Salt Typhoon: 国家支援ハッカーが通信インフラに侵入 📡

米国史上最大の通信侵害

サイバーセキュリティの専門家が史上最大のサイバー諜報活動と呼ぶ中、中国の国家支援ハッカーグループ「Salt Typhoon」が米国の通信基盤に成功裏に侵入し、少なくとも9つの主要通信事業者を危険にさらし、米国市民全体に影響を及ぼす可能性があります。この高度な攻撃は最大2年間未発見のままで、サイバー戦争の転換点となり、我が国の重要インフラの安全性に関する重要な疑問を投げかけています。

Salt Typhoonとは何か？

Salt Typhoonは、中国の国家安全保障省（MSS）によって運営されていると広く信じられる高度な持続的脅威（APT）グループです。別名にはGhostEmperor、FamousSparrow、Earth Estrie、RedMikeなどがあり、追跡するセキュリティベンダーによって呼び名が異なります。2019年頃から活動しており、一部の証拠はそれ以前からの活動を示唆しています。

調査によると、Salt Typhoonは80か国以上の200以上のターゲットに侵入しており、世界規模の諜報活動を展開しています。NSAの元アナリスト、テリー・ダンラップは、同グループを中国の長期戦略の一環と位置付け、国家の地政学的戦略の一部と述べています。

このグループは高度な組織化と洗練された技術を示し、複数の異なる作戦チームから構成され、それぞれが異なるターゲットや役割を担っています。これは単なる技術力だけでなく、組織的支援と資源の豊富さを示しています。

侵入の仕組み：どうやって侵入したのか

Salt Typhoonのキャンペーンは、忍耐強く段階的なサイバー諜報の模範です。一度に大規模な攻撃を仕掛けるのではなく、多段階のアプローチを採用し、重要な通信インフラへの持続的かつ未発見のアクセスを維持しました。

初期アクセスと脆弱性の悪用

攻撃者は、Ciscoのネットワークデバイスの脆弱性（CVE-2023-20198とCVE-2023-20273）を悪用しました。これらの脆弱性は2023年10月にゼロデイとして公開されました。パッチが提供されているにもかかわらず、多くのデバイスに未適用のままで、巧妙なハッカーにとって容易な侵入口となっていました。

最初の脆弱性により、攻撃者は管理者権限を持つローカルユーザーアカウントを作成でき、次の脆弱性ではルートアクセスを獲得できました。これらを連携させることで、Salt Typhoonの操作員はコアネットワークインフラを完全に制御できました。

持続性とステルス戦術

一度侵入すると、Salt Typhoonは以下の高度な技術を駆使してアクセスを維持し、検知を回避しました：

ネットワークデバイス操作：アクセス制御リストを改ざんし、自身のIPアドレスを追加して永続的なバックドアを確保。SSH、RDP、FTPなどのサービスを標準・非標準ポートで公開し、活動を隠蔽。

コンテナベースの操作：Linuxコンテナ内でコマンドを実行し、Guest Shell機能を利用してツールのステージングやデータ処理、ネットワーク内の横移動を完全に隠密に行いました。

高度なRootkit展開：WindowsカーネルモードのRootkit「Demodex」を展開し、ターゲットサーバーの遠隔操作とともに、反フォレンジック・反解析技術を駆使して検知を回避。

マルチホップピボット：オープンソースの多段ピボットツールを用いてコマンドと制御サーバー間を中継し、追跡を困難にしました。

侵害の規模と影響

米国の主要通信事業者9社が侵害

被害者にはVerizon、AT&T、T-Mobile、Spectrum、Lumen、Consolidated Communications、Windstream、その他2社が含まれ、これらは何億人もの米国人にサービスを提供しています。全体として、これまでにない規模の侵害です。

AT&T、Verizon、Lumenは公に侵入を認めていますが、全体の範囲や深刻さについては調査中です。ホワイトハウス当局は、2024年末までに攻撃の全容把握や攻撃者の排除が完了していないとしています。

メタデータと位置情報の追跡

攻撃者は、100万以上の通話・SMSのメタデータ（タイムスタンプ、送信元・宛先IP、電話番号）にアクセスし、ほとんどのターゲットはワシントンD.C.周辺に集中しています。これにより、通信パターンや社会的ネットワーク、日常の行動まで詳細に把握可能です。

