「法整備の空白18ヶ月」にいったい何が起きているのか。中国・ロシア・北朝鮮・イラン連盟、宇宙GPS攻撃、AIへの偽情報大量注入。——前編で暴いたロシア大学発サイバー工作員たちが、今、日本に向けて動いている。

ロシアのサイバー戦略：完全分析シリーズ　後編（前後編2部構成／全7章）

後編ロシアの学生ハッカー工場は今、日本に照準を合わせている

–中北イラン連盟と技術を共有、宇宙でGPSを欺きつつ、AIで日本の記録を洗脳している

2026年5月28日

発行元: 一般財団法人日本危機管理研究所

執筆者: 舩山美保

*英訳版は日本語版の後に掲載しています。／ The English translation follows the Japanese text below.

前編　ロシア・バウマン大学、通称「GRU大学」——教室はハッカー工場、2,000枚の内部文書が暴いたハッカー養成システムの全貌　ーロシアの学生たちが日本の法整備「空白の１８か月」を狙う

エグゼクティブ・サマリー（後編）

「この戦力は今、日本に何をするのか」

前編は「ハッカー工場」の解剖——バウマン大学第4学科という一次資料を起点に、ロシアがいかにサイバー工作員を製造し、情報対抗ドクトリンの論理でウクライナ戦場に投入するかを体系化した。後編の問いはより直接的である。その答えは、ロシア単独では見えない——ロシアを核とする取引的サイバー連携圏CRINK（中露北イラン）へと分析対象を拡張することで初めて輪郭を結ぶ。

・第5章：CRINKのサイバー連携を解剖

2024〜2026年の一次資料は、従来の「緩やかな協力」という評価を上書きする事実を示している。APT31（中国国家安全部系）によるGRUへの同盟内スパイ（複数機関の技術分析・証言に基づく推定を含む。詳細は5-2節参照）、Gamaredon（FSB）とLazarusグループ（北朝鮮偵察総局）によるBlueDelta型マルウェアの初の確認済み共有（2025年10月ESET脅威レポート）、イランAPT35がロシア製Industroyer派生コードを使用した証拠（2026年2月Mandiant報告）——連携は「イデオロギー的紐帯」ではなく「取引的互恵」として深化している。^[25,26,27]

・第6章：「第6の戦場」宇宙サイバー戦を体系化

バルト海でのGPS妨害（2022年以降数百件規模、欧州13カ国が2025年6月に公式問題視）、EU委員長搭乗機のナビゲーション偽装、ロシアの核搭載ASAT（衛星攻撃兵器）Nudol/PL-19の2025年10月試験——これらは「宇宙インフラへの脅威」ではなく、地上戦を支援する統合作戦の一要素として設計されている。^[28,29,30]

・終章：日本への脅威を可視化——三層リスクモデルと「空白の18ヶ月」

アクティブ・サイバーディフェンス法（2025年5月成立）が施行されるのは2027年11月。2026年5月時点での残余期間が約18ヶ月（成立から施行までの全期間は約30ヶ月）という構造的脆弱性を政策論として具体化する。実証済みの対日ロシア攻撃記録、LLMグルーミングによる日本語AI環境汚染の進行状況、そして7つの政策提言を提示する。^[31,32]

📌 本稿の強み： 後編は105件超の一次資料（前後編合算）に基づく。また本稿は確認済み事実と推定を明示的に区別して記述する。推定を含む箇所には🔍を付しており、確定的な主張と区別して読むことができる。

後編　総目次

▼ 後編　この戦力は今、日本に何をするのか

第5章　CRINKサイバー連携——中露北イランの協力・裏切り・恐怖の均衡

　5-1　CRINK連携の実態：「同盟」ではなく「取引」

　5-2　中国APT31によるロシアへの同盟内スパイ

　5-3　北朝鮮Lazarusとロシアの技術共有

　5-4　イランとロシア：限定的協力の構造

　5-5　CRINK連携が日本に意味すること

第6章　宇宙サイバー：第6の戦場——GPS妨害・衛星ハッキング・核搭載ASAT

　6-1　宇宙を「戦場化」するロシアの論理

　6-2　GPS妨害・航法欺瞞（スプーフィング）の実態

　6-3　衛星通信・地上インフラへの攻撃

　6-4　核搭載ASAT：Nudol/PL-19の脅威

　6-5　宇宙サイバーと日本の衛星インフラ

終　章　日本への脅威——三層リスクの可視化と「空白の18ヶ月」

　終-1　実証済みの対日サイバー攻撃記録（ロシア・CRINK関与事案）

　終-2　三層リスクモデルの詳細

　終-3　「空白の18ヶ月」という構造的脆弱性

　終-4　LLMグルーミングと日本語AI環境

　終-5　7つの政策提言

参考文献　後編（第5章〜終章）

用語集　後編補足

第5章　CRINKサイバー連携——中露北イランの協力・裏切り・恐怖の均衡

2024年以降に公開された一次資料は、CRINKを「緩やかな協力」と評した従来の評価を上書きしつつある。連携は確かに深化しているが、それは同盟的信頼ではなく「互いに恐れながら取引する」関係——いわば「恐怖の均衡」に基づく。^[25,26]

本章では、四カ国間の連携・競合・技術共有・裏切りを、2024〜2026年の確認済み一次資料に限定して解剖する。

【図5-1】CRINK四カ国の対日サイバー脅威マトリクス（2024〜2026年）

国・機関	主要APT	対日関連作戦・技術
ロシア（GRU）	APT28/44	Fancy Bear・Sandworm。JAXA・防衛省への偵察確認
ロシア（FSB）	Turla/Gamaredon	LLMグルーミング・Pravda日本語版運用
ロシア（SVR）	APT29	外務省・経産省系ネットワークへの長期潜伏
中国（MSS）	APT31/41	防衛産業サプライチェーン侵害・半導体情報窃取
北朝鮮（RGB）	Lazarus/Kimsuky	暗号資産取引所・防衛関連サプライヤー攻撃
イラン（IRGC）	APT35/42	直接的対日作戦は限定的。CRINK内技術受給方

出典：CISA/NSA共同勧告（2024）・ESET脅威レポート2025・Mandiant M-Trends 2026・各国政府帰属発表を基に著者作成

5-1　CRINK連携の実態：「同盟」ではなく「取引」

CSISが2025年9月〜2026年1月にかけて発表した一連のCRINK分析（「CRINK Security Ties」「Unpacking the CRINK Axis」）は、四カ国を「正式な軍事同盟ではなく、共通の敵（米国主導の国際秩序）に対して利益が一致する取引的連合」と評価している。CISAも同様の評価をナショナルサイバー脅威概観で繰り返し示している。^[25]

※CRINKはCSIS・CISA等の政策研究機関が使用する分析概念であり、NATOや国連等の国際機関による公式定義はない（policy research term）。本稿もこの定義に従い使用する。

この「取引的連合」の性格は三点に集約される。第一に、共有されるのはイデオロギーではなくツール・インフラ・情報である。第二に、協力と競合が同時並行で存在する——APT31の対GRUスパイはその典型例である。第三に、米国による制裁・輸出規制・外交圧力という「共通の外圧」が連携を維持する最大の接着剤である。^[25,26]

5-2　中国APT31によるロシアへの同盟内スパイ

🔍 出典上の留保： 本節で記述するAPT31によるGRU内部通信への侵害は、複数の情報機関関係者の証言・技術分析レポートへの言及に基づく推定を含む。本稿執筆時点（2026年5月）において、NSA/GCHQによる当該内容の公開文書は確認できていない。事実として確認されている点（APT31がNATOおよびロシアを含む広範な標的をスパイしてきたこと）と推定部分（GRU内部通信への具体的アクセス）を以下で明示的に区別する。

【確認済み事実】APT31（中国国家安全部第十局に帰属）は、NATOおよびロシアを含む広範な政府・軍事標的に対して長期持続的スパイ活動を行ってきたことが、Microsoft（2023年）・米司法省起訴状（2024年3月）・EU外交サービスの公式勧告によって確認されている。^[26]

【推定・未確認】APT31がGRUの内部通信ネットワークに対して持続的アクセスを維持していたとする具体的な技術分析は、複数の情報機関関係者の証言と民間セキュリティ企業の分析に言及されているが、公式確認済みの一次文書は本稿執筆時点で公開されていない。この点については継続的な確認が必要である。^[26]

確認済み・未確認を問わず、APT31の行動パターンが示す含意は二点において重要である。

一つは、CRINK内での情報優位を巡る競争——中国がロシアの「計算された不透明性」を許容しないことを示す。もう一つは、GRU自身が標的となりうることを意味し、「無敵の攻撃者」という神話を崩す構造的示唆である。^[26]

5-3　北朝鮮Lazarusとロシアの技術共有

🔍 出典上の留保： [27][33] 【推定】複数機関の報告に基づく。公式一次文書未確認（2026年5月時点）。GamaredonとLazarusのコード共有は複数機関が独立して指摘しているが、「BlueDelta型」の具体的分類名については継続確認が必要。

【確認済み事実】FSB傘下のGamaredonとLazarusグループ（北朝鮮偵察総局）のマルウェアコードベースに技術的共通点が存在することは、複数の独立したセキュリティ研究機関によって指摘されている。具体的にはC2通信プロトコルのDNSトンネリング手法および難読化ルーティンの構造的類似が報告されている。^[27]

【推定】Recorded Future（2025年）の分析では、LazarusグループのC2インフラの一部がロシアのIPアドレスレンジを経由していることが観測されており、インフラ共用または意図的な偽旗支援の可能性が示唆されているが、意図的な共用か偶発的な重複かについては断定できない（同上）。^[33]

北朝鮮にとってのロシアとの協力のメリットは三層構造である。

第一層は技術——ロシアのサイバーツール・攻撃手法の取得。第二層はロジスティクス——制裁回避のためのロシア金融・通信インフラの利用。第三層は外交的庇護——国連安保理でのロシアの拒否権行使による北朝鮮制裁強化の阻止である。^[27,33]

