専門家はCyberScoopに対し、米国の通信システムは技術的にあまりにも断片化されており、脅威の全体像を把握するのが難しく、すべてのスパイ活動を完全に排除するには大きすぎると述べています。
Salt Typhoonとして知られる中国のハッカーグループが複数の米国通信ネットワークに侵入し、大統領選挙キャンペーンの電話にアクセスし、ワシントンD.C.周辺の高価値ターゲットの位置情報データを収集したというニュースが流れたとき、経営者や米国当局者の頭に浮かんだ最初の質問の一つは、彼らを追い出すのにどれくらい時間がかかるかということでした。
このスパイ活動は政府と通信業界を同様に驚かせました。世界の大国間のサイバーを利用したスパイ活動は一般的に公正なプレーと見なされていますが、Salt Typhoonの大胆さとネットワークを侵害し、高価値の情報を収集する体系的で組織的な方法は、米国の通信ネットワークの運用方法を深く理解していることを反映していました。
Salt Typhoonによる広範な侵入は、米国の敵対者にとって、ほぼすべてのアメリカ人の携帯通信を危険にさらし、高レベルの政府関係者を含む、米国の国家安全保障に深刻な脅威をもたらしました。元通信業界の経営者であるバージニア州選出のマーク・ワーナー上院議員は、これを「我が国の歴史上最も深刻な通信ハッキング」と呼んでいます。
それにもかかわらず、その後数か月間、バイデン政権、現職および元サイバーセキュリティ当局者、議会のメンバー、その他の専門家は、米国の多くの通信企業がネットワークからこのハッカーグループを完全に排除することができない可能性を繰り返し示唆しています。
国家情報長官室のサイバー脅威情報統合センターを1月まで率いていたローラ・ガランテ氏は、CyberScoopに対し、一部のサークルでの控えめな反応は、デジタル侵害が物理的なものよりも一般に軽視される傾向があることを反映していると述べました。
「私たちはネットワーク上のこのレベルのスパイ活動を受け入れることはできません」とガランテ氏は言いました。「もし50人の中国の国家安全部のスパイや契約者が主要な通信会社の建物内に座っていたら、彼らは追い出され、全面的な取り組みが行われるでしょう。それが大まかに言えば起こったことですが、アクセスはデジタルでした。」
しかし、複数の米国政府および業界関係者とのインタビューでは、Salt Typhoonをデジタルで追い出すための全面的な取り組みは、言うは易く行うは難しです。
隠れるのは難しくない
米国当局者が通信業界がSalt Typhoonをネットワークから完全に排除できないかもしれないと警告する際、それは主に3つの要因に基づいています:現代の通信ネットワークの規模と複雑さ、ネットワークへの広範なアクセスを許可するアイデンティティソリューションの管理の難しさ、そして多くの通信業界が中国政府のハッカーと対抗するのに準備が不十分であることを残した業界の統合とサイバーセキュリティへの無関心の歴史。
これらの要因は、レガシー技術と現代技術の両方で構成され、ソフトウェアとハードウェアの脆弱性が散在し、搾取を通じて再侵入するための複数の経路を提供する通信ネットワークの広範なシステムをもたらしました。
もし一つのアクセスポイントが修正されたり閉じられたりした場合、またはアクターが追い出された場合でも、彼らはしばしば別の脆弱性の連鎖を利用して再びアクセスを得たり、以前に展開された持続メカニズムを活用したりすることができます。別の言い方をすれば、家主がすべての窓を開けている場合、泥棒は前後のドアが施錠されているかどうかを気にしません。
「みんなが急いで『はい、Salt Typhoonを追い出しました、Salt Typhoonはもう問題ではありません』と言いたがっています。しかし、それはサイバーセキュリティの働き方ではありませんし、情報機関の働き方でもありません」と、サイバーセキュリティ企業Censysの主任セキュリティ研究者であるシラス・カトラー氏は言いました。
Salt Typhoonの公表後、AT&T、Verizon、Lumenなどの大手通信会社は、影響を受けたことを確認し、ネットワークからアクターを排除したか、または「事件を封じ込めた」と主張しています。
しかし、米国当局者はSalt Typhoonが米国のネットワークで依然として活動していると主張し続けており、CyberScoopと話した専門家は、通信会社からの露出に関する声明は法的な言葉で溢れており、ある時点を測定しているだけで、攻撃者が通信インフラに再侵入する可能性のある多くの方法を考慮していないと言います。
「最善の方法は、キルチェーンの早い段階で彼らを見つけることです」と、NATOおよびファイブアイズ諸国でのみ販売されている重要インフラ向けの防御サイバーセキュリティプラットフォームであるNemesis GlobalのCEO兼創設者であるジェントリー・レーン氏は言いました。「彼らを追い出すことはできますし、そうする必要があります。彼らが土地を利用したり、システム内に住み続けることを防ぐことはできません。」
