する技術の不公正な強制移転をもたらし、先進国の技術優位を脅かしている。このようなサイバー攻撃により、窃取した軍事技術を戦闘機などの自国の兵器開発に利用する事例や、窃取した西側民間企業の技術を自国の企業に渡して自国の産業競争力を高める事例も見られるようになっている。
日本では、中国からの情報窃取型のサイバー攻撃が、2016年以降増加していると分析されており、少なくとも10以上の中国関連の攻撃グループが日本を攻撃していると指摘されている。特に防衛、航空・宇宙、ハイテク、医薬など先端産業の知財や企業秘密が狙われており、経済安全保障上このようなサイバー攻撃は、日本の産業基盤に対する脅威となっている。
また、国家の意思決定の攪乱を目的として、選挙時に偽情報を流布するなどの情報操作型のサイバー攻撃を行う国も出てきたことから、従来の技術的なサイバーセキュリティを中心とした受動的な防御の強化だけではサイバー空間の安全を担保できないとの認識が各国で醸成されている。そのため、次に述べるように、能動的サイバー防御(ACD、アクティブ・サイバー・ディフェンス)を国家の責任で行う動きが出てきている。