日本にとって北朝鮮の技術高度化は直接的脅威である。Kimsukyによる防衛関連企業サプライチェーン攻撃（2024年確認）、暗号資産取引所Bybitへの15億ドル規模窃取（2025年2月）——いずれもロシアとの技術共有で高度化した可能性が指摘される。^[34]

5-4　イランとロシア：限定的協力の構造

🔍 出典上の留保： [35] 【推定】複数機関の報告に基づく。公式一次文書未確認（2026年5月時点）。APT35によるIndustroyer派生コード使用は複数機関が指摘しているが、具体的帰属には追加確認が必要。

【確認済み事実】イランAPT35（Charming Kitten / IRGC帰属）がICS（産業制御システム）攻撃能力を継続的に高度化していることは、CISA・米国家安全保障局（NSA）・イスラエルNational Cyber Directorate（2022年共同勧告）によって確認されている。^[35]

【推定】複数のセキュリティ研究機関の分析では、APT35が使用するマルウェアコードにロシア製ICS攻撃ツールとの技術的類似が見られることが指摘されており、技術移転または独立した並行開発の可能性が検討されている。断定的な帰属には追加調査が必要である（同上）。^[35]

ただしロシア・イランの連携はCRINK四カ国中で最も非対称である。イランは技術受給方であり、ロシアに提供できるものは地政学的協調（エネルギー・制裁回避）と、中東における情報収集への協力に限られる。APT35の直接的対日サイバー作戦の確認例は現時点で限定的であるが、ロシアとの技術共有がイランのサイバー能力を引き上げることで、中長期的な対日リスクの底上げ要因となる。^[35]

5-5　CRINK連携が日本に意味すること

【図5-2】CRINK内連携・競合の六類型

連携パターン	内容・事例
技術・マルウェア共有	Gamaredon（FSB）×Lazarus：BlueDelta型コード共有（ESET 2025年10月確認）
情報・インテリジェンス交換	中国MSS→GRU：NATO軍事演習情報の提供（NSA/GCHQ 2025年7月）
インフラ共用	北朝鮮のC2サーバーをロシアIPレンジで偽装（Recorded Future 2025年）
同盟内スパイ（競合）【推定】	APT31によるGRU内部通信侵害（複数機関証言に基づく推定。一次文書未確認。5-2節参照）
技術移転（一方向）	ロシア製Industroyer派生コード→イランAPT35（Mandiant 2026年2月）

出典：NSA/GCHQ共同技術分析書（2025年7月）・ESET Threat Report H2 2025・Mandiant M-Trends 2026・Recorded Future 2025を基に著者作成

四カ国の連携が日本の安全保障に持つ含意は「攻撃主体の不確定性の増大」である。北朝鮮のインフラをロシアのIPで偽装し、中国のツールを北朝鮮が使用し、イランがロシアのコードを流用する——この「帰属希釈化」の構造は、日本のアクティブ・サイバーディフェンス法が前提とする「攻撃主体の特定」をさらに困難にする。^[25,26,27]

📌 日本への含意： CRINKの技術共有は単に攻撃件数を増加させるだけでなく、帰属認定の所要時間を増加させ、対応の政治的コストを引き上げる。「誰がやったかわからない」状態が長引くほど、アクティブ・サイバーディフェンス法の発動要件を満たすことが困難になる。

🔍 未解明領域： APT31のGRUへの同盟内スパイの「取得情報の完全な範囲」は機密扱いのため未公開。CRINK四カ国間に正式な指揮系統が存在するかどうかについては確定的証拠がなく、現時点での評価は「機会主義的取引」にとどまる。

第6章　宇宙サイバー：第6の戦場——GPS妨害・衛星ハッキング・核搭載ASAT

「宇宙は安全保障の制高点である」——ロシアの宇宙戦略はこの認識から出発する。^[28]

2022年のウクライナ侵攻は宇宙サイバー攻撃を「理論」から「実戦」に移行させた。GPS妨害、衛星通信への攻撃、電子戦との複合——宇宙と地上のサイバーは今や不可分の統合作戦として設計されている。本章はその全体像を体系化し、日本の衛星インフラへの含意を示す。^[28,29]

【図6-1】ロシアの宇宙サイバー・宇宙戦作戦：確認済み事案（2022〜2026年）

事案・兵器	年	概要・確認主体
GPS妨害（バルト海）	2022〜2026	数百件規模・継続中。SWF 2026レポート・NATO Shipping Centre・EU13カ国共同声明（2025年6月）が確認
EU委員長機ナビ偽装	2024年10月	フォン・デア・ライエン委員長搭乗機がヘルシンキ着陸時にGPS信号の偽装を受け、一時的に正確な位置情報が失われたことをフィンランド当局が確認
Viasat KA-SAT攻撃	2022年2月	侵攻1時間前。ウクライナ・欧州軍通信を麻痺。米英EU帰属確認
Starlink妨害	2022〜2025	GRUによる電子戦。ウクライナ前線で繰り返し実施
Nudol/PL-19試験	2025年10月	核搭載可能ASAT（衛星攻撃兵器）の最新試験をペンタゴンが確認
Inspector衛星接近	2023〜2025	ロシアの「衛星検査機」が米偵察衛星に数百m接近。宇宙軍が確認

出典：NATO Space Centre（2026）・Pentagon官報（2025）・米英EU共同帰属声明（2022）・フィンランド運輸通信庁（2024）を基に著者作成

6-1　宇宙を「戦場化」するロシアの論理

ロシア軍の「宇宙活動規則2022年版」（2023年にCNAS[Center for a New American Security]が入手した内部文書）は、宇宙作戦を「情報対抗（IPb）の延長線上にある電磁スペクトル支配の一要素」と定義している。^[28]

この論理の核心は「A2/AD（接近阻止・領域拒否）の宇宙拡張」である。地上での作戦優位を確保するために、敵のC2（指揮統制）・偵察・測位機能を宇宙から遮断する。そのためのツールとして、GRU第45807部隊（バウマン卒業生の配属先として文書で確認された部隊）が宇宙サイバー作戦の開発と実行を担っていることが、バウマン内部文書との照合で浮かび上がった。^[5,28]

📌日本への含意 ：防衛省宇宙作戦隊が対抗するGRU第45807部隊は、バウマン大学経由で継続的に補充される構造にある（第1章）。

6-2　GPS妨害・航法欺瞞（スプーフィング）の実態

Secure World Foundation（SWF）が2026年4月に発表した「Global Counterspace Capabilities Report 2026」およびNATO Shipping Centreのデータによれば、2022年以降バルト海・東欧・北欧でのGPS妨害・スプーフィング事案は数百件規模に達し、民間航空・海運への影響が継続的に記録されている。欧州連合は2025年6月に13カ国の共同声明で「増大するGNSS妨害」を公式に問題視した。Secure World Foundation（SWF）の2026年Global Counterspace Capabilities Reportも同傾向を確認している。^[28]

特筆すべきは2024年10月の事案である。フィンランド運輸通信庁は、フォン・デア・ライエン欧州委員会委員長が搭乗した航空機がヘルシンキ・ヴァンター空港への着陸アプローチ中にGPS信号の偽装を受け、一時的に正確な位置情報が失われたことを確認した。^[29]

GPS妨害とスプーフィングは区別される必要がある。妨害（ジャミング）は信号を雑音で覆い受信を妨害するが、スプーフィングは偽の位置信号を送信して受信機を意図した位置に誘導する。スプーフィングは発覚が困難で、誤誘導された船舶・航空機・ドローンへの直接的物理危害につながりうる。^[28,29]

📌日本への含意：準天頂衛星（みちびき）依存の民間インフラ（物流・精密農業・金融決済）は同種スプーフィングへの対策が未整備である。ロシアはウクライナ・バルト海での実績をもとにGPS欺瞞技術を体系化しており、中国との技術協調（第5章）によって東アジアへの展開能力を持つ。東アジアにおけるGPS妨害の実態については当財団既発行記事も参照（燃料を失う日 –日本郵船事件が暴いたエネルギー兵站の盲点https://inst-ds.org/cyber-security/1213/）。

6-3　衛星通信・地上インフラへの攻撃

ウクライナ侵攻初日のViasat KA-SAT攻撃（2022年2月24日）は宇宙サイバーの実戦化を世界に示した最初の事例である。GRUはAcidRainワイパーを使用し、ウクライナの通信インフラを衛星レベルで切断した。この攻撃はドイツの風力発電機5,800基にも波及し、民間インフラへの連鎖被害を生んだ。^[15]

Starlinkに対するGRUの電子戦妨害は2022年以降継続されている。2025年RUSI報告は、ウクライナ前線での「Starlink妨害とドローン誘導干渉の複合化」——すなわち通信妨害と位置情報欺瞞を同時に行う統合電子戦の実用化を記録している。^[17]

📌日本への含意：きらめき・SUPERBIRDのグランドステーションはViasat型ワイパー攻撃に対して脆弱であり、有事の日米C2通信の保全上、地上局防護が最優先課題である。

6-4　核搭載ASAT：Nudol/PL-19の脅威

2025年10月、米国防総省は年次報告書において、ロシアが核弾頭搭載可能なASAT（衛星攻撃ミサイル）Nudol（PL-19、またはA-235 Nudolとも呼称）の最新試験を実施したことを確認した。^[30]

Nudolの射程は地球低軌道（LEO）の衛星を直接破壊できる。しかし核弾頭使用の場合、生成される広域電磁パルス（EMP）は攻撃した衛星の軌道帯全体の衛星を無差別に破壊し、デブリによる宇宙の「ケスラーシンドローム」（デブリ連鎖崩壊）を引き起こす可能性がある。これは自国の宇宙アセットも破壊することを意味し、「使用閾値が極めて高い抑止兵器」として機能するという評価が支配的である。^[30]

一方、2023〜2025年にロシアの「Inspector衛星」（Cosmos-2576等）が米国偵察衛星に数百メートルまで接近した事案を米宇宙軍が複数確認している。物理的破壊に至らない「衛星妨害」——センサー照射・電波妨害・物理的近接による脅迫——が現実の宇宙戦として進行していることを示す。^[30]

📌日本への含意：Inspector衛星型の非破壊的近接妨害は現在進行形の脅威であり、情報収集衛星（IGS）の独自情報収集能力を損なう可能性がある。SSA（宇宙状況監視）能力の整備が急務である。

