研究者らは、かつてCisco独自の教育プログラムで訓練を受けた2人の中国人ハッカーが、現在ではCiscoデバイスを標的とする世界で最も高度なスパイ活動キャンペーンの一つを主導していることを明らかにしました。
米国と30を超えるパートナー国が共同で発表した勧告によると、この2人は現在、世界の通信ネットワークへの大規模な侵入に直接関与する企業を運営しています。
この2人は「暗号化されていない通話やテキストの傍受、そして合法的傍受(CALEA)システムへの侵入を含む、広範な情報収集活動」を構築したと、述べています とSentinelOneの研究者は指摘しています。
トレーニングが攻撃ベクターになるとき
この発見は、企業とベンダーの双方にとって非常に皮肉なセキュリティリスクを浮き彫りにしています。つまり、ハッカーたちは、本来は高度な人材を育成することを目的とした正式なCisco Network Academyのトレーニングを利用し、かつて学んだそのプラットフォーム自体を悪用しているのです。
SentinelOneの分析によれば、Salt Typhoonは世界中で80社以上の通信事業者に侵入し、米国の著名な政治家や外交専門家が関わる暗号化されていない通話やメッセージを傍受しました。
このキャンペーンはCALEAの合法的傍受システムも侵害しており、情報面でのインパクトをさらに増幅させるとともに、サプライチェーンとインフラのレジリエンスに対する懸念を高めています。
Network Academyから国家支援オペレーターへ
この2人のオペレーターは、中国の西南石油大学在学中の2012年にCisco Network Academy Cupに出場し、Qiuのチームは全国3位、Yuyangのチームは四川省で2位に入賞しました。
彼らの履修内容には、Cisco IOS、ASAファイアウォール、コアネットワーク管理への深い理解が含まれており、その知識は後に標的型攻撃のために武器化されました。
研究者らは、この事例は、地政学的に敏感な市場で提供されるトレーニングプログラムが、国家による人材リクルートの仕組みや長期的な情報活動の目的と結びついた場合、海外における攻撃的サイバー能力の加速を意図せず助長しうることを示していると指摘しています。
国家による通信インフラへの攻撃
Salt Typhoonの活動は、2024年9月に初めて公表されており、過去10年で最大級の通信インフラを標的とした情報活動キャンペーンの一つとされています。
攻撃者は、ルーター、ファイアウォール、ネットワークインフラの侵害に注力し、世界中に分散したキャリア環境で一般的な、脆弱な認証、古いファームウェア、設定ミスなどをしばしば悪用しました。
一度侵入に成功すると、彼らは平文の通信を傍受し、合法的傍受システムにアクセスし、機微なメタデータを外部に持ち出しました。
この活動はCisco製品の特定のCVEを悪用しているわけではないものの、ネットワークプロトコル、デバイスアーキテクチャ、管理ツールに対して内部者レベルの知識を持つ高度な訓練を受けたアクターがもたらすシステミックなリスクを示しています。
ネットワーク制御プレーン全体でリスクを管理する
ネットワークインフラを標的とした最近のキャンペーンは、アクセス制御と監視が不十分な場合、信頼されたデバイスがどれほど素早く高価値の足掛かりとなりうるかを示しています。
こうした環境では、攻撃者は目立つエクスプロイトを必要とせず、永続化、設定の悪用、不十分なガバナンスに依存して長期的なアクセスを維持します。
このリスクを低減するには、個々のデバイスにパッチを当てるだけでは不十分であり、ネットワーク管理プレーン全体にわたる一貫した堅牢化、可視性、制御が求められます。
- レガシープロトコルを無効化し、多要素認証(MFA)を必須とし、管理プレーンへのアクセスを信頼できるネットワークおよびIPレンジに制限することで、すべてのネットワークデバイスに対して強力な認証とアクセス制御を適用する。
- ルーター、ファイアウォール、VPN、合法的傍受システムを完全にパッチ適用し継続的に監視し、インターネットに面したインフラや高リスクの通信コンポーネントを優先する。
- 専用ネットワーク、厳格なACL、改ざん不可能なオフデバイスログを用いて管理プレーンを分離・堅牢化し、不正アクセスや設定変更を検知する。
- 異常な設定ドリフト、新規または休眠状態の管理アカウント、不審な外向き接続、ルーティングや傍受設定の改変など、長期的な永続化の兆候を監視する。
- ゼロトラストの原則とネットワークセグメンテーションを適用し、被害範囲を限定し、デバイスの完全性を継続的に検証し、単一の侵害システムからの横方向移動を防止する。
- 資格情報のローテーション、機微な変更に対する複数人承認の徹底、サードパーティアクセスの監査、ステルス性の高いインフラ悪用の積極的なハンティングなどにより、運用ガバナンスを強化する。
これらのプラクティスを組み合わせることで、組織はネットワークインフラのセキュリティと信頼性を向上させることができます。
この事例は、グローバルな技術教育と国家安全保障の交差点にある、より広範な課題を浮き彫りにしています。
一部の政府が、西側テクノロジーへの依存を減らす政策を追求する一方で、攻撃的サイバー能力への投資も進めている中、そうした地域でのベンダー主導のトレーニングプログラムは、意図せぬ長期的リスクをもたらす可能性があります。
Ciscoの例は、グローバルな人材パイプラインの構築を目指す取り組みが、将来の敵対者に対して製品固有の深い専門知識を与えてしまう場合があることを示しています。
国家と連携した脅威グループが、技術的スキル、地政学的な意図、グローバルインフラへのアクセスをますます組み合わせるようになる中で、組織はインフラセキュリティを単独のコントロールとしてではなく、全体的なサイバー・レジリエンスの基盤要素として捉える必要があります。
こうしたダイナミクスは、多くの組織が、侵害を前提としアクセスを継続的に検証する ゼロトラストソリューションへと舵を切っている理由を裏付けています。
