出典:World History Archive(Alamy Stock Photo経由)
Salt Typhoonによる長期にわたるサイバースパイ活動の実態が明らかになり続けており、今回は米軍の一部門に対する数か月に及ぶ攻撃が判明しました。
中国政府と関係があるとされる高度持続的脅威(APT)であるSalt Typhoonが州兵を侵害したと、NBCニュースが入手した国土安全保障省(DHS)の文書で明らかになりました。Salt Typhoonは、特に通信分野で幅広い被害者を標的としてきた著名なサイバースパイグループです。昨年秋、このグループがVerizon、T-Mobile、AT&Tなどの大手通信ベンダーを、主にCiscoの脆弱性を通じて侵害していたことが判明しました。
内部文書によると、これはNBCが国家安全保障の透明性を推進する非営利団体「Property of the People」を通じて情報公開法(FOIA)請求により入手したもので、Salt Typhoonは昨年3月から12月の間に州兵を侵害し、ネットワーク内に潜伏していたとされています。これにより「北京に、他州の陸軍州兵部隊や多くの州レベルのサイバーセキュリティパートナーのハッキングを容易にするデータが提供された可能性が高い」と記されています。
「ハッキングを実行した中国関連のサイバー攻撃者が後者(州レベルのサイバーセキュリティパートナーの侵害)に成功した場合、危機や紛争時に米国の重要インフラを中国のサイバーキャンペーンから守る能力が損なわれる可能性がある」と文書は説明しています。
Dark Readingは州兵にコメントを求めましたが、回答は得られていません。
KnowBe4のセキュリティ啓発担当者Erich Kron氏によると、侵害がほぼ1年続いたという事実が特に懸念される点だといいます。
「最も不安なのは、侵害の規模や範囲そのものではなく、非常に機密性の高い情報に長期間アクセスされていたことです」と彼は説明します。「それだけでなく、州兵や国防総省側のネットワーク構成についても多くを学ばれた可能性があります。これだけ長期間ネットワーク内にいたので、まだ発見されていないバックドアが存在するのではないかとも懸念されます。」
Salt Typhoonの最新の侵害
この文書は、ほぼ1年に及ぶ攻撃の詳細を広範に記載しており、米国のある州の陸軍州兵ネットワークの侵害、ネットワーク構成やデータトラフィックの収集、さらに「他のすべての州および少なくとも4つの米領土の対応するネットワーク」も含まれていたと国防総省(DOD)の報告を引用しています。侵害にはネットワーク図や管理者の認証情報も含まれていました。
さらに、攻撃の範囲は専用ネットワークを超え、州のサイバー防衛態勢や州のサイバーセキュリティ担当者の個人情報にも及ぶ可能性があります。
「Salt Typhoonが全国の州兵ネットワークを侵害したことで、重要インフラを守るための地域のサイバーセキュリティ対策が損なわれる可能性があります」と文書には記されています。「14州では、州兵部隊が脅威情報(サイバー脅威を含む)の共有を担う州フュージョンセンターと統合されています。少なくとも1つの州では、地元の州兵部隊が直接ネットワーク防御サービスを提供しています。」
文書はさらに、「2024年、Salt Typhoonは米国のある州の陸軍州兵ネットワークへのアクセスを利用し、管理者認証情報、ネットワークトラフィック図、州内各地の地理的位置マップ、そして隊員の個人識別情報(PII)を流出させた」と国防総省の報告を引用しています。
「Salt Typhoonのような精鋭APTが米国州兵ネットワークへのアクセスをほぼ1年間検知されずに維持したのは、彼らにとって大きな作戦上の成功であり、防御側の可視性の重大な欠如を示しています」とSOCRadarの最高情報セキュリティ責任者(CISO)Ensar Seker氏は述べています。「彼らが機密の軍事・法執行データにアクセスした可能性があることは、単なるスパイ活動を超え、国家安全保障に関わる問題です。さらに憂慮すべきは、単発の侵害ではなく、継続的なアクセスがあったことであり、高度な作戦規律と技術的洗練度を示唆しています。」
サイバースパイ対策の防御策
DHSの文書によれば、2023年と2024年にSalt Typhoonは、12の分野にわたる約70の米国政府および重要インフラ関連組織から1,462件のネットワーク構成ファイルを盗み出しました。Salt Typhoonが州兵を侵害する際に使用した具体的なCVEや手法は明記されていませんが、近年APTが使用した複数のCVEが指摘されており、公的機関の防御担当者向けに広範な緩和策も示されています。
文書では国防総省のベストプラクティスとして2つの主要カテゴリが挙げられています。1つ目はServer Message Block(SMB)トラフィックの保護で、ネットワークのセグメンテーション、可能な限りSMBトラフィックをインターネットに公開しない、SMBv3の使用、不要な場合はSMBを無効化することなどが含まれます。
2つ目は認証情報の窃取とファイル流出の防止です。ここでは、強固なパスワードの複雑性の実装、強力な暗号化アルゴリズムの使用、役割ベースのアクセス制御の実施、最小権限の原則の適用、パスワードの定期的な変更プロセスの活用などが推奨されています。