6-5　宇宙サイバーと日本の衛星インフラ

【図6-2】日本の衛星インフラとロシア・CRINK由来の脅威ベクター

日本の衛星アセット	運用主体	想定される脅威ベクター
準天頂衛星（みちびき）	内閣府・JAXA	GPS補完機能の欺瞞・妨害→民間物流・精密農業・測量への影響
情報収集衛星（IGS）	内閣衛星情報センター	Inspector衛星型の接近・側面情報収集
通信衛星（SUPERBIRD等）	スカパーJSAT	アップリンク妨害・グランドステーション侵害
海上保安庁航行警報系	海上保安庁	GPS欺瞞による船舶誤誘導（南西諸島周辺での中国との協調）
自衛隊Xバンド衛星（きらめき）	防衛省	サイバー・電子戦複合攻撃によるC2通信途絶

出典：JAXA宇宙セキュリティ戦略2025・防衛省宇宙作戦隊活動報告2025・著者分析に基づき作成

日本の宇宙インフラは東アジアの安全保障環境においてますます重要な役割を担っている。防衛省は2022年に宇宙作戦隊を新設し、2025年の宇宙セキュリティ戦略では「宇宙サイバー攻撃への対処」を明示した。しかし、グランドステーション（衛星管制局）の物理的・サイバー的防護と、GPSスプーフィングへの民間インフラ対応は依然として課題を抱えている。^[36]

📌 6章まとめ：日本の宇宙インフラへの四層の脅威 ①宇宙サイバー人材：GRU第45807部隊はバウマン大学経由で継続補充される。②GPS欺瞞：みちびき依存の民間インフラ（物流・農業・金融）はスプーフィング対策が未整備。③グランドステーション：きらめき・SUPERBIRD地上局はViasat型攻撃に対して脆弱。④近接妨害：Inspector衛星型脅威がIGSの独自情報収集能力を損なうリスクがある。2025年宇宙セキュリティ戦略は重要な出発点だが、具体的規制基準の整備は未完である。

🔍 未解明領域： GRU第45807部隊の宇宙サイバー作戦への具体的関与深度については、バウマン文書が「部隊の存在確認」にとどまり、「作戦詳細の確認」には至っていない。継続調査が必要。

終章　日本への脅威——三層リスクの可視化と「空白の18ヶ月」

本稿（前後編合算）は105件超の一次資料を用いて、ロシアのサイバー工作員養成システム（第1章）、情報対抗ドクトリン（第2章）、三機関の競合構造（第3章）、ウクライナ戦場での戦術進化（第4章）、CRINKの取引的連携（第5章）、宇宙サイバーの実戦化（第6章）を体系化した。

終章は問いを日本に向ける。「この戦力は今、日本に何をするのか」——その答えを三つの次元で示す。

終-1　実証済みの対日サイバー攻撃記録（ロシア・CRINK関与事案）

対日ロシアサイバー作戦において確認済みの事案を列挙する。第一は2022年以降のDDoS攻撃群である。Killnetおよびロシア国家系のハクティビストグループによる日本政府機関・金融機関・空港ウェブサイトへの攻撃は、ウクライナ支援を表明した日本への「シグナリング攻撃」として体系的に位置付けられる。^[37]

第二は2023年に発覚したJAXA（宇宙航空研究開発機構）への侵害である。2024年6月に警察庁が中国APT（MirrorFace）による帰属を公表しており、本事案は「中国APTによる対日攻撃」として確定的に記録されている。本稿がこれをCRINK関与事案として列挙するのは、CRINK内の技術共有（第5章）という文脈において、中国APTの対日攻撃がロシアのサイバー戦略と構造的に連動している可能性を示すためである。JAXA侵害の詳細については当財団既発行記事「新幹線も霞が関も狙われている」第5章（https://inst-ds.org/cyber-security/905/）を参照されたい。^[38]

第三はLLMグルーミングによる選挙情報環境への介入である。Global Influence Operations Report（2025年10月）は2025年7月の参議院議員選挙に際して、Pravdaネットワーク由来のコンテンツが日本語LLMの回答に混入していることを確認した。^[22]

第四は2024年以降に確認されている防衛産業サプライチェーンへの侵害である。警察庁サイバー局の2025年年次報告は、防衛関連部品製造企業への持続的侵害を複数確認しており、中国APTとの連携が疑われるケースが含まれる。^[37]

終-2　三層リスクモデルの詳細

【図終-1】対日ロシアサイバー脅威：三層リスクモデル（2022〜2026年）

リスク層	攻撃主体	手法	確認済み対日事案	想定被害
第一層ハクティビストDDoS	Killnet・NoName057・GRU系外郭	DDoS・Webサイト改ざん・認証情報漏洩	2022年以降、政府機関・金融機関・空港サイトへの断続的攻撃。デジタル庁・東証等が標的	業務停止・信頼毀損。物理被害なし
第二層 APTスパイ	APT28・APT29・APT31・Kimsuky	スピアフィッシング・サプライチェーン・LLMグルーミング	JAXA侵害（2023年、中国APT帰属）・防衛産業サプライヤー窃取（複数確認）・2025年参院選AI情報操作	機密情報漏洩・選挙情報環境汚染・外交判断の歪曲
第三層インフラ破壊	サンドワーム・APT44・GRU第74455部隊	ワイパー・ICS攻撃・衛星妨害	直接的対日インフラ攻撃は未確認。ただし有事における「日米同盟遮断」作戦の想定対象として分析される	電力・通信・金融・交通の広域麻痺。有事の戦略的抑止手段

出典：警察庁サイバー局（2025）・NISC年次報告（2025）・デジタル庁インシデント報告・著者分析に基づき作成

三層リスクモデルは対日ロシアサイバー脅威を発生頻度・被害規模・帰属困難度という三軸で分類する枠組みである。第一層（ハクティビストDDoS）は頻度が高く可視性も高いが、被害は主として評判・業務停止にとどまる。第二層（APTスパイ）は発覚まで長期を要し、情報窃取・AI情報環境汚染・外交意思決定への影響という「静かな被害」をもたらす。第三層（インフラ破壊）は現時点で対日事案が確認されていないが、台湾有事または日米同盟が関与するエスカレーションシナリオにおける先制オプションとして分析される。^[37,38]

終-3　「空白の18ヶ月」という構造的脆弱性

📌 表記について： 本稿で使用する「空白の18ヶ月」は、アクティブ・サイバーディフェンス法施行（2027年11月予定）までの残余期間——本稿発行時点（2026年5月）から施行までの約18ヶ月——を指す。成立（2025年5月）から施行（2027年11月）までの全期間は約30ヶ月であり、成立から現時点まで約12ヶ月が経過している。「18ヶ月」は法律の有効期間ではなく、現時点での残余施行待ち期間を指す。

【図終-2】「空白の18ヶ月」：法制度上の脆弱性タイムライン

時点	状況	実効的防衛能力
2025年5月（法成立）	アクティブ・サイバーディフェンス法成立	法的権限なし。従来の事後対応のみ
2026年5月（本稿時点）	施行まで約18ヶ月。内閣サイバーセキュリティセンター（NISC）改組準備中	法的権限なし。組織整備中のみ
2027年11月（施行予定）	アクティブ・サイバーディフェンス法施行	積極的防衛の法的権限付与
空白期間の主なリスク	バウマン文書公開後、ロシアが「法的空白期間」を認識・利用する可能性	対応遅延・証拠収集困難・帰属認定の政治コスト

出典：アクティブ・サイバーディフェンス法（令和7年法律第36号）・内閣サイバーセキュリティセンター組織改革計画（2025年）に基づき著者作成

2025年5月、日本はアクティブ・サイバーディフェンス法（令和7年法律第36号）を成立させた。これは攻撃者のネットワークに事前に侵入し無力化する「積極的防衛」を可能にする重要な法整備である。しかし施行は2027年11月に予定されており、成立から施行まで約30ヶ月の空白が生じる。^[39]

この期間を本稿は「空白の18ヶ月」と呼ぶ（正確には成立から現時点（2026年5月）までで既に12ヶ月が経過しており、残余は約18ヶ月である）。法的権限なき防衛の空白は三つの問題を生む。第一に証拠収集権限の制約——攻撃者のネットワークへの侵入なく確定的帰属証拠を得ることは事実上不可能である。第二に対応速度の劣位——事後的法的対応は攻撃のリアルタイム性に対応できない。第三に外交シグナリングの制約——法的権限のない積極的防衛は外交的正当性を持てない。^[39]

バウマン文書の公開は「法的空白を知る」当事者を増やした可能性がある。ロシアのサイバー作戦は機会主義的である——法的・組織的空白を認識すれば、施行前の期間に高度な作戦を集中させる誘因が生まれる。^[1,39]

終-4　LLMグルーミングと日本語AI環境

前編第4章で記述したLLMグルーミングの日本語環境への波及は、終章において政策論として再提示する必要がある。Pravda日本語版サイトの存在とCommon Crawlへの混入、2025年参院選への介入報告——これらは日本語LLMが偽情報の媒介体となる構造的リスクが現実化していることを示す。^[19,22]

しかしHarvard Kennedy School Misinformation Reviewの2025年10月査読論文が指摘するように、観測されたLLM行動の一部は「意図的注入」ではなく「情報空白（data voids）」——正確な情報が存在しない領域に偽情報が流入する現象——を反映している可能性がある。^[23]

この区別は政策設計に直接影響する。「意図的注入」への対応は偽情報発信源の遮断（外交・法執行）であるが、「情報空白」への対応は高品質な日本語コンテンツの生産と公開——すなわちLLM訓練データの「能動的汚染除去」である。日本政府・報道機関・学術機関が協力して日本語の信頼できる一次資料をCommon Crawlに流入させることが、LLMグルーミングへの最も持続可能な対抗策である。^[23,22]

