セキュリティリーダーは今回の撤回を「驚くほど無能」と呼び、通信業界史上最大級の侵害後に導入された重要な管理策が削除されたと警告している。
米連邦政府は、広範囲に及んだSalt Typhoon攻撃を受けて、重要インフラを保護するための義務付けを撤回している。
連邦通信委員会(FCC)は、米国の通信事業者により厳格なサイバーセキュリティ対策の導入と認証を義務付ける2025年1月の宣言的決定を撤回した。この決定は、通信事業者や製造業者に対し、法執行機関からの合法的な要請があった場合に監視が可能となるようサービスや機器を設計することを求める通信支援法(CALEA)に基づいて発効していた。
しかし、この撤回はFCC自身の委員からも非難され、セキュリティ専門家たちも懐疑的な目を向けている。
「これは、重要インフラと国家サイバーセキュリティに『蹴ってください』という張り紙を貼るようなものだ」と、David Shipley氏(Beauceron Security CEO)は語った。
FCC:宣言的決定は「違法かつ無効」
Salt Typhoon攻撃は2024年10月に公表され、米国最大手の通信会社を含む多数の企業に影響を及ぼした。ハッカーは米政府が利用する中核システムにアクセスし、高官に関する極めて機密性の高い情報を傍受した可能性もある。
1月の宣言的決定は、通信事業者に「違法なアクセスや傍受」からネットワークを守る法的義務を課し、機器だけでなくネットワーク管理方法にも責任があることを強調していた。
この決定には、通信会社に対しサイバーセキュリティリスク管理計画の策定・更新・実施および年次認証を義務付ける規則制定通知(NPRM)が含まれていた。
しかし今週、FCCは宣言的決定がCALEAを「誤解釈」しており、「欠陥があり」「違法かつ無効」であると主張した。
同庁によれば、今回の措置は「通信サービスプロバイダーとの数か月にわたる協議」の結果であり、Salt Typhoon後に「強化されたサイバーセキュリティ態勢」が示されたという。
FCCによれば、これらの事業者はサイバー攻撃からネットワークを守り、運用リスクを軽減し、消費者を保護し、国家安全保障上の利益を守るために「広範かつ緊急で協調的な取り組み」を行うことに合意した。
委員会はさらに、通信ネットワークの強化とセキュリティ向上のために「一連の措置」を講じてきたと付け加えた。これには、セキュリティパートナーと連携する国家安全保障評議会の設置や、リスク管理計画が整備されてから海底ケーブルライセンスを付与するなど、「柔軟性のない曖昧な要件」を課さない形で重要インフラ向けの規則を採用したことが含まれる。
さらにFCCは、「悪質なラボ」—特に中国などの外国勢力が所有・支配する機器試験会社—を機器認証プログラムから排除し、「こうした組織が国家安全保障上のリスクとなる信頼できない関係者の影響を受けないようにした」としている。
Salt Typhoonの余波は今も続く
Salt Typhoonは、AT&T、チャーター・コミュニケーションズ、コンソリデーテッド・コミュニケーションズ、ルーメン・テクノロジーズ、T-Mobile、ベライゾン、ウィンドストリームなどの大手通信事業者に影響を与えた。しかし、法執行機関や情報機関は、その影響がさらに広範囲に及び、米国内で少なくとも200組織、さらに80か国以上の組織が被害を受けたと警告している。
連邦調査によれば、この攻撃により中国政府は通話の録音、数百万人の位置特定、米国大統領や副大統領を含む特定個人の標的化が可能となった。グループは当初、通信事業者のルーターを悪用し、これらの機器と信頼された接続を利用して他のネットワークに侵入し、連邦法執行機関が利用する盗聴システムの情報にもアクセスしたという。
Salt Typhoonは「史上最悪のサイバー攻撃の一つだ」と、米上院議員マリア・キャントウェル氏(上院商業・科学・運輸委員会筆頭委員)は述べ、今回の決定撤回に強く反対した。
FCCのアンナ・M・ゴメス委員は、今回の決定に唯一反対票を投じたFCCメンバーであり、この動きについて「Salt Typhoon侵害が発覚した当日よりも、米国民の保護が弱まることになる」と指摘した。
撤回は「国の安全を損なう」
1月の宣言的決定は、Salt Typhoon攻撃に対応して取られた「唯一の具体的な連邦規制措置」だったと彼女は指摘した。中国支援グループによる試みはこれが最後ではないと強調し、より強力なセキュリティ管理策がなければ「今後も成功する攻撃が続くだろう」と述べた。
「FCCは、まさにこれらの脅威が増大しているこの瞬間に、国の安全を損なっている」とゴメス氏は語った。
キャントウェル上院議員は、撤回がSalt Typhoonの標的となった通信事業者自身による「強力なロビー活動」の後に行われたと指摘した。彼女は以前、ベライゾンとAT&TのCEOに対し、「ネットワークに深く侵入した」脆弱性をどのように修正したかを文書で提出するよう求めていたが、彼らはこの情報を提供していない。
「私は、[FCCの]通信事業者へのサイバーセキュリティ要件撤廃が、国家安全保障問題における弱腰の一環ではないかと懸念している」とキャントウェル氏は主張した。
BeauceronのShipley氏は、撤回への批判をさらに強め、「特に過去2年間で中国国家系ハッカーが通信分野にもたらした被害を考えると、これは驚くほど無能だ」と述べた。議会が介入することを望むと彼は語った。
最終的に彼は、「通信事業者向けのサイバーセキュリティ基準を撤回するより愚かなアイデアは、他に思いつかない」と述べた。