ホワイトハウスは、中国の工作員が数百万人の位置情報を追跡し、通話内容を記録できる能力を持つと述べています。これは、政府関係者や軍関係者、情報資産の動きをリアルタイムで追跡できることを意味し、非常に懸念されています。

高度な政治ターゲット

この侵害は、政府や政治活動に関わる個人を狙ったもので、ハッカーは高官の通話録音や、2024年のカマラ・ハリス大統領候補のスタッフ、トランプ氏やJD Vanceの携帯電話の情報も取得しています。

副国家安全保障顧問のアニー・ノイバーガーは、対象者の多くが政府関係者とみなされていると明かしました。FBIは、実際の通話内容やSMSの直接傍受は100人未満と推定していますが、メタデータや位置情報の収集はそれ以上に及びます。

最も危険な要素：合法的盗聴システムの侵害

Salt Typhoonの最も衝撃的な側面は、通信会社が法執行機関や情報機関に提供する「合法的盗聴システム」の侵害です。

これらのシステムにアクセスすることで、中国のスパイや情報提供者が米国の監視対象を把握できる可能性が生まれ、これは重大な反諜報の失敗です。中国は、米国内の情報資産やジャーナリスト、反体制派を特定・排除し、情報操作や妨害を行う恐れがあります。

これらのシステムはセキュリティを考慮して設計されていますが、根本的に単一の失敗点—監視データの集中リポジトリ—を作り出し、一度侵害されると、攻撃者にとって前例のない監視の可視化を可能にします。Salt Typhoonの侵害は、正当な法執行目的のためのバックドア設計に関する長年の警告を裏付けるものです。

2年間にわたる未発見のキャンペーン

発見までのタイムライン

Salt Typhoonのキャンペーンは、検知の失敗の象徴です。米国当局は、2024年9月に発覚するまでに1〜2年の期間、活動していたと述べています。一部の情報筋は、2022年頃から通信ネットワークにアクセスしていた可能性も示唆しています。

最初の公表は2024年9月で、メディアが深刻なサイバー攻撃を報じましたが、フォレンジック分析により、長期間にわたり未発見のまま活動していたことが判明しました。

情報源によると、Salt Typhoonは2019年頃に結成され、2023年中頃から通信ネットワークに存在していたと考えられます。つまり、少なくとも1年以上の無制限アクセスを許していたことになります。

なぜ検知が遅れたのか

長期間にわたる未検知の原因には以下の要素があります：

セグメント化されたセキュリティ管理：法執行用の盗聴システムは、顧客向けプラットフォームとは別管理されており、成熟したサイバーガバナンスの枠組みの外にあります。これにより、盲点が生まれ、Salt Typhoonは巧みにこれを突きました。

Living Off the Land技術：攻撃者は正規の管理ツールや標準的なシステムユーティリティを利用し、通常のネットワークトラフィックに溶け込ませて活動しました。この「Living Off the Land」手法は、ツール自体が正規のため検知が非常に難しいです。

分散型攻撃インフラ：複数のアクセス点に分散させ、多段ピボット技術を用いることで、攻撃の全範囲を特定するのを困難にしています。侵入点を一つ閉じても、他の侵入点が残る構造です。

高度な忍耐力と戦術：短期的な金銭目的のサイバー犯罪者と異なり、Salt Typhoonは長期的な忍耐と運用の安全性を重視し、小さなデータを長期間にわたり少しずつ抽出していました。

通信インフラを超えた全体像

陸軍国家警備隊ネットワークの侵害

Salt Typhoonの脅威は、民間通信だけにとどまりません。2024年3月から12月にかけて、米国のある州の陸軍国家警備隊ネットワークを大規模に侵害し、管理者資格情報、ネットワークトラフィック図、地理位置マップ、個人識別情報を窃取しました。

この9か月にわたる未発見の軍事ネットワーク侵害は深刻なエスカレーションです。盗まれたネットワーク図や管理者資格情報は、全国の警備隊ユニットに対する追撃攻撃の基盤となる可能性があります。州の融合センターと連携しているため、地域のサイバーセキュリティ対策に影響を及ぼす恐れもあります。

政府・インフラのその他ターゲット

通信や軍事ネットワークだけでなく、2024年1〜3月には、少なくとも2つの州政府機関や複数の重要インフラ企業から設定ファイルを窃取しました。これらの侵害は、他の政府機関のネットワークに脆弱なデバイスの侵入を可能にし、攻撃の連鎖を生み出しています。