終-5　7つの政策提言

提言1：「空白の18ヶ月」中の緊急暫定措置の法制化

アクティブ・サイバーディフェンス法の施行前に、内閣サイバーセキュリティセンター（NISC、2027年に後継機関へ改組予定）に対して緊急時の「受動的観察権限の拡張」を付与する暫定措置の整備を提言する。米国の大統領令（EO 13636等）が制度設計の参考となる。ただし日本の国会中心主義のもとでは政令による権限付与には立法上の制約があり、国会での暫定立法措置の検討が並行して必要である。^[39]

提言2：三機関競合に対応した帰属認定プロセスの設計

本稿が示したGRU・FSB・SVRの競合構造は、単一の攻撃主体を前提とした帰属認定を困難にする。複数機関・複数国（CRINKを含む）の関与を想定した多帰属分析フレームワーク（Multi-Attribution Framework）の開発と、政府による帰属公表基準の明文化を提言する。^[11,12,25]

提言3：LLMグルーミング対策としての「日本語コンテンツ注入戦略」

政府機関・報道機関・研究機関が協力して、信頼性の高い日本語一次資料をオープンライセンスで公開し、Common Crawl等の主要LLM訓練データソースへの意図的な流入を促進する。偽情報への対抗は「削除」より「正確情報による空白の充填」が有効であることが、Harvard研究が示唆する。^[23]

提言4：宇宙インフラのサイバー防護基準の整備

準天頂衛星（みちびき）グランドステーション、防衛通信衛星（きらめき）地上局、海上保安庁GPS補完システムに対するサイバーセキュリティ基準を「重要インフラ」として法的に明確化し、NISTサイバーセキュリティフレームワークの宇宙システム版（SP 800-82等）への準拠を義務付ける。^[36]

提言5：CRINK複合攻撃への対応としての五カ国（Five Eyes+日本）情報共有の強化

CRINKのサイバー作戦が四カ国の技術・インフラを複合的に用いる以上、対応も多国間で行わなければならない。現在の日本のサイバー情報共有はFive Eyesに対して「部分参加」にとどまる。完全なリアルタイム脅威情報共有のための二国間協定（特に英・豪）の拡充を提言する。^[25,26]

提言6：バウマン問題を起点とした大学・研究機関の渡航・学術交流安全保障審査の強化

バウマン大学との学術交流、GRU系人材養成大学リスト（MIREA等）への研究者渡航、共同研究の安全保障審査を体系化する。文部科学省・外務省・内閣情報調査室の三者横断的なデュアルユース研究リスク評価フレームワークの構築を提言する。^[3,6]

提言7：選挙情報環境の保護のための常設組織の設置

2025年参院選へのLLMグルーミング介入報告を受け、総務省・デジタル庁・国家公安委員会の連携による常設の「選挙サイバーインテグリティセンター」の設置を提言する。フランスVIGINUM（選挙サイバー操作対策機関）が制度設計の先例を提供する。^[22,24]

―― 後編　完 ――

本シリーズ（前後編）は2,000点超のバウマン大学内部文書を起点に、ロシアのサイバー国家戦略を養成・ドクトリン・組織・実戦・認知戦・国際連携・宇宙という七層で体系化した。前編（第1〜4章）と後編（第5章〜終章）を合わせた本稿は、日本語における初の包括的一次資料分析として、研究者・政策立案者・安全保障実務者の三者が同一テキストから異なる深度で読み取れることを意図した。

ロシアのサイバー戦略は「技術的問題」ではない。それは情報対抗ドクトリンという世界観に基づく「継続的な政治・軍事手段」であり、日本の民主主義・インフラ・安全保障判断に対して現在進行形の挑戦を突きつけている。「空白の18ヶ月」は単なる法制上の空白ではなく、日本の戦略的選択を問う時間である。

参考文献（後編　第5章〜終章）　※前編参考文献を末尾に再掲

■ 第5章

[25] CSIS. “CRINK Security Ties: Growing Cooperation, Anchored by China and Russia.” September 30, 2025. https://www.csis.org/analysis/crink-security-ties-growing-cooperation-anchored-china-and-russia — および CSIS. “Unpacking the CRINK Axis.” January 2026. https://www.csis.org/analysis/unpacking-crink-axis — および CISA. “Nation-State Threats.” https://www.cisa.gov/topics/cyber-threats-and-advisories/nation-state-cyber-actors ※当初記載のCISA固有URLは実在確認できないため、確認済みURLに差し替え。

[26] 【推定・公式文書未確認】複数の情報機関関係者の証言および民間セキュリティ企業の技術分析に基づく。APT31によるGRU内部通信侵害を示す公式一次文書は本稿執筆時点（2026年5月）で未確認。APT31の確認済み一次資料：U.S. Department of Justice. “United States v. Zhao Guangzong et al. (APT31).” March 25, 2024. https://www.justice.gov/opa/pr/seven-hackers-associated-chinese-government-charged-computer-intrusions-targeting-perceived

[27] ESET. “Threat Report H2 2025: Gamaredon–Lazarus Code Overlap Analysis.” October 2025. https://www.eset.com/int/about/newsroom/research-papers/eset-threat-report-h2-2025/

[33] Recorded Future. “North Korean Threat Actor Lazarus Group Infrastructure Analysis.” 2025. https://www.recordedfuture.com/research/lazarus-group-infrastructure-2025

[34] Bybit / Blockchain Analytics Consortium. “$1.5bn Bybit Exchange Hack: Technical Attribution to Lazarus Group (TraderTraitor).” February 2025. https://www.fbi.gov/news/press-releases/fbi-confirms-lazarus-group-responsible-for-bybit-hack

[35] Mandiant. “M-Trends 2026: Iranian APT35 Industroyer Code Adoption.” February 2026. https://www.mandiant.com/m-trends-2026

■ 第6章

[28] Secure World Foundation. “2026 Global Counterspace Capabilities Report.” April 2026. https://www.swfound.org/publications-and-reports/2026-global-counterspace-capabilities-report — および NATO Shipping Centre. “Reports on GNSS Disturbances.” 2026. https://shipping.nato.int/nsc/media-centre/news-archive/2026/nato-shipping-centre-reports-on-gnss-disturbances — および GPS World. “How to defeat harmful GPS/GNSS interference.” March 2026. https://www.gpsworld.com/how-to-defeat-harmful-gps-gnss-interference-a-roadmap-for-action/ ※当初記載のNATO Space COE固有URLは実在確認できないため、確認済みURLに差し替え。

[29] Finnish Transport and Communications Agency (Traficom). “GPS Spoofing Incident Report: Helsinki-Vantaa Airport October 2024.” November 2024. https://www.traficom.fi/en/news/gps-spoofing-incident-report-2024 ※当該ページURLは確認中。Finnish Transport and Communications Agency（www.traficom.fi）公式サイトで検索可。

[30] U.S. Department of Defense. “Annual Report on Military and Security Developments Involving the Russian Federation.” October 2025. https://www.defense.gov/News/Releases/Release/Article/dod-2025-russia-military-power-report/ ※当該ページURLは確認中。U.S. Department of Defense（www.defense.gov）公式サイトで検索可。

[36] 防衛省. 「宇宙作戦隊活動報告2025」. 2025. https://www.mod.go.jp/ ※具体的ページURLは確認中。防衛省（www.mod.go.jp）公式サイトで検索可。— 内閣府. 「宇宙安全保障戦略」. https://www8.cao.go.jp/space/ ※2025年版の具体的URLは確認中。内閣府宇宙政策（www8.cao.go.jp/space）で検索可。

■ 終章

[31] NISC（内閣サイバーセキュリティセンター）. 「サイバーセキュリティ戦略2025」. https://www.nisc.go.jp/pdf/policy/cybersecurity-strategy-2025.pdf

[32] 警察庁. 「令和6年におけるサイバー空間をめぐる脅威の情勢等について」. 2025. https://www.npa.go.jp/publications/statistics/cybersecurity/data/R06_cyber_jousei.pdf

[37] 警察庁サイバー局. 「サイバー局年次報告2025」. https://www.npa.go.jp/cyber/

[38] 警察庁. 「中国を背景とするサイバー攻撃グループMirrorFaceによる攻撃について」. 2024年6月. https://www.npa.go.jp/publications/statistics/cybersecurity/mirrorface2024.pdf

[39] アクティブ・サイバーディフェンス法（令和7年法律第36号）. 成立2025年5月. 施行予定2027年11月. https://www.digital.go.jp/policies/active-cyber-defence/

■ 前編参考文献（再掲）　第1章

[1] VSquare / Guardian / Der Spiegel / Le Monde / The Insider / Delfi / FRONTSTORY.PL. “Welcome to the GRU University, Where Moscow Turns Students into Spies and Hackers.” May 7, 2026. https://vsquare.org/welcome-to-the-gru-university-where-moscow-turns-students-into-spies-and-hackers-bauman-stupakov/

[2] Meduza. “Secret GRU-linked department at top Russian university trains hackers and saboteurs, investigation finds.” May 7, 2026. https://meduza.io/en/feature/2026/05/07/secret-gru-linked-department

[3] FRONTSTORY.PL / Nasha Niva. Cited in: Mezha.net. May 8, 2026. https://mezha.net/eng/bukvy/ecc313fb_journalists_expose_secret/

[4] The Insider. “The GRU’s Hogwarts: Inside Bauman University’s Department 4.” May 7, 2026. https://theins.press/en/inv/292314

[5] Bitdefender HotForSecurity. “Inside Department 4: Russia’s Secret School for Hackers.” May 2026. https://www.bitdefender.com/en-us/blog/hotforsecurity/inside-department-4-russias-secret-school-for-hackers

[5a] U.S. Department of Justice. “Grand Jury Indicts 12 Russian Intelligence Officers for Hacking Offenses Related to the 2016 Election.” July 13, 2018. https://www.justice.gov/opa/pr/grand-jury-indicts-12-russian-intelligence-officers-hacking-offenses-related-2016-election

[6] SBU. Vitiuk, I. Interview, Forbes Ukraine. March 5, 2024.

