約1年前、中国のハッカーが少なくとも9つの主要な米国通信ネットワークに組織的に侵入していたというニュースが報じられた際、政策立案者たちの警戒レベルは明らかだった。
火曜日に上院商業委員会で開催された公聴会では、専門家たちが脅威について異なる評価を示した。情報機関の当局者は、ソルトタイフーン作戦による米国の高官を標的とした行為を、伝統的な地政学的スパイ活動の範囲内と位置付けているが、他の専門家は、中国による米国の通信分野での前例のない規模のハッキング活動や、より広範かつ長期的なアクセスの追求は、重要インフラに対するより体系的な攻撃であり、国家安全保障に深刻な脅威をもたらすと主張した。
ジョージメイソン大学国家安全保障研究所の事務局長ジャミル・ジャファー氏は、委員会の前で「現実として、ソルトタイフーンのような侵入に関して、我々の敵対者は我々のレッドラインがどこにあるのかを知らない」と述べた。米国がサイバースペース上で敵対国に対し、自国の境界線を効果的に伝えてこなかったためだ。
「彼らは、そのレッドラインを越えた場合に我々が何をするのかを知らないし、仮に我々がそれを執行したとしても…サイバーや通信分野では、他の敵対者が見えない形で行っている」とジャファー氏は語った。
ジャファー氏はまた、米国政府が事前に攻撃を阻止するための十分な対策を講じていないことや、通信分野のサイバーセキュリティ強化を規制に過度に依存していることを批判した。その代わりに、政府と業界のより緊密な自主的協力と情報共有を提唱した。
上院商業委員会のテッド・クルーズ委員長(テキサス州選出)と通信小委員会のデブ・フィッシャー委員長(ネブラスカ州選出)は、FCCがバイデン政権末期に発表した新たな2つの規則を撤回した最近の決定を支持した。1つ目は、数十年前の法律を解釈し、通信事業者に対し、通信が無許可の外国による傍受から保護される法的義務があるとするものだった。2つ目は、通信事業者にサイバーセキュリティ計画の年次検証をFCCに提出することを義務付けるものだった。
FCCのブレンダン・カー委員長はこれらの規則を拙速かつ効果がないと評した。また、FCCと業界の間で既に自主的なサイバーセキュリティの改善が進んでいることを挙げ、これらの規則は不要だとも述べた。
クルーズ氏はFCCの決定を支持し、これらの規則が通信事業者に「実際の脅威に対応するのではなく、コンプライアンスのチェックリストという偽りの安全を追い求めさせる」ことになり、「侵入を実際に阻止するために必要なパートナーシップや対応能力からリソースを奪う」と述べた。
「この問題には先見性と機敏さが必要であり、それは時代遅れのチェックリストやトップダウンの規制を課すことからは生まれない。民間部門と政府の強力なパートナーシップから生まれ、リアルタイムで攻撃を検知し抑止することができる」とクルーズ氏は語った。
しかし、この見解は公聴会に出席した元FCC当局者によって真っ向から否定された。
元FCC公共安全・国土安全保障局長のデブラ・ジョーダン氏は、1月に発表された規則はFCCによる「前向きな取り組み」であり、柔軟なサイバースタンダードを活用し、「次の攻撃が起こるのをただ待つ」のではなく積極的に対応しようとしたものだと議員に語った。
カー氏、クルーズ氏、フィッシャー氏が業界との協力強化で十分だと主張する一方で、ジョーダン氏は、FCCが事業者に対し具体的な約束を実際に守らせるためのプロセスを示していないと指摘した。
「局長としての経験から言えば、ボルトやソルトタイフーンの後、強力な検証体制がなければ、事業者が十分かつ継続的な対策を講じるとは確信できません」と彼女は述べた。
その後、上院議員マリア・キャントウェル(マサチューセッツ州選出)は、今年初めにAT&Tとベライゾンの両社がソルトタイフーン侵害への対応を詳述した追加文書の提出要請を断ったことを指摘した。
「透明性のある取り組みとは言えません」とキャントウェル氏は述べた。「私は、米国民が中国が今も我々の通信ネットワーク内にいるかどうかを知る権利があると信じています。」
他のFCC委員も、ソルトタイフーンをめぐるFCCの業界との関与の程度に疑問を呈している。先月、FCCのアンナ・ゴメス委員はCyberScoopに、過去1年間、通信会社との実質的な議論を目撃したことはなく、そのような会話があった証拠はカー氏の発言しかないと述べた。
また、ゴメス氏は、FCCによる通信サイバーセキュリティ規則の撤回が「私が見た中で唯一意味のあるソルトタイフーンへの規制対応を排除することになる」と嘆いた。
カー氏、クルーズ氏、フィッシャー氏は、中国のファーウェイやZTEといった企業の通信機器の撤去・交換を義務付ける既存の法律や規制を、政府が脅威に対し大きな対応を取っている証拠として強調した。
しかし、公的当局によれば、ソルトタイフーンの侵入には中国製通信機器は関与していないようで、ハッカーは主に通信業界全体のサイバーセキュリティの脆弱さを利用していたという。キャントウェル氏は、ハッカーが何年も前から公になっている未修正の脆弱性や、弱いパスワード、多要素認証の欠如といった基本的な弱点を突いてネットワークに侵入したと指摘した。
上院議員ベン・レイ・ルジャン(ニューメキシコ州選出)は、FCCによる規制撤廃を強く批判した。彼は、上院商業委員会が昨年ソルトタイフーンの侵入に関する公聴会を開いたにもかかわらず、その後ほとんど何も通信ネットワークの安全確保のために行われていないと指摘し、FCCは業界からの「指切りげんまん」に規制権限を譲り渡していると述べた。
「FCCはこれらの保護策を撤廃し、既にデータ侵害の脆弱性が明らかになっている企業との自主的な誓約や握手に置き換えました」と彼は述べた。「率直に言えば、これらの企業はデータ侵害後も玄関の鍵をかけずに放置しており、FCCは彼らが『デッドボルトや防犯カメラを設置した』という言葉を信じることにしたのです。」
ゴメス氏、ジョーダン氏、ルジャン氏、ジャファー氏は全員、ソルトタイフーンを米国の通信ネットワークおよび重要インフラに対する現行の脅威と位置付け、グループが悪用した脆弱性が米国の緊急通信を妨害または傍受するために利用される可能性について懸念を示した。
「大手キャリアだけの問題ではないことが分かります」とルジャン氏は述べた。「私は、学校、病院、図書館、警察署、緊急対応機関もすべて脅威にさらされており、外国の敵対者から自らを守るためのリソースが不足していることを懸念しています。」
翻訳元: https://cyberscoop.com/salt-typhoon-senate-commerce-hearing-fcc-telecom-cybersecurity/