また、UCLA、カリフォルニア州立大学、ロヨラ・メアモント大学、ユタ工科大学などの大学も標的とされ、通信や工学研究へのアクセスを狙ったと考えられます。

世界的な展開

このキャンペーンは米国だけにとどまらず、カナダ、オーストラリア、ニュージーランド、イギリス、ヨーロッパ諸国、インド太平洋地域の国々にも及びました。2025年2月にはカナダの通信会社が侵害され、米国のViasatも2025年6月に被害者として報告されています。

政府の対応と継続する脅威

連邦機関の措置

2024年12月、米国や国際的なサイバーセキュリティ機関（CISA、NSA、FBI、オーストラリア、ニュージーランド、カナダの担当者）による「通信インフラの可視性向上と強化ガイドライン」が発表されました。これには、Cisco製品の保護に関する具体的な推奨も含まれています。

2025年1月17日、米国財務省のOFACは、Salt Typhoonの関与が疑われるYin Kechengと四川Juxinhe Network Technology Co. Ltd.に制裁を科しました。これにより、資金や運用資源の遮断を狙います。

規制の動き

連邦通信委員会（FCC）は、通信事業者に対し、必須のサイバーセキュリティ要件の遵守と年次脆弱性テストを義務付ける新規則案を提案しています。上院議員ロン・ワイデンは、「Secure American Communications Act」の草案を公開し、これを法制化する意向です。

2025年1月までにFCCは、義務的なサイバーセキュリティ規則の採択を予定しており、これまでの自主的な取り組みからの大きな転換点となります。関係者は、Salt Typhoonのような国家支援の脅威に対抗するには、規制と監査の強化が必要と認識しています。

3億ドルのインフラ整備計画

Salt Typhoonの侵害は、米国通信インフラの脆弱性を浮き彫りにしました。HuaweiやZTEなどの中国製機器の排除を目的とした「Rip and Replace」プログラムは、約4.98億ドルの費用が見込まれ、資金不足は3.08億ドルに上ります。

超党派の支持を得て、追加資金を確保するための防衛法案も検討されていますが、完全な置き換えには時間がかかる見込みです。専門家は、単なる機器の交換だけでは根本的なセキュリティ問題は解決しないと警告しています。

今後も続く脅威

活動継続と拡大

公表後もSalt Typhoonは活動を続けており、2025年2月の調査では、世界中の未パッチのCiscoエッジデバイス1,000台以上を標的に、5つの組織のデバイスを侵害したと報告されています。特に米国、南米、インドに多くのターゲットが集中しています。

持続的な存在感への懸念

高度な持続的脅威（APT）の最大の課題は、完全な排除の難しさです。専門家は、中国の工作員が長期間にわたり米国システムにアクセスし続ける可能性を指摘しています。実例として、Salt Typhoonは最大3年間も侵入状態を維持していたケースもあります。AT&TやVerizonは、「封じ込めた」と発表していますが、再侵入の可能性を完全には否定していません。

これが国家安全保障に与える影響

反諜報の観点

Salt Typhoonの侵害は、米国の反諜報史上最大級の失敗の一つです。合法的盗聴システムの侵害により、中国の情報工作員は、米国の監視対象や情報資産の状況を把握できるようになりました。これにより、重要な資産の保護や、情報操作のリスクが高まっています。

高官や軍関係者、政治候補者の通信を監視できる能力は、中国にとって戦略的優位をもたらし、長期的な政策決定や外交交渉に影響を与え続ける可能性があります。

将来の紛争に備える

サイバーセキュリティ分析者は、Salt Typhoonの活動は従来の諜報活動を超え、通信インフラの長期的な支配と潜在的破壊を目的とした戦略的抑止の一環と見ています。米国の通信ネットワークの構造を把握し、重要なポイントにバックドアを維持することで、危機時の破壊工作の準備を進めていると考えられます。

信頼の喪失

最も長く残るダメージは、通信インフラの信頼性の低下です。米国の通信基盤が長期間にわたり未発見のまま侵害され得るなら、他の重要システムも同様に脆弱ではないかとの懸念が高まります。これにより、政府や企業、個人は通信の安全性について再考を迫られ、エンドツーエンド暗号化の採用が加速しています。

個人の防衛策：できること

Salt Typhoonの侵害は主に政府や政治関係者を狙ったものでしたが、広範な侵害により一般市民の通信も危険にさらされている可能性があります。セキュリティ専門家は、以下の対策を推奨しています：

