コンテンツにスキップするには Enter キーを押してください

中国のSalt Typhoon、数年間にわたり世界中の重要インフラをハッキング

投稿日 2025年8月28日

Salt Typhoonとして知られる中国関連のサイバースパイグループが、世界中のバックボーンおよびエッジルーターを侵害し、複数の業界にわたるネットワークへの持続的なアクセスを確保していると、米国および同盟国の政府機関が警告しています。

GhostEmperor、Operator Panda、RedMike、UNC5807としても追跡されているこの脅威グループは、米国、オーストラリア、カナダ、ニュージーランド、英国、その他の地域で5年以上にわたりサイバースパイ活動を行っていると、各機関は共同勧告で述べています。

米国カナダ通信会社への複数の侵入や、米国州兵部隊のハッキングの責任を問われているSalt Typhoonは、少なくとも2021年以降、世界中の政府、通信、交通、宿泊、軍事インフラネットワークを標的に活動してきたと勧告は伝えています。

このAPTの活動は、中国の四川聚信合网络科技有限公司(米国による制裁対象)、北京寰宇天穹信息科技有限公司、四川智信瑞杰网络科技有限公司など、中国の情報機関にサイバー製品やサービスを提供する企業と関連付けられています。

「この活動を通じて外国の通信事業者やインターネットサービスプロバイダー(ISP)、さらに宿泊・交通分野への侵入で盗まれたデータは、最終的に中国の情報機関が世界中で標的の通信や移動を特定・追跡する能力を提供し得る」と勧告は述べています。

Salt Typhoonは、Cisco(CVE-2018-0171、CVE-2023-20198、CVE-2023-20273)、Ivanti(CVE-2024-21887)、Palo Alto Networks(CVE-2024-3400)製品の既知の脆弱性を初期アクセスに利用してきましたが、ゼロデイ脆弱性は標的にしていません。

このAPTは、通信事業者のバックボーンルーターやエッジルーターを所有者を問わず標的とし、それらを利用して他のネットワークへピボットしたり、ルーティングの変更やトラフィックミラーリングの有効化を行っていました。

持続性と回避のために、ハッカーはアクセス制御リスト(ACL)の改ざん、標準および非標準ポートの開放、プロトコルを利用したトンネル作成、オープンソースのマルチホップピボットツールの活用、他デバイスの設定の列挙・変更、各種コマンドの実行などを行ってきました。

広告。スクロールして読み続けてください。

横方向移動のために、認証プロトコル、ルーターインターフェース、RSVPセッション、BGPルート、設定ファイル、ネットワークトラフィック、インストール済みソフトウェア、プロバイダーが保持するデータなどを標的とし、取得したネットワークトラフィックから認証情報を抽出してきました。

さらに、Salt Typhoonはサーバー設定を自らが管理するIPアドレスに書き換えたり、特権ユーザーアカウントの作成、ポートスキャン、監視ツールの使用、ルーティングテーブルの更新、ログの削除や記録の無効化による痕跡隠蔽、ピアリング接続の悪用によるデータ流出なども確認されています。

Salt Typhoonによる侵害ネットワークへの持続的かつ長期的なアクセスへの警告として、共同勧告ではインジケーター・オブ・コンプロマイズ(IOC)や、脅威ハンターが侵害を特定し攻撃者を排除するために実施すべき推奨事項も提供しています。

「APTアクターは、確立したアクセスを保護するために、メールサーバーや管理者デバイス/アカウントを侵害し、自らの活動が検知された兆候を監視するなどの措置を取ることがよくあります。組織は、APTアクターによる監視活動から脅威ハンティングやインシデント対応の詳細を守るための措置を講じるべきです」と勧告は述べています。

GoogleのThreat Intelligence Group主任アナリスト、ジョン・ハルトクイスト氏によれば、ハッカーは「技術に精通しているため検知を回避し広範囲に拡散できる点が際立っている」とし、大規模な作戦の多くを中国の請負業者に大きく依存していると述べています。

「中国のサイバースパイ活動の中核にある請負業者エコシステムは、これらの作戦の急速な進化と前例のない規模への拡大に大きく寄与しています。請負業者はインフラ構築から侵入の実行といった汚れ仕事まで何でも行います」と同氏は述べています

Swimlaneのリードセキュリティオートメーションアーキテクト、ニック・タウセック氏はメールでのコメントで、Salt Typhoonの活動における企業の支援の重要性を強調し、2024年だけで80カ国、数百の組織が標的となったことを指摘しました。

「残念ながら、どのようにして起きたかを理解したからといって、脅威が消えたわけではありません。Salt Typhoonは依然として非常に危険であり、企業は備える必要があります。組織はNSAのガイドラインに従い、APTアクターのアクセス状況を完全に把握した上で、可視化されたインシデント対応や緩和策を実施し、侵害ネットワークからの完全排除の可能性を最大化すべきです」とタウセック氏は述べています。

関連記事: 中国企業と国家支援ハッカーが使用するツールの関連性に関するレポート

関連記事: Salt Typhoonが新たな通信ハッキングで古いCisco脆弱性を標的に

関連記事: 中国のSilk Typhoonハッカー、北米の複数業界を標的に

関連記事:台湾のウェブホスティング企業、中国APTにより高価値標的へのアクセス目的で攻撃

翻訳元: https://www.securityweek.com/chinas-salt-typhoon-hacked-critical-infrastructure-globally-for-years/

Published in securityweek.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です