Last Updated on 2025-04-11 10:46 by admin
中国の国家支援ハッカーグループ「Salt Typhoon」による米国通信大手への大規模サイバー攻撃に関する報告が2025年4月10日にDark Readingで公開された。
Salt Typhoonは2024年秋に発見され、Verizon、AT&T、Lumen Technologiesなど米国内外の通信大手企業に侵入し、法執行機関が裁判所の許可を得た盗聴に使用する「合法的傍受」システムにアクセスした。このキャンペーンでは、2024年の共和党と民主党の大統領選挙キャンペーンや他の政治家に関する機密データにもアクセスした。
CrowdStrikeの2025年「グローバル脅威レポート」によると、中国の国家支援ハッキングは「転換点」に達し、全セクターで中国関連のサイバー活動が150%増加した。スパイ活動に加えて、中国政府は敵対国との潜在的なエスカレーションに備えて重要な環境に自らを事前配置することにも関心を示している。
Salt Typhoonは「Living off the Land(LoTL)」と呼ばれる手法を駆使し、PowerShellやWMIなどの正規のツールを使用して検出を回避している。この戦術により、ネットワーク上での脅威の特定が困難になっている。
2025年4月2日、米国下院政府改革委員会はSalt Typhoonに関する公聴会を開催した。ニューヨーク大学の研究教授Edward Amoroso氏は「ハッキングバック」(報復的なサイバー攻撃)を提唱せず、代わりに米国はこれを防衛を強化し団結するための警鐘と見なすべきだと述べた。
セキュリティ専門家たちは、米国の対応としては報復的なサイバー攻撃よりも、国内のサイバーセキュリティ体制の強化を優先すべきだと提言している。FCCは2024年秋、通信プロバイダーに対しサイバーセキュリティリスク管理計画を毎年認証、更新、実施することを義務付ける規制を提案した。
from:What Should the US Do About Salt Typhoon?
【編集部解説】
Salt Typhoonによる大規模サイバー攻撃は、米国の通信インフラに対する深刻な脅威として浮上しています。この事案は、国家支援型ハッカー集団の高度な能力と、重要インフラの脆弱性を浮き彫りにしました。
まず、Salt Typhoonの攻撃手法について詳しく見ていきましょう。このグループは「Living off the Land(LoTL)」と呼ばれる手法を駆使し、PowerShellやWMIなどの正規のツールを使用して検出を回避しています。この手法は、通常の業務活動と悪意のある活動を区別することを困難にします。
特に注目すべきは、Salt Typhoonが「合法的傍受」システムを標的にしていたことです。これは、法執行機関が使用する盗聴システムへのアクセスを意味し、国家安全保障上の重大な脅威となります。ProCircularのBobby Kuzma氏が指摘するように、このアクセスにより「暗号化された通信を含め、ネットワーク上を移動するすべてのもの」を傍受できる可能性があります。
Salt Typhoonの活動は新しいものではありません。ExpelのDave Merkel氏が述べているように、中国は対情報活動や知的財産の窃盗など、さまざまな理由で米国の民間企業を積極的に標的にしてきました。しかし、今回の通信インフラを標的とした攻撃は、これらの活動がエスカレートしていることを示す注目すべき警告です。
この事案は、サイバーセキュリティの観点から見て、いくつかの重要な教訓を提供しています。まず、基本的なセキュリティ対策の重要性です。BlueVoyantのAustin Berglas氏が指摘するように、攻撃者は必ずしも高度なゼロデイ攻撃を使用するわけではなく、既知の脆弱性を悪用していることが多いのです。
次に、多層防御の必要性です。Salt Typhoonは複数の手法を組み合わせて攻撃を行っています。これに対抗するには、単一の防御策では不十分であり、包括的なセキュリティアプローチが求められます。
また、この事案は、サプライチェーンセキュリティの重要性も浮き彫りにしています。通信インフラを標的とすることで、Salt Typhoonは広範囲にわたる影響を及ぼすことができました。これは、重要インフラ保護の観点から、サプライチェーン全体のセキュリティ強化が必要であることを示しています。
最後に、この事案は、サイバーセキュリティと個人のプライバシーのバランスという難しい問題を提起しています。「合法的傍受」システムの存在自体が、セキュリティ上のリスクとなり得ることが明らかになりました。Kuzma氏が指摘するように、「監視のための法執行機関の利便性とこの種の悪用を可能にする大規模なバックドアの間にはバランスが必要」なのです。
Salt Typhoonの事例は、サイバーセキュリティが国家安全保障の重要な一部であることを改めて示しました。Amoroso氏の言葉を借りれば、「最良の防御は良い防御」なのです。
【用語解説】
Salt Typhoon(ソルト・タイフーン):
中国の国家安全部(MSS)が運営していると考えられる高度な持続的脅威(APT)グループ。2024年秋に発見され、米国を中心に世界中でサイバースパイ活動を展開している。
APT(Advanced Persistent Threat):
高度な持続的脅威と訳され、特定の組織や国家を標的に、長期間にわたって潜伏し続ける高度なサイバー攻撃のこと。一般的なサイバー攻撃と異なり、発見されにくく、長期間にわたって情報を窃取することを目的としている。
Living off the Land(LoTL):
「現地調達作戦」とも訳され、システムに元から存在する正規のツールやコマンドを悪用する攻撃手法。PowerShellやWMIなどのWindows標準ツールを使うため、通常のセキュリティ対策では検出が困難である。
合法的傍受(Lawful Intercept):
法執行機関が裁判所の許可を得て行う通信の傍受システム。電話やインターネット通信を監視するための正規の仕組みだが、Salt Typhoonはこれを悪用した。
MSS(中国国家安全部):
中国の情報機関で、国内の治安維持と海外での諜報活動を担当する組織。FBI(米国連邦捜査局)とCIA(米国中央情報局)の役割を兼ね備えた機関と考えるとわかりやすい。
CrowdStrike:
エンドポイントセキュリティやサイバー脅威インテリジェンスを提供する米国のサイバーセキュリティ企業。2011年設立で、現在はサイバーセキュリティ業界の主要企業の一つである。
【参考リンク】
CrowdStrike(外部)
エンドポイントセキュリティやサイバー脅威インテリジェンスを提供する米国のサイバーセキュリティ企業。
ProCircular(外部)
米国アイオワ州を拠点とするサイバーセキュリティコンサルティング企業。
Flashpoint(外部)
脅威インテリジェンスとリスク管理ソリューションを提供する企業。
【編集部後記】
皆さんの組織では、サイバーセキュリティ対策はどのように進められていますか?Salt Typhoonのような高度な攻撃は、「自分たちには関係ない」と思われがちですが、その手法は一般的な企業も標的にしています。多要素認証の導入や定期的なパッチ適用など、基本的な対策が意外と効果的です。もし興味があれば、自社のセキュリティ担当者に「Living off the Land攻撃」について聞いてみてはいかがでしょうか。皆さんの経験や取り組みをぜひSNSでシェアしていただけると嬉しいです。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