エンドツーエンド暗号化通信の利用

CISAは、ターゲットとなる高官やジャーナリスト、政治リーダーに対し、SignalやFaceTime、Messagesなどのエンドツーエンド暗号化ツールの使用を推奨しています。これは一般市民にも有効です。

エンドツーエンド暗号化により、ネットワークが侵害されても、攻撃者は通信内容にアクセスできず、タイムスタンプや参加者情報のみが見える状態になります。

基本的なセキュリティ対策

• すべてのデバイスを最新状態に保つ：定期的にパッチを適用し、既知の脆弱性を修正
• 多要素認証を有効にする：重要なアカウントには二重の防御を
• デフォルトパスワードを避ける：ルーターやデバイスの初期設定パスワードは変更
• 強力でユニークなパスワードを使用：パスワードマネージャーを利用して管理

現実的な期待値

多くの米国人にとって、Salt Typhoonの脅威は比較的低いと考えられます。中国の情報機関は、主に政府関係者や軍関係者、重要な知的財産を持つ企業幹部、機密情報にアクセスできる人物を標的としています。

しかし、通信の安全性は決して当たり前ではなく、強固なセキュリティ対策の採用が必要です。これにより、誰もがより安全な通信環境を享受できます。

重要インフラの安全性に対する警鐘

バックドアのジレンマ

Salt Typhoonの侵害は、法執行や監視のためのバックドア設計に関する長年の議論を再燃させました。セキュリティ専門家は、秘密のアクセス手段は必ず発見され、悪用されるリスクがあると警告しています。

この侵害は、インターネットセキュリティ界の警告が正しかったことを証明しています。通信企業が合法的な盗聴機能を設けると、同時に高度な敵にとってのターゲットとなるのです。

自主的な取り組みの限界

Salt Typhoonの事例は、自己規制だけでは重要インフラの防御は不十分であることを示しています。政府の指針や業界のベストプラクティスにもかかわらず、多くの通信事業者は十分なセキュリティ対策や早期検知に失敗しました。

Ron Wyden上院議員は、FCCが通信事業者に自主規制を任せたことが侵害を招いたと指摘しています。規制と監査を強化し、違反には罰則を科す仕組みが必要です。

サプライチェーンの脆弱性

Salt Typhoonは、敵対国の装置やソフトウェアに依存するリスクも浮き彫りにしました。米国の通信インフラにおいて、中国製の機器が深く浸透している現状は、戦略的な脆弱性です。

「Rip and Replace」プログラムのコストと困難さは、外国技術の浸透の深刻さを示しています。

今後の通信セキュリティの展望

新たな脅威の地平線

Salt Typhoonは、従来のデータ窃盗を超え、長期的なインフラの支配と潜在的破壊を目的とした戦略的サイバー作戦の新たな段階を示しています。これにより、従来の境界防御や反応型対策だけでは不十分となりつつあります。

Zero Trustアーキテクチャの必要性

通信分野は、侵害を前提としたZero Trustセキュリティの導入を急ぐ必要があります。具体的には：

• 持続的な監視と行動分析による異常検知
• ネットワーク内の横移動を制限するマイクロセグメンテーション
• 管理者アクセスには多要素認証を義務付け
• 独立した第三者による定期的なセキュリティ監査
• 持続的な脅威に備えたインシデント対応計画

国際協力の強化

通信ネットワークのグローバルな性質とSalt Typhoonの国際的な活動範囲を考慮し、協力体制の強化が不可欠です。米国、オーストラリア、ニュージーランド、カナダの連携は重要な一歩ですが、情報共有と協力の継続が必要です。

結論：Salt Typhoonの長期的な影響

Salt Typhoonのサイバー諜報活動は、重要インフラの安全確保における転換点となりました。少なくとも9つの米国主要通信事業者の2年間未発見の侵入、合法的盗聴システムの侵害、数百万の米国人の通信データの漏洩は、史上最も重要なサイバー事件の一つです。

この侵害は、通信インフラの根本的な脆弱性や、法執行のためのバックドアのリスク、自己規制の限界を明らかにしました。調査が進む中、Salt Typhoonの事例は、今後の通信セキュリティ、国家安全保障、重要インフラ保護のあり方を根本から見直す契機となるでしょう。

今後の対応には、必須のセキュリティ基準の制定、インフラ投資の拡大、エンドツーエンド暗号化の普及が含まれます。これらの施策が迅速かつ徹底的に実施されるかどうかが、次のSalt Typhoonの未然防止に直結します。