また、規模の問題もあります。中国のハッカーを単一の通信ネットワークから排除するための真剣な試みは、妥協の兆候、横方向の移動、またはデータ盗難の兆候を見つけるために、数万の企業エンドポイントの法医学的分析を含む必要があるでしょう。レーン氏は、Nemesis Globalのプラットフォームを構築してそのような自動化されたエンドポイントメモリフォレンジックを実施するために取り組んできましたが、それは比較的新しい能力であり、広く利用可能ではないと述べました。
カトラー氏は、Salt Typhoonを追跡するのが難しい理由の一部は、脅威ハンターが追跡するための確認済みの詳細な侵害指標が不足していることにあると述べました。
「そのような本当にターゲットを絞った脅威ハンティング[IOC]を探すためのものは、Salt Typhoonでは見たことがありません」と彼は言いました。「定期的かつ信頼性のある方法で追跡できる十分なものがあるとは思えません。」
情報源は、グループがそのキャンペーンで繰り返し利用してきた2種類の技術、アイデンティティ管理ソフトウェアとネットワークエッジデバイスを指摘しました。
「基本的なところに戻ると、問題はネットワークの異なる部分に誰がアクセスできるかを管理できるかどうかです」とガランテ氏は言いました。「ネットワーク上の悪意のある活動を関連する速度で自信を持ってハントし、検出できますか?それが、今後数年間で中国の情報機関が私たちの通信業界にまだ存在するかどうかを答えるのに役立つでしょう。」
一方、Censysが4月に発表した6か月のトレンド分析では、Salt Typhoonによって既知または利用されたと考えられる脆弱性を持つ4つの人気のあるネットワーキングおよびエッジデバイスの20万以上の公開露出が見つかり、その多くは米国に位置しています。
露出したデバイスのすべてが必ずしも脆弱であるわけではなく、多くの研究者はSalt Typhoonに関する直接的なテレメトリの欠如に苛立ちを感じています。それにもかかわらず、報告書は不安な結論に達しました。
「Salt Typhoonの活動に対する公衆の認識が高まっているにもかかわらず、公開インターネット上で露出し、報告されたターゲットデバイスの意味のある減少はほとんど見られませんでした。2024年10月以来わずか25%です」と報告書は述べています。
ネットワークエッジデバイスは、中国のハッカーが通信業界や米国当局からの存在を隠すための重要なツールとなっています。VPN、小規模オフィス/ホームオフィス(SOHO)ルーター、WiFi専用ルーターをターゲットにして侵害することで、Salt Typhoonのようなグループは米国内のユーザーを装い、通常のネットワークトラフィックに溶け込むことができます。また、信頼された米国のネットワーク内で活動し、脅威ハンターによる検出を回避することも可能です。
「中国が行っていることは、米国内のIPアドレスエッジデバイスのセットを使用して、中国から出てくるネットワークトラフィックの最後の数マイルを隠すことです」とガランテ氏は言いました。「彼らは、米国のIP空間にジャンプした後、私たちの当局を利用するのがはるかに難しいことを非常によく理解しています。」
統合された市場、統合された脆弱性
通信会社が管理する技術スタックは巨大で複雑であり、業界の数十年にわたる統合の歴史を反映しています。
インターネットとデジタル化が2000年代初頭にメディアを変革する中で、通信業界は基本的な電話および接続サービスを超えて、銀行業務、モバイル金融サービス、広告を含むように拡大しました。
多くの場合、経営者は買収をその目標を達成するための最も迅速かつ効率的な方法と見なし、他の企業を買収し、その技術インフラを吸収しました。FTIDeltaのビクター・フォントによる2023年の分析では、通信業界の統合は主に、通信業界がネットワークおよびITセグメント全体でのシナジーとコスト削減を求める欲望によって推進されており、企業が急増する消費者需要を満たし、市場の存在感を拡大しようとしたことが示されています。
この戦略はデジタルセキュリティの分野で深刻な結果をもたらし、市場の最大手の多くをさまざまな機器、技術、アーキテクチャのフランケンシュタインの怪物として残しました。
「企業が他の企業を買収する際、その企業のセキュリティ脆弱性も非常に多く買収しているのです」とガランテ氏は言いました。
通信会社は地域キャリア、さまざまな技術タイプ、ネットワークを買収し、「銅線から最も先進的な5Gおよび6G技術まであらゆるものが層状に重なっています。」
「それを保護するのは特に難しく、実際にはセキュリティの姿勢を吸収し、すべての買収に対して異なる緊急対応およびCERTのような機能を構築する必要があります」とガランテ氏は言いました。
もう一人の元米国サイバーセキュリティ当局者はその意見に同意し、CyberScoopに対し、新しい買収は必然的にセキュリティ管理に新たな複雑さとリスクをもたらすと述べました。しかし、全体的に見れば、懸念は買収そのものよりも、サイバーセキュリティに関して責任を持って実施されたかどうかにあります。