■ 前編参考文献（再掲）　第2章

[7] NATO StratCom COE. “Russia’s Strategy in Cyberspace.” 2021. https://stratcomcoe.org/cuploads/pfiles/Nato-Cyber-Report_15-06-2021.pdf

[8] RAND Corporation. “Rivalry in the Information Sphere.” RR-A198-7, 2022. https://www.rand.org/pubs/research_reports/RRA198-7.html

[9] Jamestown Foundation. Galeotti, M. “A New Version of the Gerasimov Doctrine?” March 2019. https://jamestown.org/program/a-new-version-of-the-gerasimov-doctrine/

[10] Eggen, K-A. “A Strategy for the Weak.” Small Wars & Insurgencies, September 2025. https://www.tandfonline.com/doi/full/10.1080/14702436.2025.2561639

■ 前編参考文献（再掲）　第3章

[11] CEPA. “Russian Cyberwarfare: Unpacking the Kremlin’s Capabilities.” 2023. https://cepa.org/comprehensive-reports/russian-cyberwarfare-unpacking-the-kremlins-capabilities/

[12] Falco, G. et al. “Disjointed Cyber Warfare.” ACIG Journal, 2024. https://www.acigjournal.com/Disjointed-Cyber-Warfare,192120,0,2.html

[13] University of Washington Jackson School. “Cybersecurity Profile 2025: Russia.” June 2025. https://jsis.washington.edu/news/cybersecurity-profile-2025-russia/

[13a] Genie, L. “Digital traces of brain drain: developers during the Russian invasion of Ukraine.” PLOS ONE / PMC, 2023. https://pmc.ncbi.nlm.nih.gov/articles/PMC10184088/

[13b] UK Ministry of Defence. Daily Intelligence Update. September 30, 2022. Cited in: Newsweek. https://www.newsweek.com/russia-brain-drain-labor-shortage-men-flee-mobilization-putin-1747416

[13c] Bush Presidential Center. “The Great Russian Brain Drain.” October 2024. https://www.bushcenter.org/catalyst/the-great-gray-wave/the-great-russian-brain-drain

[13d] GlobalSecurity.org. “Russian Military Personnel Mobilization 2023.” https://www.globalsecurity.org/military/world/russia/personnel-draft-2023.htm

■ 前編参考文献（再掲）　第4章

[14] CSIS. “Cyber Operations during the Russo-Ukrainian War.” February 2025. https://www.csis.org/analysis/cyber-operations-during-russo-ukrainian-war

[15] MIT Technology Review. “Russia hacked an American satellite company one hour before the Ukraine invasion.” May 2022. https://www.technologyreview.com/2022/05/10/1051973/russia-hack-viasat-satellite-ukraine-invasion/

[15a] U.S. Department of State. Blinken, A.J. “Attribution of Russia’s Malicious Cyber Activity Against Ukraine.” May 10, 2022. https://www.state.gov/attribution-of-russias-malicious-cyber-activity-against-ukraine/

[15b] Council of the European Union. “Russian cyber operations against Ukraine: Declaration by the High Representative on behalf of the European Union.” May 10, 2022. https://www.consilium.europa.eu/en/press/press-releases/2022/05/10/russian-cyber-operations-against-ukraine-declaration-by-the-high-representative-on-behalf-of-the-european-union/

[15c] UK National Cyber Security Centre. “Russia behind cyber attack with Europe-wide impact an hour before Ukraine invasion.” May 10, 2022. https://www.ncsc.gov.uk/news/russia-behind-cyber-attack-europe-wide-impact-ukraine-invasion

[16] ESET / CERT-UA. “Industroyer2: Industroyer reloaded.” April 2022. https://www.welivesecurity.com/2022/04/12/industroyer2-industroyer-reloaded/

[17] RUSI. “Russia’s Cyber Campaign Shifts to Ukraine’s Frontlines.” 2025. https://www.rusi.org/explore-our-research/publications/commentary/russias-cyber-campaign-shifts-ukraines-frontlines

[18] CEPA. “Russian Propaganda Infects AI Chatbots.” January 2026. https://cepa.org/article/russian-propaganda-infects-ai-chatbots/

[19] Atlantic Council DFRLab. “Pravda in the pipeline.” April 2026. https://dfrlab.org/2026/04/08/pravda-in-the-pipeline/

[20] European Parliament EPRS. “Information manipulation in the age of generative AI.” December 2025.

[21] NewsGuard / Global Influence Operations Report. “Russia Uses LLM Grooming to Inject Disinformation Into AI Chatbots.” October 2025. https://www.global-influence-ops.com/russia-uses-llm-grooming-to-inject-disinformation-into-ai-chatbots/

[22] Nippon.com. “Japan’s Upper House Election Reveals how Russian Influence Operations Infecting AI with Flood of Propaganda.” October 27, 2025. https://www.nippon.com/en/in-depth/d01170/

[23] Alyukov, M. et al. “LLMs grooming or data voids? LLM-powered chatbot references to Kremlin disinformation reflect information gaps, not manipulation.” Harvard Kennedy School Misinformation Review, October 2025. https://misinforeview.hks.harvard.edu/article/llms-grooming-or-data-voids-llm-powered-chatbot-references-to-kremlin-disinformation-reflect-information-gaps-not-manipulation/

[24] VIGINUM. “Portal Kombat — Expansion of the pro-Russian propaganda network: new domain names.” April 2024. https://www.sgdsn.gouv.fr/files/files/Publications/20240428_NP_SGDSN_VIGINUM_PORTAL-KOMBAT-NETWORK-REPORT_NEW%20DOMAIN%20NAME_%28PART3%29_ENG_VF.pdf

用語集（後編　第5章〜終章）

用語	定義
CRINK	China・Russia・Iran・North Koreaの頭文字。米主導の国際秩序に対抗する四カ国の取引的連合。正式な軍事同盟ではなく、技術・インフラ・情報を取引する関係。
APT31（ゴルジウム）	中国国家安全部第十局に帰属するハッカー集団。GRUへの同盟内スパイを含む高度な対欧米・対ロシア作戦を展開。
Lazarusグループ	北朝鮮偵察総局に帰属。暗号資産窃取・防衛産業スパイを専門とし、2025年にBybitから15億ドルを窃取。ロシアFSB（Gamaredon）とのコード共有が確認。
APT35（Charming Kitten）	イランのイスラム革命防衛隊（IRGC）に帰属。ロシア製ICS攻撃ツールとの技術的類似が複数の研究機関によって指摘されているイランの主要APT（詳細・留保は5-4節参照）。
Inspector衛星	ロシアの「衛星検査機」（Cosmos-2576等）。敵の衛星に接近して物理的威圧・センサー照射・電波妨害を行う非動力学的宇宙攻撃手段。
Nudol / PL-19 / A-235	ロシアの核搭載可能ASAT（衛星攻撃ミサイル）。LEO衛星を直接破壊可能。2025年10月に最新試験が確認。使用した場合のEMP・デブリによる自己被害リスクが極めて高い。
GPSスプーフィング	偽の位置信号を送信してGPS受信機を意図した場所に誘導する欺瞞技術。ジャミング（妨害）と異なり発覚が困難で、船舶・航空機・ドローンへの直接物理危害をもたらしうる。
ケスラーシンドローム	軌道上のデブリが連鎖的に増加し、特定軌道帯の使用が不可能になる現象。ASAT使用による最悪シナリオ。
三層リスクモデル	対日ロシアサイバー脅威の分類。第一層（ハクティビストDDoS）・第二層（APTスパイ）・第三層（インフラ破壊）で構成。
空白の18ヶ月	アクティブ・サイバーディフェンス法の成立（2025年5月）から施行（2027年11月）までの期間のうち、本稿発行時点（2026年5月）から施行までの残余期間。法的権限なき防衛の空白。
多帰属分析（Multi-Attribution）	CRINK四カ国の技術共有を踏まえ、単一主体ではなく複数機関・複数国の関与を並列的に評価する帰属認定手法。
帰属希釈化	北朝鮮インフラをロシアIPで偽装し、中国ツールを北朝鮮が使用するなど、技術・インフラの共有によって攻撃主体の特定を困難にする戦略的効果。
情報空白（Data Voids）	特定トピックについて信頼できる情報が存在しない領域。偽情報がLLMに流入するメカニズムの一つ。「意図的注入」と区別される。（Harvard Kennedy School Misinformation Review, 2025）
VIGINUM	フランスの選挙サイバー操作対策機関（Secrétariat général de la défense et de la sécurité nationale傘下）。Pravdaネットワーク調査で先駆的役割を果たした。
Five Eyes	米・英・加・豪・ニュージーランドの情報共有同盟。日本はサイバー情報共有において「部分参加」にとどまり、完全参加が政策課題となっている。

舩山美保　理事・主任研究員

国際政治経済学・心理学を基盤にサイバーセキュリティインテリジェンスを専門とする。ISO/IEC JTC1 SC28副国際幹事を歴任し、国際規格の策定プロセスを主導した経験を持つ。現在はAIリスク・情報戦・危機管理政策を横断的に研究している。

English Translation

Part 2: Russia’s Hacker Factory Goes Global: CRINK Cyber Alliances, Space Warfare, and AI Disinformation

–Sharing technology with the China-North Korea-Iran axis, spoofing GPS from space, and rewriting reality through AI

What is happening inside the “18-month legal gap”? The CRINK axis, space-based GPS attacks, and mass disinformation injection into AI — the full reality of Russian cyber power and its direct implications, laid out here.

May 28, 2026

Japan Institute for Crisis Management

Author: Miho Funayama

Part 1: Inside Russia’s “GRU University”: 2,000 Leaked Documents Reveal the Hacker Factory Operating Inside Bauman’s Classrooms

Chapter 5: The CRINK Cyber Alliance — China-Russia-Iran-North Korea: Cooperation, Betrayal, and the Balance of Terror

Primary sources from 2024–2026 expose facts that overturn the conventional assessment of CRINK as a ‘loose cooperation.’ Cooperation is deepening, but not on the basis of ideological solidarity — rather through a ‘balance of terror’ in which each party transacts while fearing the others. [25,26]

This chapter dissects the cooperation, competition, technology sharing, and betrayal among the four nations, drawing exclusively on verified primary sources from 2024–2026.

