米国と同盟国、中国関連の攻撃者が重要インフラを引き続き標的にしていると警告

米国および他12カ国は水曜日、中国政府が支援するハッカーが、よく知られたSalt Typhoon活動を含む長年にわたるキャンペーンの一環として、重要インフラや政府のコンピュータシステムを標的にしていると発表しました。

「外国の通信およびインターネットサービスプロバイダー（ISP）に対するこの活動によるデータの窃取や、宿泊・交通分野への侵入は、最終的に中国の情報機関に、世界中で標的の通信や移動を特定・追跡する能力を与え得る」と、同盟国政府は共同勧告で述べています。

FBIの広報担当者がCybersecurity Diveに語ったところによると、中国関連のキャンペーンは米国内の200以上の標的を含む、80カ国以上の組織に侵入しています。

この勧告では、攻撃者の手法（初期アクセスからデータ流出まで）、ハッカーがネットワークトラフィックを復号して管理者認証情報を収集しようとした事例、脅威ハンティングの戦略、そして緩和策が説明されています。

中国のサイバー攻撃がいかに広範囲に及んでいるかを示すように、多くの米国同盟国がFBI、サイバーセキュリティ・インフラセキュリティ庁（CISA）、NSA、国防総省サイバー犯罪センターとともにこの勧告を発表しました。「ファイブアイズ」情報共有同盟の他のメンバー（オーストラリア、カナダ、ニュージーランド、英国）に加え、チェコ共和国、フィンランド、ドイツ、イタリア、日本、オランダ、ポーランド、スペインの政府も警告を共同発表しました。

同盟国政府は「ネットワーク防御担当者に対し、悪意のある活動を積極的に調査し、この[勧告]に記載された緩和策を適用して、中国国家支援およびその他の悪意あるサイバー活動の脅威を低減するよう強く求める」と述べています。この勧告には、中国関連の攻撃に対する政府および業界のインシデント対応調査から得られた情報が含まれています。

新たな勧告によると、複数の中国企業が北京の攻撃を支援しており、そのうち3社が名指しされています：四川聚信合網絡科技有限公司（米財務省が1月に制裁した企業）、北京寰宇天穹信息技術有限公司、四川智信瑞傑網絡科技有限公司です。

「中国に拠点を置くこれらの商業企業が、世界規模で無制限の悪意あるサイバー活動キャンペーンを可能にしているという無責任な行動に、私たちは深く懸念しています」と、英国国家サイバーセキュリティセンターの最高責任者リチャード・ホーン氏は声明で述べました。

Salt Typhoonのハッカーは、通信会社に侵入することで、通話記録や裁判所命令による盗聴に関する情報、その他北京が関心を持つ人物の所在特定に役立つ機微なデータを盗み出すことができました。

「通信分野を標的とすることに加え、この攻撃者による宿泊・交通分野への攻撃も報告されており、個人の厳重な監視に利用される可能性があります」と、Googleの脅威インテリジェンスグループの主任アナリスト、ジョン・ハルトクイスト氏は声明で述べています。「これらの分野から得られる情報は、誰が誰と話しているのか、どこにいるのか、どこへ向かっているのかという全体像を把握するのに利用され得ます。」

このキャンペーンは、北京が協力企業に自由に標的を選ばせていたため、従来のスパイ活動の枠を超えていたと、FBIサイバー部門副部長のブレット・リースマン氏がワシントン・ポスト紙に語っています。

「ここでのプライバシーの期待は、米国だけでなく世界中で侵害されました」とリースマン氏は述べています。「これは、サイバースペース運用の常識をはるかに超える形で、世界中の重要インフラを幅広く無差別に標的にしていることを示しています。」

この勧告は、中国支援のハッカーによる活動について、侵入者が標的にしたネットワーク製品の一部リストを含め、これまでで最も詳細な調査を提供しています。

中国支援のハッカーは「大手通信事業者の大規模バックボーンルーターや、プロバイダーエッジ（PE）およびカスタマーエッジ（CE）ルーターに注力している」と勧告は述べていますが、攻撃者は標的に近い他のデバイスにも侵入し、最終的にそのネットワークに入り込むこともあります。さらに、文書では「ハッカーはしばしばルーターを改変し、ネットワークへの持続的かつ長期的なアクセスを維持する」と警告しています。

Salt Typhoonのハッカーは、通信システムに関する独自の知識を持ち、それが検知回避に役立っているとハルトクイスト氏は述べています。

「私たちが遭遇する非常に成功した中国のサイバー諜報活動者の多くは、標的が使用する技術に深い専門知識を持っています」と彼は述べ、「それが彼らに優位性を与えている」と語りました。