中国関連の脅威追跡を専門とするセキュリティ研究者が、Salt Typhoonのメンバー2人が、かつてCiscoが運営するトレーニング制度の受講者だったと主張している。
SentinelLabsのダコタ・ケリー(Dakota Cary)氏は、中国国家系ハッカー集団のメンバーとされる于洋(Yu Yang)氏と邱代兵(Qiu Daibing)氏を、2012年のCisco Networking Academy Cupの参加者と結び付けた。
この取り組みは現在も続いている。通常は数カ月にわたって実施され、基礎的なサイバーセキュリティスキルを学ぶ初心者向けの内容で、習得したスキルはキャプチャ・ザ・フラッグ(CTF)イベントのような競技で試される。
于氏と邱氏はともに北京寰宇天穹科技(Beijing Huanyu Tianqiong)の共同オーナーであり、国際的なセキュリティ勧告では、Salt Typhoonの活動を隠すフロント企業として名指しされている中国テック企業の一つだ。
2人の過去を掘り下げたところ、ケリー氏は、于氏と邱氏が中国で開催されたCiscoのアカデミーカップにおいて、西南石油大学を代表していたことを突き止めた。于氏のチームは四川地域で2位となり、邱氏のチームは同地域で優勝し、その後、全国大会で3位に入賞した。同大学は学術的な名門校というわけではないにもかかわらず、である。
研究者はまた、Cisco Networking Academy Cupへの参加とそこで受けたトレーニング、そしてその後、北京の意向を受けて悪用したとされる製品との関連性にも言及した。
同氏はこう述べている。「Cisco Networking Academyは1997年に始まり、1998年に中国市場に参入した。Cisco Networking Academyで扱われた内容の中には、Salt Typhoonが悪用した多くの製品が含まれていた。Cisco IOSやASAファイアウォールなどだ。」
2024年に初めて公表されて以来、各国のサイバー機関は、Salt Typhoonが展開した大規模キャンペーンによって、少なくとも世界80社以上の通信事業者が侵害されたと述べている。
これらの攻撃により、中国は選挙で選ばれた公職者同士の秘密通信や、米国の法執行機関によるCALEA要請などを傍受できるようになった。このキャンペーンは、米国史上最も深刻かつ機微なサイバーセキュリティ侵害の一つであり続けている。
「こうしたハイテクな新奇性のすべては、古くからある物語を覆い隠しているだけだ。熟練の師匠が弟子を育て、弟子は指導を受けて技を極め、やがて両者の間で長年くすぶってきた根本的なイデオロギーの違いを理由に、弟子が師匠に取って代わるという物語だ」とケリー氏は語る。
「ゴードン・ラムゼイとマルコ・ピエール・ホワイトの確執、オビ=ワン・ケノービの下でのアナキンの台頭、そして陳独秀の下での毛沢東の共産主義研究など、いずれもこの型にはまる。」
なお、ケリー氏自身も認めているように、Ciscoやそのアカデミーカップが、2人が後に北京のためにサイバースパイとして活動することに直接関与したことを示すものは何もない。
「このプログラム自体が懸念の原因となるわけではなく、参加したことをもって問題視すべきではない。」
ケリー氏は、この調査結果から、地政学的に友好的ではない地域で現地トレーニングを提供するベンダーは、攻撃的能力に関する知識が敵対勢力の手に渡る可能性が高いことを認識すべきだと示唆していると述べた。
また、学歴は職場での能力を予測する信頼できる指標ではなく、攻撃チームはHuaweiのICTアカデミーのような類似のトレーニング施策に自分たちの人材を参加させることで恩恵を受ける可能性があることも思い起こさせる。
「邱氏と于氏の事例を踏まえた今になって初めて、セキュリティ研究者は、そうした取り組みが結果的に攻撃側の研究者を後押ししてしまった可能性を認識できる」とケリー氏は述べる。「Microsoftが国家安全省(MSS)とソースコードを共有したことは、長らくセキュリティコミュニティの間でファウスト的取引だと評されてきた。
「教育イニシアチブはそこまでの評価には達していないが、中国共産党が国産技術で国内のコンピュータネットワークを作り替えようとしている今――それが目標であることは『Delete America』文書が明確に示している――リターンよりもリスクの方が大きくなる可能性がある。」
The Registerはコメントを求めてCiscoに連絡した。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/11/salt_typhoon_cisco_training/