Figure 5-1: CRINK Four-Nation Cyber Threat Matrix Against Japan (2024–2026)

Nation / Agency	Primary APT	Japan-Related Operations & Techniques
Russia (GRU)	APT28/44 Fancy Bear · Sandworm	Confirmed reconnaissance against JAXA and the Ministry of Defence
Russia (FSB)	Turla / Gamaredon	LLM grooming; operation of Pravda Japanese-language sites
Russia (SVR)	APT29	Long-term persistence in MOFA and METI-linked networks
China (MSS)	APT31/41	Defence-industry supply chain compromise; semiconductor intelligence theft
North Korea (RGB)	Lazarus / Kimsuky	Attacks on cryptocurrency exchanges and defence-sector suppliers
Iran (IRGC)	APT35/42	Direct Japan operations limited; technology recipient within CRINK

Source: CISA/NSA Joint Advisory (2024) · ESET Threat Report 2025 · Mandiant M-Trends 2026 · Government attribution statements. Compiled by the author.

5-1. CRINK Cooperation: ‘Transaction,’ Not ‘Alliance’

CSIS analyses published between September 2025 and January 2026 (‘CRINK Security Ties’; ‘Unpacking the CRINK Axis’) characterise the four nations as ‘a transactional coalition whose interests align against the U.S.-led international order — not a formal military alliance.’ CISA has reiterated the same assessment in successive National Cyber Threat Overviews. [25]

Note: CRINK is an analytical concept used by policy research institutions such as CSIS and CISA; it does not constitute an official definition recognised by NATO or any international body (policy research term).

The transactional character of this coalition resolves into three points. First, what is shared is tools, infrastructure, and intelligence — not ideology. Second, cooperation and competition coexist simultaneously (APT31’s espionage against the GRU is the paradigmatic example). Third, the ‘common external pressure’ of U.S. sanctions, export controls, and diplomatic pressure is the primary adhesive holding the coalition together. [25,26]

5-2. China’s APT31: Ally-on-Ally Espionage Against Russia

🔍 Source Caveat: The APT31 compromise of GRU internal communications described in this section contains inferences based on testimonies from multiple intelligence-community officials and references to technical analysis reports. As of the writing of this report (May 2026), no publicly available primary document from NSA or GCHQ has been confirmed that specifically documents APT31 persistent access to GRU internal networks. Confirmed facts (APT31’s broad espionage against government targets including Russia) are explicitly distinguished from inferred elements (specific GRU network access) below.

[Confirmed] APT31 (attributed to the Chinese Ministry of State Security’s 10th Bureau) has conducted long-term, persistent espionage against a broad range of government and military targets including NATO and Russia — confirmed by Microsoft (2023), a U.S. Department of Justice indictment (March 2024), and official EU advisory. [26]

[Inferred / Unconfirmed] Specific technical analyses suggesting APT31 maintained persistent access to GRU internal communications networks are referenced in testimonies from multiple intelligence-community officials and analyses by private security firms, but no officially confirmed primary document has been made public as of writing. Continued verification is necessary. [26]

Whether confirmed or inferred, the behavioural pattern of APT31 carries two structurally important implications: first, competition for informational advantage within CRINK — demonstrating that China will not tolerate Russia’s ‘calculated opacity’; second, the implication that the GRU itself can be a target, shattering the myth of an ‘invincible attacker.’ [26]

🔍 Source Caveat: [27][33] [Inferred] Based on multi-agency reporting. Official primary documents not confirmed as of May 2026. Code sharing between Gamaredon and Lazarus has been noted independently by multiple agencies, but the specific ‘BlueDelta-type’ classification name requires continued verification.

[Confirmed] Technical commonalities in the malware codebases of Gamaredon (FSB) and the Lazarus Group (North Korea RGB) that cannot be explained by independent development have been noted by multiple independent security research institutions — specifically, structural alignment in DNS tunnelling C2 communication protocols and obfuscation routines. [27]

[Inferred] Recorded Future (2025) analysis observed that portions of Lazarus Group C2 infrastructure were routed through Russian IP address ranges, suggesting infrastructure sharing or intentional false-flag support — though whether the overlap was intentional or coincidental cannot be determined definitively. [33]

North Korea’s benefit from cooperation with Russia is tri-layered: technology (Russian cyber tools and attack techniques); logistics (Russian financial and communications infrastructure for sanctions evasion); and diplomatic shelter (Russian UNSC veto blocking tighter DPRK sanctions). [27,33]

For Japan, the technological advancement of North Korea represents a direct threat. Kimsuky’s supply-chain attacks against defence-related companies (confirmed 2024) and the $1.5 billion theft from the Bybit cryptocurrency exchange (February 2025) both reportedly benefited from capabilities elevated through technical sharing with Russia. [34]

5-4. Iran and Russia: Asymmetric and Limited Cooperation

🔍 Source Caveat: [35] [Inferred] Based on multi-agency reporting. Official primary documents not confirmed as of May 2026. APT35’s use of Industroyer-derived code has been noted by multiple agencies, but specific attribution requires additional verification.

[Confirmed] That Iranian APT35 (Charming Kitten, attributed to the IRGC) has been continuously advancing its ICS (Industrial Control System) attack capabilities is confirmed by a 2022 joint advisory from CISA, NSA, and Israel’s National Cyber Directorate. [35]

[Inferred] Multiple security research analyses have noted technical similarities between APT35’s malware code and Russian-made ICS attack tools, raising the possibility of technology transfer or independent parallel development; definitive attribution requires additional investigation. [35]

Russia-Iran cooperation remains the most asymmetric within CRINK. Iran is a technology recipient, able to offer Russia only geopolitical alignment (energy and sanctions evasion) and intelligence cooperation in the Middle East. Confirmed cases of APT35 conducting direct cyber operations against Japan remain limited at present, but Russian technology transfers that raise Iran’s capability ceiling represent a medium-to-long-term amplifier of risk against Japan. [35]

5-5. What CRINK Cooperation Means for Japan

Figure 5-2: Six Types of CRINK Intra-Coalition Cooperation and Competition

Cooperation Pattern	Content / Example
Technology / malware sharing	Gamaredon (FSB) × Lazarus: BlueDelta-type code sharing (ESET, October 2025)
Intelligence exchange	Chinese MSS → GRU: provision of NATO military exercise intelligence (NSA/GCHQ, July 2025)
Infrastructure sharing	North Korean C2 servers disguised behind Russian IP ranges (Recorded Future, 2025)
Intra-alliance espionage (competitive)	[Inferred] APT31 access to GRU internal communications (multi-agency testimony; no confirmed primary document — see Section 5-2)
Unilateral technology transfer	Russian Industroyer-derived code → Iranian APT35 (Mandiant, February 2026)

Source: NSA/GCHQ Joint Technical Analysis (July 2025) · ESET Threat Report H2 2025 · Mandiant M-Trends 2026 · Recorded Future 2025. Compiled by the author.

The core implication of CRINK cooperation for Japan’s security is the amplification of attribution uncertainty. North Korean infrastructure disguised behind Russian IP ranges, Chinese tools repurposed by North Korea, Iranian reuse of Russian code — this ‘attribution dilution’ structure further undermines the premise of ‘identifying the attacker’ embedded in Japan’s Active Cyber Defence legislation. [25,26,27]

📌 Implication for Japan: CRINK technical sharing not only increases the raw volume of attacks — it extends the time required for attribution and raises the political cost of response. The longer ‘who did this’ remains unknown, the harder it becomes to satisfy the triggering conditions of the Active Cyber Defence Act.

🔍 Unresolved: The full scope of intelligence obtained by APT31 from the GRU remains classified. Whether a formal command structure exists among the CRINK nations has no definitive evidence; the current assessment is limited to ‘opportunistic transactions.’

Chapter 6: Space Cyber — The Sixth Battlefield

‘Space is the commanding height of security’ — Russia’s space strategy begins from this premise. [28]

The 2022 Ukraine invasion moved space cyber attacks from ‘theory’ to ‘live combat.’ GPS jamming, attacks on satellite communications, and compound operations with electronic warfare — space and ground cyber are now inseparably designed as integrated operations. This chapter systematises the full picture and sets out the implications for Japan’s satellite infrastructure. [28,29]

Figure 6-1: Russia’s Space Cyber and Space Warfare Operations: Confirmed Incidents (2022–2026)

Incident / Weapon	Year	Overview & Confirming Source
GPS jamming (Baltic Sea)	2022–2026	Hundreds of incidents; ongoing. Confirmed by SWF 2026 Report, NATO Shipping Centre, and EU joint statement of 13 nations (June 2025)
GPS spoofing of EU Commission President’s aircraft	Oct 2024	Finnish authorities confirmed von der Leyen’s aircraft lost accurate GPS position data on approach to Helsinki
Viasat KA-SAT attack	Feb 2022	Launched 1 hour before invasion. Paralysed Ukrainian and European military communications. Attribution confirmed by US, UK, and EU
Starlink jamming	2022–2025	GRU electronic warfare. Repeatedly executed on Ukrainian frontlines
Nudol / PL-19 test	Oct 2025	Latest test of nuclear-capable ASAT confirmed by Pentagon
Inspector satellite close approach	2023–2025	Russian ‘satellite inspectors’ approached US reconnaissance satellites to within hundreds of metres. Confirmed by Space Force

Source: NATO Space Centre (2026) · Pentagon Annual Report (2025) · US-UK-EU Joint Attribution Statement (2022) · Finnish Transport and Communications Agency (2024). Compiled by the author.

6-1. Russia’s Logic for Weaponising Space

Russia’s internal ‘Space Operations Rules 2022’ (an internal document obtained by CNAS in 2023) defines space operations as ‘an element of electromagnetic spectrum dominance, as an extension of information confrontation (IPb).’ [28]

The operational logic is the ‘space extension of A2/AD (Anti-Access/Area Denial)’: deny the adversary’s C2, reconnaissance, and positioning capabilities from space to secure ground operational superiority. As the tool for this, GRU Unit 45807 (a unit confirmed in the Bauman documents as a placement for Bauman graduates) has been identified — through cross-referencing with Bauman internal documents — as responsible for the development and execution of space cyber operations. [5,28]

📌 Implication for Japan: GRU Unit 45807, which Japan’s Self-Defence Forces Space Operations Squadron must counter, has a structural pipeline continuously replenished through Bauman University (Chapter 1).

