中国と関連する高度持続的脅威(APT)グループであるSalt Typhoonは、世界中のネットワーク、特に通信、政府、交通、宿泊、軍事インフラ分野の組織を標的とした攻撃を継続しています。
「これらの攻撃者は、大手通信事業者の基幹ルーターやプロバイダーエッジ(PE)、カスタマーエッジ(CE)ルーターに注目する一方で、侵害されたデバイスや信頼された接続を利用して他のネットワークへも横展開します」と、水曜日に公開された共同サイバーセキュリティ勧告は述べています。「これらの攻撃者は、ネットワークへの持続的かつ長期的なアクセスを維持するためにルーターを改変することがよくあります。」
13カ国の当局による通達によると、この悪意ある活動は中国の3つの企業、四川聚信合網絡科技有限公司、北京寰宇天穹信息科技有限公司、四川智信瑞傑網絡科技有限公司に関連付けられています。
これらの企業は、中国の情報機関にサイバー関連の製品やサービスを提供しており、特に通信事業者やインターネットサービスプロバイダー(ISP)に対する侵入から盗まれたデータは、北京が標的の通信や動きを世界規模で特定・追跡する能力を与えていると当局は述べています。
米連邦捜査局(FBI)サイバー部門の責任者であるブレット・リースマン氏は、Salt Typhoonは少なくとも2019年から活動しており、「世界的な通信のプライバシーとセキュリティ基準を侵害する」ことを目的とした持続的なスパイ活動を行っていると述べました。
本日発表された独自の警告で、オランダの情報・安全保障機関MIVDとAIVDは、国内の組織は米国ほどSalt Typhoonハッカーから注目されていなかったものの、脅威アクターは小規模ISPやホスティングプロバイダーのルーターにアクセスしたと述べています。ただし、これらのネットワークにさらに侵入した証拠はありません。
このセキュリティ勧告に共同署名した国には、オーストラリア、カナダ、チェコ共和国、フィンランド、ドイツ、イタリア、日本、オランダ、ニュージーランド、ポーランド、スペイン、イギリス、アメリカが含まれます。
「少なくとも2021年以降、この活動は政府、通信、交通、宿泊、軍事インフラなどの重要分野の組織を世界的に標的としており、イギリスでは活動の集中的なクラスターが観測されています」と、英国国家サイバーセキュリティセンターは述べています。
ウォール・ストリート・ジャーナルおよびワシントン・ポストによると、このハッカー集団は他の分野や地域にも標的を拡大し、米国内200組織を含む600組織、80カ国以上を攻撃しています。
Salt Typhoonは、GhostEmperor、Operator Panda、RedMike、UNC5807としても追跡されている活動と重複しており、Cisco(CVE-2018-0171、CVE-2023-20198、CVE-2023-20273)、Ivanti(CVE-2023-46805、CVE-2024-21887)、Palo Alto Networks(CVE-2024-3400)の公開ネットワークエッジデバイスの脆弱性を悪用して初期アクセスを獲得していることが確認されています。
「APTアクターは、特定のデバイスの所有者に関係なくエッジデバイスを標的にする可能性があります」と当局は指摘しています。「攻撃者の主要な関心対象と一致しない組織が所有するデバイスであっても、標的への攻撃経路として利用される可能性があります。」
侵害されたデバイスは他のネットワークへの横展開に利用され、場合によってはデバイスの設定を改変し、持続的なアクセスやデータ流出のために汎用ルーティングカプセル化(GRE)トンネルを追加することもあります。
標的ネットワークへの持続的なアクセスは、アクセスコントロールリスト(ACL)を変更して攻撃者が管理するIPアドレスを追加したり、標準および非標準ポートを開放したり、対応するCiscoネットワーク機器上のLinuxコンテナでコマンドを実行してツールを設置・データ処理・環境内での横移動を行うことで実現されます。
攻撃者はまた、Terminal Access Controller Access Control System Plus(TACACS+)などの認証プロトコルを利用してネットワーク機器間の横移動を可能にし、同時に広範な探索活動を行い、侵害したルーターを通じて認証情報を含むネットワークトラフィックを取得し、ネットワーク内部にさらに深く侵入します。
「APTアクターは、侵害したシステム上のネイティブツールを使ってPCAPを収集し、主な目的はTCPポート49を通じたTACACS+トラフィックの取得である可能性が高い」と当局は述べています。「TACACS+トラフィックは認証に使われ、ネットワーク機器の管理や特権管理者のアカウント・認証情報も含むため、攻撃者が追加アカウントを侵害し横移動を行うことが可能になります。」
さらに、Salt TyphoonはCisco IOS XRデバイス上でsshd_opernsサービスを有効化し、ローカルユーザーを作成してsudo権限を与え、TCP/57722経由でログイン後にホストOSでroot権限を取得することが確認されています。
Google傘下のMandiantは、勧告に協力した多くの業界パートナーの一つであり、脅威アクターが通信システムに精通していることが防御回避において大きな優位性をもたらしていると述べています。
「中国のサイバースパイ活動の中心には、請負業者、学術関係者、その他の協力者から成るエコシステムがあります」とGoogle Threat Intelligence Groupの主任アナリスト、ジョン・ハルトクイスト氏はThe Hacker Newsに語りました。「請負業者はツールや価値あるエクスプロイトの開発、侵入作業の実行に使われており、これらの活動の急速な進化と前例のない規模への拡大に大きく貢献しています。」
「通信分野への標的に加え、このアクターによる宿泊・交通分野への攻撃は、個人を密接に監視するために利用される可能性があります。これらの分野から得られる情報は、誰と話しているのか、どこにいるのか、どこへ向かっているのかといった個人像を詳細に把握するために使われます。」
翻訳元: https://thehackernews.com/2025/08/salt-typhoon-exploits-cisco-ivanti-palo.html