「適切なレベルのデューデリジェンスを行いましたか?内部で新しい買収を同じセキュリティ基準に引き上げるために適切なレベルの統合を行いましたか?」とSalt Typhoonについて話すために匿名を要求した当局者は尋ねました。
潜在的な修正が直面するおなじみの問題
さらなる研究により、業界が脆弱性の開示と修正に対してさまざまな対応を示していることが明らかになりました。特に、最先端技術を使用しているシステムに欠陥が存在するという証拠が提示されたときに顕著です。
フロリダ大学のコンピュータおよび情報科学工学の教授であり、フロリダサイバーセキュリティ研究所の所長であるケビン・バトラー氏は、通信コアネットワークの脆弱性を調査する大規模な研究プロジェクト「Ransacked」の著者の一人です。
インタビューで、バトラー氏はセルラーネットワークを3つのレベルで考えるように言いました:ユーザー機器(つまり、携帯電話やセルラーインターフェースを持つ機器)、その機器が基地局に行う無線通信、そしてそれらのネットワークとグローバルな電話インフラストラクチャの残りをリンクするセルラーコアとの通信です。
バトラー氏のチームはその最後の部分に焦点を当て、既存の脆弱性を悪用してコアセルラーネットワークを侵害しアクセスする方法の多様性を調査しました。
彼らが最初に発見したことの一つは、多くの既存のサイバーセキュリティツールとプロトコルがそのタスクに適していないということです。
セルラーネットワークは「非常に複雑な方法で相互作用する多数のコンポーネントで構成されており」、「使用されるプロトコルの種類は通常のコンピュータネットワークプロトコルとは少し異なります。」
「これが意味するのは、通常ネットワークプロトコルを評価するために使用されるセキュリティ評価ツールの種類がセルラーネットワークにはあまり適していないということです」とバトラー氏は言いました。
ランダムまたは予期しないデータをプログラムに供給してセキュリティ問題を特定する「ファジング」として知られるサイバーセキュリティテスト手法を使用して、バトラー氏のチームはLTE/5Gコア通信インフラストラクチャのサイバーセキュリティを評価できる特注のシステムを開発しました。
彼らが発見したのは衝撃的でした:多くの一般的なLTEおよび5G実装(Open5GS、Magma、OpenAirInterface、Athonet、SD-Core、NextEPC、srsRAN)には100以上の異なる悪用可能な脆弱性がありました。これらのほとんどは、地理的な地域内でセルラー通信を妨害するために使用でき、一部のサブセットはネットワークコアへのリモートアクセスを許可する可能性があります。
一部の脆弱性について、研究者はコアネットワークに特定のメッセージを送信するとシステムのメモリが破損し、攻撃者が任意のコマンドを実行できることを発見しました。研究チームは「基本的にそのネットワークコンポーネントにコマンドアンドコントロールまたは持続的なチャネルを確立し、そこからさらなる損害を引き起こすことができる」概念実証プログラムを開発しましたと、大学の学生で論文の主著者であるナサニエル・ベネット氏は述べました。
研究に関与したもう一人のフロリダ大学教授であるパトリック・トレイナー氏は、彼らの報告書は彼らが限られたリソースで見つけることができた脆弱性のみを反映しているとCyberScoopに語りました。
しかし、おそらくさらに懸念されるのは、それらの欠陥が最終的にどのように対処されたかです。公開前に、チームは影響を受けたソフトウェアを持つオープンソースのメンテナー、商業団体、およびその他の関係者に連絡し、脆弱性開示プロセスを通じて進めました。一部は問題を真剣に受け止めましたが、他は応答しませんでした。場合によっては、責任者またはメンテナーを特定できませんでした—重要なインフラで一般的な問題—そして応答した多くの人々は、欠陥に対処するための人員や専門知識を単に欠いていました。
最終的に、ベネット氏は影響を受けたソフトウェアの多くのパッチを作成し、影響を受けた利害関係者とのコミュニケーションに数か月を費やしました。
Salt Typhoonが米国の通信業界に侵入したというニュースに対してチームがどのように反応したかを尋ねられたとき、トレイナー氏は彼らは驚かなかったと述べました。
彼は「これは私たちが見つけたものに過ぎない」と強調し、彼らが持っていた限られた専門知識とリソースであり、他の関係者やセキュリティ専門家が米国の通信ネットワークの他の部分に同様の精査を適用した場合、「さらに多くの」欠陥が特定されることを期待していると率直に述べました。
「まず、これらのネットワークは非常に複雑です」とトレイナー氏は言いました。「インターネットを保護することは十分に難しいですが、複雑さだけでなく、その閉鎖的な性質の歴史もあり、これらのシステムを見ることができる目があまり多くないことを本当に意味しています。」
ティム・スタークスがこのストーリーの報告に貢献しました。
翻訳元: https://cyberscoop.com/salt-typhoon-chinese-hackers-us-telecom-breach/