Salt Typhoonが米国州兵を9か月間ハッキング、全米のネットワークにアクセス

中国支援のAPTグループ「Salt Typhoon」は、米国のある州の陸軍州兵ネットワークを9か月間にわたり大規模に侵害し、機密性の高い軍事データを盗み、他のすべての米国の州および少なくとも4つの領土のネットワークにアクセスしたと、国土安全保障省（DHS）のメモが警告しています。この侵害は全米の重要インフラへの攻撃を容易にする可能性があります。

DHSのメモ（2024年6月11日付）によると、2024年3月から12月にかけてSalt Typhoonは「米国のある州の陸軍州兵ネットワークを大規模に侵害し、ネットワーク構成や、他のすべての米国州および少なくとも4つの米国領土のネットワークとのデータ通信などを収集した」とされています。

この文書は国家安全保障の透明性を推進する非営利団体Property of the Peopleによって入手され、NBCニュースが最初に報じました。これまでにもSalt Typhoonは、AT&T、Verizon、Lumen Technologiesなどの大手通信会社の侵害を含む、米国重要インフラに対する大規模なスパイ活動と関連付けられてきました。

重要インフラを標的とした広範なキャンペーンの一部

今回の州兵侵害は、Salt Typhoonによる米国政府および重要インフラ組織を標的とした、より大規模なキャンペーンの一部です。メモによると「2023年と2024年に、Salt Typhoonはエネルギー、通信、運輸、水・廃水など12分野の約70の米国政府および重要インフラ組織に関連する1,462件のネットワーク構成ファイルも盗み出した」とされています。

これらの構成ファイルは「他のネットワークへのさらなるコンピュータネットワーク侵害（データの取得、管理者アカウントの操作、ネットワーク間の横移動など）を可能にする恐れがある」と文書は説明しています。

州兵の連邦・州の二重の役割と地方政府システムとの広範な接続性のため、この侵害は米国のサイバーセキュリティ防御に特に大きなリスクをもたらします。メモは「Salt Typhoonが全米の州兵ネットワークを侵害したことで、地方の重要インフラ防御のサイバーセキュリティ努力が損なわれる可能性がある」と警告しています。

この懸念は、「約14州では陸軍州兵部隊がサイバー脅威情報の共有を担う州のフュージョンセンターと統合されている」ことからさらに高まっています。少なくとも1つの州では「地元の陸軍州兵部隊が直接ネットワーク防御サービスを提供しており」、重要インフラ保護の観点からこの侵害は特に深刻です。

機密性の高い軍事データが盗まれる

攻撃者は9か月間の侵入期間中に、極めて機密性の高い軍事およびインフラ情報にアクセスしました。メモによると「2024年、Salt Typhoonはある州の陸軍州兵ネットワークへのアクセスを利用し、管理者認証情報、ネットワークトラフィック図、州内各地の地理的位置の地図、隊員の個人情報（PII）を流出させた」とされています。

即時的なデータ窃取にとどまらず、メモはSalt Typhoonのネットワークアクセスにより「州のサイバー防御態勢や、州のサイバーセキュリティ担当者の個人情報（PII）や勤務地など、将来のサイバー攻撃の標的選定に利用されうる情報も含まれる可能性がある」と警告しています。

この侵害により「北京は、他州の陸軍州兵部隊や多くの州レベルのサイバーセキュリティパートナーのハッキングを容易にするデータを得た可能性が高い」とメモは指摘しています。

一貫した悪用の手口

Salt Typhoonは、盗み出したネットワークデータを利用して後続の攻撃を行う一貫した手法を示しています。メモによれば「Salt Typhoonはこれまでにも流出したネットワーク構成ファイルを利用して他所でサイバー侵入を実行してきた」とされています。

具体的には「2024年1月から3月にかけて、Salt Typhoonは他の米国政府および重要インフラ組織、少なくとも2つの州政府機関に関連する構成ファイルを流出させました。これらのファイルのうち少なくとも1つは、他の米国政府機関ネットワーク上の脆弱なデバイスの侵害に利用されました。」

メモは、構成ファイルへのアクセスが「認証情報、ネットワークトポロジーの詳細、セキュリティ設定など、脅威アクターがアクセス維持やデータ流出に必要な機密情報を提供しうる」と説明しています。

文書は、Salt Typhoonが州レベルのサイバーセキュリティパートナーを侵害した場合の深刻な結果について警告し、「危機や紛争時に中国のサイバー攻撃から米国重要インフラを守る州レベルのサイバーセキュリティパートナーの能力が損なわれる可能性がある」と述べています。

この脅威は、州と連邦のサイバーセキュリティ運用が相互に連携しているため、1つのシステムの侵害が複数のネットワークや管轄区域に連鎖的に波及する可能性がある点で特に懸念されます。

技術的手法と脆弱性

メモはSalt Typhoonの攻撃手法に関する技術的詳細も記載しており、2023年以降、同グループは「複数の一般的な脆弱性（CVE）を、活動を隠すためにさまざまなリースされたIPアドレスを使って悪用してきた」と述べています。

文書には、同グループが悪用した具体的なCVE（CVE-2018-0171、CVE-2023-20198、CVE-2023-20273、CVE-2024-3400）と関連する悪意あるIPアドレスが記載されています。

このような攻撃への防御策として、メモは「ネットワーク防御担当者は、サイバー攻撃への耐性を高めるためにネットワーク機器を強化し、ネットワーク活動の適切な監査とログ管理を維持するというベストプラクティスに従うべき」と推奨しています。

国防総省および陸軍州兵は、この侵害に関するコメント要請にすぐには応じませんでした。

メモの公開は、トランプ政権がSalt Typhoonによる米国通信会社への攻撃を調査していたサイバー安全審査委員会を解散したタイミングと重なっており、脅威に対する継続的な監督が制限される可能性があります。文書は、Salt Typhoonが州兵ネットワークを侵害したことで、米国が中国との危機や紛争時に重要インフラを守る能力に広範な影響が及ぶ可能性があると警告しています。