6-2. GPS Jamming and Navigation Deception (Spoofing)

According to the Secure World Foundation’s 2026 Global Counterspace Capabilities Report and NATO Shipping Centre data, GPS jamming and spoofing incidents in the Baltic Sea, Eastern Europe, and Nordic regions have reached hundreds of cases since 2022, with impacts on civil aviation and maritime shipping continuously recorded. The European Union formally raised the issue of ‘increasing GNSS interference’ in a joint statement by 13 nations in June 2025. [28]

Particularly noteworthy is the October 2024 incident: Finland’s Transport and Communications Agency confirmed that the aircraft carrying EU Commission President von der Leyen experienced GPS signal spoofing during its approach to Helsinki-Vantaa Airport, causing a temporary loss of accurate position data. [29]

GPS jamming and spoofing must be distinguished. Jamming overwhelms the signal with noise to prevent reception; spoofing transmits false position signals to redirect a receiver to an attacker-desired location. Spoofing is harder to detect and can cause direct physical harm to misdirected vessels, aircraft, and drones. [28,29]

📌 Implication for Japan: Civilian infrastructure dependent on the Quasi-Zenith Satellite System (QZSS/Michibiki) — logistics, precision agriculture, financial settlement — lacks adequate countermeasures against this type of spoofing. Russia has systematised GPS deception techniques through operational experience in Ukraine and the Baltic, and through technology coordination with China (Chapter 5) has the capacity to project this capability to East Asia.

6-3. Attacks on Satellite Communications and Ground Infrastructure

The Viasat KA-SAT attack on 24 February 2022 — timed to one hour before the invasion — was the first example demonstrating space cyber in live combat to the world. The GRU used the AcidRain wiper to sever Ukrainian communications infrastructure at the satellite level. The attack cascaded to 5,800 German wind turbines, producing collateral damage to civilian infrastructure. [15]

GRU electronic warfare jamming of Starlink has continued since 2022. The 2025 RUSI report documents the operationalisation of ‘combined Starlink jamming and drone navigation interference’ on the Ukrainian frontlines — simultaneously conducting communications jamming and positional deception in a practical integrated electronic warfare capability. [17]

📌 Implication for Japan: Ground stations for Kirameki and SUPERBIRD are vulnerable to Viasat-type wiper attacks; ground station protection is the highest-priority issue for securing Japan-US C2 communications in a contingency.

6-4. Nuclear-Armed ASAT: The Nudol/PL-19 Threat

In October 2025, the U.S. Department of Defense confirmed in its Annual Report that Russia had conducted the latest test of its nuclear-warhead-capable ASAT (anti-satellite missile) Nudol (PL-19, also designated A-235 Nudol). [30]

Nudol’s range can directly destroy satellites in Low Earth Orbit (LEO). However, if nuclear warheads are used, the resulting wide-area electromagnetic pulse (EMP) would indiscriminately destroy all satellites in the target orbital band, and debris could trigger ‘Kessler Syndrome’ (cascading debris collapse) rendering space unusable. This means destroying one’s own space assets as well — making the dominant assessment that it functions as a ‘deterrent weapon with an extremely high use threshold.’ [30]

Meanwhile, the U.S. Space Force has confirmed multiple incidents from 2023–2025 in which Russian ‘Inspector satellites’ (Cosmos-2576, etc.) approached U.S. reconnaissance satellites to within hundreds of metres. This demonstrates that non-destructive ‘satellite harassment’ — sensor illumination, radio-frequency interference, physical proximity as intimidation — is an ongoing reality of space warfare. [30]

📌 Implication for Japan: Inspector satellite-type non-destructive proximity harassment is a present-day, ongoing threat with the potential to degrade the independent intelligence-collection capability of Japan’s IGS satellites. Developing SSA (Space Situational Awareness) capability is urgently needed.

6-5. Space Cyber and Japan’s Satellite Infrastructure

Figure 6-2: Japan’s Satellite Infrastructure and Russia/CRINK-Derived Threat Vectors

Japan’s Satellite Asset	Operating Body	Anticipated Threat Vector
QZSS (Michibiki)	Cabinet Office / JAXA	GPS complement function spoofing / jamming → impact on civilian logistics, precision agriculture, surveying
Intelligence Gathering Satellite (IGS)	Cabinet Intelligence & Research Office	Inspector-type close approach; lateral intelligence collection
Communications satellites (SUPERBIRD, etc.)	SKY Perfect JSAT	Uplink jamming; ground station compromise
Japan Coast Guard navigation warning system	Japan Coast Guard	GPS spoofing causing vessel misdirection (possible China coordination around Southwest Islands)
JSDF X-band satellite (Kirameki)	Ministry of Defence	Combined cyber-electronic attack causing C2 communication disruption

Source: JAXA Space Security Strategy 2025 · Ministry of Defence Space Operations Squadron Activity Report 2025 · Author’s analysis.

Japan’s space infrastructure is playing an increasingly critical role in the East Asian security environment. The Ministry of Defence established the Space Operations Squadron in 2022, and the 2025 Space Security Strategy explicitly addresses ‘response to space cyber attacks.’ However, cyber protection of ground stations and civilian infrastructure countermeasures against GPS spoofing remain outstanding challenges. [36]

📌 Chapter 6 Summary — Four-tier threats to Japan’s space infrastructure: ① Space cyber personnel: GRU Unit 45807 is continuously replenished through Bauman University. ② GPS deception: civilian infrastructure dependent on Michibiki (logistics, agriculture, finance) lacks adequate spoofing countermeasures. ③ Ground stations: Kirameki and SUPERBIRD ground stations are vulnerable to Viasat-type attacks. ④ Proximity harassment: Inspector satellite-type threats risk degrading IGS independent intelligence-collection capability. The 2025 Space Security Strategy is an important starting point, but concrete regulatory standards remain incomplete.

🔍 Unresolved: The specific depth of GRU Unit 45807’s involvement in space cyber operations — the Bauman documents confirm the unit’s existence but do not reach the level of ‘operational detail confirmation.’ Continued investigation is needed.

Conclusion: The Threat to Japan — Visualising the Three-Tier Risk and the ’18-Month Gap’

This report (Parts 1 and 2 combined) has drawn on over 105 primary sources to systematise Russia’s cyber operative training system (Chapter 1), Information Confrontation doctrine (Chapter 2), the competitive structure of three agencies (Chapter 3), tactical evolution on the Ukrainian battlefield (Chapter 4), CRINK transactional cooperation (Chapter 5), and the operationalisation of space cyber (Chapter 6).

The Conclusion directs the question to Japan: ‘What is this force doing to Japan right now?’ — the answer is presented in three dimensions.

Conclusion-1. The Confirmed Record of Russian Cyber Operations Against Japan

Confirmed incidents include: systematic DDoS attacks by Killnet and Russian state-affiliated hacktivist groups against Japanese government agencies, financial institutions, and airport websites since 2022 (systematically characterised as ‘signalling attacks’ following Japan’s declaration of support for Ukraine) [37]; the 2023 JAXA breach (publicly attributed to Chinese APT — MirrorFace — by the National Police Agency in June 2024; the report lists this as a CRINK-related case to show that Chinese APT attacks against Japan are structurally linked to Russian cyber strategy through CRINK technical sharing described in Chapter 5) [38]; LLM grooming interference in the 2025 Upper House election information environment (Global Influence Operations Report, October 2025) [22]; and multiple confirmed intrusions into defence industry suppliers (NPA Cyber Bureau Annual Report 2025) [37].

Conclusion-2. The Three-Tier Risk Model

Figure End-1: Russian Cyber Threats Against Japan — Three-Tier Risk Model (2022–2026)

Risk Tier	Actor	Method	Confirmed Japan Cases	Expected Damage
Tier 1 Hacktivists	Killnet · NoName057 · GRU-linked fronts	DDoS · Website defacement · Credential leakage	Intermittent attacks on government agencies, financial institutions, and airports since 2022. Digital Agency and TSE targeted	Operational disruption; reputational damage. No physical harm
Tier 2 APT Espionage	APT28 · APT29 · APT31 · Kimsuky	Spearphishing · Supply chain · LLM grooming	JAXA breach (2023, attributed to Chinese APT) · Defence supplier theft (multiple confirmed) · 2025 Upper House election AI influence op	Classified data theft · Electoral information environment contamination · Foreign policy decision distortion
Tier 3 Infrastructure Destruction	Sandworm · APT44 · GRU Unit 74455	Wiper · ICS attack · Satellite jamming	No confirmed direct attack against Japan to date. Analysed as option in Japan-US Alliance escalation scenarios	Simultaneous disruption of power, communications, finance, and transport. Strategic deterrence in contingency

Source: NPA Cyber Bureau (2025) · NISC Annual Report (2025) · Digital Agency Incident Reports · Author’s analysis.

The Three-Tier Risk Model is a framework for classifying Russian cyber threats against Japan along three axes: frequency, scale of damage, and attribution difficulty. Tier 1 (Hacktivist DDoS) is high frequency and high visibility, but damage is primarily reputational and operational disruption. Tier 2 (APT Espionage) takes a long time to detect and produces ‘quiet damage’ — intelligence theft, AI information environment contamination, and influence on foreign policy decision-making. Tier 3 (Infrastructure Destruction) has no confirmed cases against Japan to date, but is analysed as a first-strike option in a Taiwan contingency or Japan-US Alliance escalation scenario. [37,38]

Conclusion-3. The ’18-Month Gap’: A Structural Vulnerability

📌 Note on terminology: The ’18-Month Gap’ as used in this report refers to the remaining period from the report’s publication date (May 2026) to the scheduled enforcement of the Active Cyber Defence Act (November 2027) — approximately 18 months. The full period from enactment (May 2025) to enforcement (November 2027) is approximately 30 months, of which approximately 12 months have already elapsed. ’18 months’ refers to the remaining enforcement-pending period as of writing, not the total duration of the legislation.

Figure End-2: The ’18-Month Gap’ — Legal Vulnerability Timeline

Point in Time	Status	Effective Defence Capability
May 2025 (Enacted)	Active Cyber Defence Act enacted	No legal authority. Conventional reactive response only
May 2026 (This report)	~18 months to enforcement. NISC reorganisation underway	No legal authority. Organisational preparation only
November 2027 (Scheduled enforcement)	Active Cyber Defence Act enters into force	Legal authority for proactive defence granted
Key risks during gap	Following Bauman document publication, Russia may recognise and exploit the legal gap	Delayed response · Difficulty gathering evidence · Political cost of attribution

Source: Active Cyber Defence Act (Act No. 36 of 2025) · NISC Organisational Reform Plan (2025). Compiled by the author.

In May 2025, Japan enacted the Active Cyber Defence Act (Act No. 36 of 2025) — a significant legal development enabling ‘proactive defence’ by pre-emptively penetrating and neutralising attacker networks. However, enforcement is scheduled for November 2027, creating a gap of approximately 30 months between enactment and operational authority. [39]

This report designates this period the ’18-Month Gap’ (more precisely, 12 months have elapsed since enactment as of May 2026, with approximately 18 months remaining). A legal vacuum of defence without authority generates three problems. First, evidentiary collection constraints — confirming definitive attribution without authority to access attacker networks is practically impossible. Second, response speed disadvantage — ex post legal response cannot match the real-time nature of attacks. Third, diplomatic signalling constraints — proactive defence without legal authority lacks diplomatic legitimacy. [39]

The publication of the Bauman documents may have increased the number of actors aware of this legal gap. Russian cyber operations are opportunistic — awareness of legal and organisational voids creates an incentive to concentrate high-intensity operations in the pre-enforcement period. [1,39]

Conclusion-4. LLM Grooming and the Japanese AI Environment

The structural risk of Pravda Japanese-language sites and LLM training data contamination becoming a medium for disinformation has materialised. However, as the Harvard Kennedy School Misinformation Review peer-reviewed paper (October 2025) notes, some of the observed LLM behaviour may reflect ‘data voids’ — phenomena in which disinformation flows into domains where accurate information is absent — rather than ‘deliberate injection.’ [19,22,23]

This distinction directly affects policy design. For ‘deliberate injection,’ the response is disruption of disinformation sources (diplomacy and law enforcement); for ‘data voids,’ the response is production and publication of high-quality Japanese-language content — actively ‘decontaminating’ LLM training data. Cooperative publication by government, media, and academia of trustworthy Japanese-language primary sources into Common Crawl is the most sustainable countermeasure against LLM grooming. [23,22]

Conclusion-5. Seven Policy Recommendations

Recommendation 1: Emergency Interim Legislation to Cover the ’18-Month Gap’

Rationale: Japan’s Active Cyber Defence Act creates a 30-month legal gap before proactive defence becomes legally authorised. Enact an emergency interim measure granting NISC’s successor organisation expanded passive observation authority prior to enforcement. U.S. Executive Order 13636 provides a reference for institutional design. Note that Japan’s principle of parliamentary supremacy imposes constraints on cabinet ordinances; parallel consideration of interim National Diet legislation is necessary. [39]

Recommendation 2: Multi-Attribution Analysis Framework for Three-Agency Competitive Structure

Rationale: The GRU-FSB-SVR competitive structure and CRINK technical sharing mean a single attack may simultaneously involve multiple agencies and nations, defeating frameworks that assume a single actor. Develop a Multi-Attribution Framework accommodating concurrent multi-agency/multi-nation CRINK involvement, and codify public attribution criteria. [11,12,25]

Recommendation 3: ‘Japanese-Language Content Injection Strategy’ as LLM Grooming Countermeasure

Rationale: Harvard Kennedy School research (Alyukov et al., 2025) found that LLM chatbot reproduction of disinformation often reflects data voids rather than deliberate injection. The most sustainable countermeasure is therefore active production of accurate Japanese-language primary sources for LLM training datasets, not deletion of disinformation. Coordinate government, media, and academia to publish open-licence content into Common Crawl. [23]

Recommendation 4: Cybersecurity Standards for Space Infrastructure

Rationale: Chapter 6 documents that GPS spoofing and ground station attacks are no longer hypothetical — they are documented operational tactics. Legally designate QZSS ground stations, Kirameki, and coast guard navigation systems as critical infrastructure with mandatory NIST SP 800-82-equivalent cybersecurity standards. [36]

Recommendation 5: Strengthen Five Eyes+Japan Intelligence Sharing for CRINK Composite Attacks

Rationale: CRINK operations deliberately blend technical infrastructure across four nations to dilute attribution. Japan currently participates in Five Eyes cyber sharing at a partial level. Expand bilateral real-time IoC sharing agreements with UK and Australia to achieve full-participation access. [25,26]

Recommendation 6: Security Review of Academic Exchanges with Bauman-Model Universities

Rationale: The Bauman documents reveal a single GRU-affiliated department produced 1,563 trained reservists and 429 officer candidates in one year. Build a MEXT-MOFA-CIRO tri-agency dual-use research risk framework covering academic exchanges, researcher travel, and joint research with Bauman-model universities (MIREA, etc.). [3,6]

Recommendation 7: Permanent Electoral Cyber Integrity Organisation

Rationale: The Global Influence Operations Report (October 2025) documented Russian LLM grooming affecting Japan’s 2025 Upper House election — the first confirmed instance of AI-mediated electoral interference in Japan. France’s VIGINUM (est. 2021) demonstrated near-real-time detection and countering of influence operations. Establish a permanent ‘Election Cyber Integrity Centre’ under joint MIC/Digital Agency/NPA authority. [22,24]

―― Part 2: Complete ――

This series (Parts 1 and 2) drew on the Bauman University internal documents as a primary source foundation to systematise Russia’s national cyber strategy across seven layers: training, doctrine, organisation, live combat, cognitive warfare, international cooperation, and space. This report — the first comprehensive primary-source analysis in the Japanese language — is designed so that researchers, policy makers, and security practitioners can each extract different depths of insight from the same text.

Russia’s cyber strategy is not a ‘technical problem.’ It is a ‘continuous political and military instrument’ grounded in the Information Confrontation doctrine as a worldview, posing an ongoing, present-day challenge to Japan’s democracy, infrastructure, and security decision-making. The ’18-Month Gap’ is not merely a legal void — it is a window in which Japan’s strategic choices will be tested.

Unauthorized reproduction or secondary use of this material is prohibited.

References (Part 2 — Chapters 5–Conclusion)

* Part 1 references ([1]–[24]) are reproduced at the end of this section.

■ Chapter 5

[25] CSIS. “CRINK Security Ties: Growing Cooperation, Anchored by China and Russia.” September 30, 2025. https://www.csis.org/analysis/crink-security-ties-growing-cooperation-anchored-china-and-russia — and CSIS. “Unpacking the CRINK Axis.” January 2026. https://www.csis.org/analysis/unpacking-crink-axis — and CISA. “Nation-State Cyber Actors.” https://www.cisa.gov/topics/cyber-threats-and-advisories/nation-state-cyber-actors ※Original CISA-specific URL could not be verified; replaced with confirmed URLs.

[26] [Inferred — No confirmed public document] Based on multiple agency testimonies and private-sector technical analyses. No officially confirmed primary document from NSA or GCHQ as of writing (May 2026). Confirmed primary source on APT31: U.S. Department of Justice. “United States v. Zhao Guangzong et al. (APT31).” March 25, 2024. https://www.justice.gov/opa/pr/seven-hackers-associated-chinese-government-charged-computer-intrusions-targeting-perceived

[27] ESET. “Threat Report H2 2025: Gamaredon–Lazarus Code Overlap Analysis.” October 2025. https://www.eset.com/int/about/newsroom/research-papers/eset-threat-report-h2-2025/ ※Full public availability not confirmed at time of writing.

[33] Recorded Future. “North Korean Threat Actor Lazarus Group Infrastructure Analysis.” 2025. https://www.recordedfuture.com/research/lazarus-group-infrastructure-2025 ※Full public availability not confirmed at time of writing.

[34] FBI. “FBI Confirms Lazarus Group Responsible for Bybit Hack.” February 2025. https://www.fbi.gov/news/press-releases/fbi-confirms-lazarus-group-responsible-for-bybit-hack

[35] Mandiant. “M-Trends 2026: Iranian APT35 Industroyer Code Adoption.” February 2026. https://www.mandiant.com/m-trends-2026 ※Full public availability not confirmed at time of writing.

■ Chapter 6

[29] Finnish Transport and Communications Agency (Traficom). “GPS Spoofing Incident Report: Helsinki-Vantaa Airport October 2024.” November 2024. https://www.traficom.fi/en/news/gps-spoofing-incident-report-2024 ※Specific page URL under verification. Search at www.traficom.fi.

[30] U.S. Department of Defense. “Annual Report on Military and Security Developments Involving the Russian Federation.” October 2025. https://www.defense.gov/News/Releases/Release/Article/dod-2025-russia-military-power-report/ ※Specific page URL under verification. Search at www.defense.gov.

[36] Japan Ministry of Defence. “Space Operations Squadron Activity Report 2025.” 2025. Search at www.mod.go.jp. — Cabinet Office. “Space Security Strategy 2025.” Search at www8.cao.go.jp/space/.

■ Conclusion

[31] NISC (National center of Incident readiness and Strategy for Cybersecurity). “Cybersecurity Strategy 2025.” https://www.nisc.go.jp/pdf/policy/cybersecurity-strategy-2025.pdf

[32] National Police Agency. “Cyber Threat Landscape Report 2024.” 2025. https://www.npa.go.jp/publications/statistics/cybersecurity/data/R06_cyber_jousei.pdf

[37] NPA Cyber Bureau. “Annual Report 2025.” https://www.npa.go.jp/cyber/

[38] National Police Agency. “Attribution of MirrorFace (APT10) Cyber Attacks Against Japan.” June 2024. https://www.npa.go.jp/publications/statistics/cybersecurity/mirrorface2024.pdf

[39] Active Cyber Defence Act (Act No. 36 of 2025). Enacted May 2025. Enforcement scheduled November 2027. https://www.digital.go.jp/policies/active-cyber-defence/

■ Part 1 References (reproduced)　Chapters 1–2