新レポートでSalt Typhoon APTの手法が明らかに

13か国の政府情報機関およびサイバーセキュリティ機関が、世界中の通信、政府、交通、宿泊、軍事インフラネットワークを標的とした中国政府支援のAPTグループ「Salt Typhoon」による手法の詳細を記載した共同勧告を発表しました。各機関は、Salt Typhoonの活動が、人民解放軍（PLA）や中国国家安全省（MSS）にサイバー関連製品やサービスを提供する3つのテクノロジー企業を含む複数の中国組織に関連しているとしています。

「この活動を通じて外国の通信事業者やインターネットサービスプロバイダー（ISP）から盗まれたデータ、さらに宿泊・交通分野への侵入は、最終的に中国の情報機関に世界中の標的の通信や移動を特定・追跡する能力を与える可能性があります」と、各機関はレポート内で述べています。

Salt Typhoonは、サイバーセキュリティ業界ではOperator Panda、RedMike、UNC5807、GhostEmperorなどとも呼ばれており、2024年末から今年初めにかけて、AT&T、Verizon、T-Mobile、Lumen Technologies、Charter、Consolidated、Windstream Communicationsなどの米国主要通信事業者やISPが侵害されたことが明らかになり、機密通信のスパイ活動が注目を集めました。

ネットワークエッジデバイスの既知の脆弱性を利用した侵入

これまでのところ、Salt Typhoonはゼロデイ脆弱性の悪用とは関連付けられていませんが、パッチが未適用の既知の脆弱性（nデイ）を繰り返し利用しています。ネットワークセキュリティ機器を含むネットワークエッジデバイスの脆弱性が、グループの頻繁な標的となっているようです。共同レポートでは、Ivanti Connect SecureおよびIvanti Policy Secureの脆弱性CVE-2024-21887、Palo Alto Networks PAN-OS GlobalProtectのCVE-2024-3400、Cisco Internetworking Operating System（IOS）XEのCVE-2023-20273およびCVE-2023-20198、Cisco IOSおよびIOS XEのCVE-2018-0171が強調されています。

「APTアクターは、特定のデバイスの所有者に関係なくエッジデバイスを標的にする可能性があります。攻撃者の主要な標的と一致しない組織が所有するデバイスであっても、攻撃経路として利用される機会が存在します」とレポートは指摘しています。

また、グループは、ボットネットや悪意のある活動とこれまで関連付けられていない侵害済みルーターや仮想プライベートサーバーをプロキシとして利用し、トンネルを設定することでも知られています。デバイスは、他のネットワークへ侵入するために悪用可能な、信頼されたプロバイダー間やプロバイダーと顧客間のリンクがないかも調査されます。

持続的な侵入を維持するためによく使われる手法の一つは、デバイスのアクセス制御リスト（ACL）を改変し、攻撃者が管理するIPアドレスを追加することです。SSH、SFTP、FTP、RDP、HTTPなどの非標準ポートでサービスを開放することも、侵害されたデバイスでよく観察されています。

「侵害されたネットワークデバイス上のSimple Network Management Protocol（SNMP）の設定によっては、APTアクターが同じコミュニティグループ内の他のデバイスの設定を列挙・変更することが可能です」と各機関は述べています。

Salt Typhoonの横移動とデータ収集

ネットワーク内部にさらに侵入するため、攻撃者はTerminal Access Controller Access Control System Plus（TACACS+）やRemote Authentication Dial-In User Service（RADIUS）など既存の認証プロトコルを過度に利用します。Managed Information Base（MIB）、各種ルーターインターフェース、Resource Reservation Protocol（RSVP）セッション、Border Gateway Protocol（BGP）ルート、デバイスに既にインストールされているソフトウェアも悪用の対象となります。

攻撃者はまた、設定ファイルや、加入者情報、顧客記録、ネットワーク図、デバイス構成、ベンダーリスト、パスワードなどのプロバイダーが保有するデータを探します。

侵害されたルーターのパケットキャプチャ機能を利用して、RADIUSやTACACS+の認証トラフィックを取得し、暗号化されていない形で送信された認証情報の抽出を狙うことが日常的に行われています。時には、攻撃者がルーターのTACACS+サーバー設定を自分たちが管理するIPアドレスに向け、認証リクエストを直接取得することもあります。

特にCisco製の侵害されたルーターでは、新規アカウントの追加やインターフェースでのトラフィック監視、設定ファイルの表示やログの消去を行うコマンドの実行、トンネルの設定、ルーティングテーブルの更新、Guest Shellコンテナの実行など、さまざまな設定変更が行われます。

攻撃者は、ネットワーク間の既存のピアリング接続を利用してデータを持ち出し、疑念を抱かれないように高トラフィックノードが発生させるノイズに紛れさせたり、GREやIPsecなどの暗号化トンネルにカプセル化して隠蔽します。

通信事業者は脅威ハンティングを実施すべき

レポートには、多数の侵害指標（IoC）、TTP、Salt Typhoonの活動とコマンドを記録したケーススタディ、脅威ハンティングの推奨事項、活動検知に利用できるYaraルールなどが含まれています。

「作成機関は、重要インフラ組織、特に通信事業者のネットワーク防御担当者に対し、脅威ハンティングおよび必要に応じてインシデント対応活動を実施することを推奨します」と各機関は述べています。「悪意のある活動が疑われる、または確認された場合、組織は適用法令・規制に基づくすべての必須報告要件を関係当局や規制機関に検討し、さらにサイバーセキュリティ機関や法執行機関など、インシデント対応の指導や緩和支援を提供できる適切な機関への自主的な追加報告も検討すべきです。」

緩和策として最初に推奨されるのは、特にネットワークエッジデバイスにおいて、既知の脆弱性をできるだけ早く修正（パッチ適用）することです。ルーターの設定ファイルやログを定期的に監視し、不審な活動や無許可の変更を検知することも重要です。

その他の一般的な推奨事項としては、管理インターフェースからの外部接続の無効化、未使用のポートやサービスの無効化、デフォルトの管理者認証情報の変更、管理者のパスワード認証の代わりに公開鍵認証の導入、メーカーからセキュリティパッチが提供されていないネットワーク機器の段階的廃止などが挙げられます。

レポートには、管理プロトコルの強化、堅牢なログ記録の実装、ルーティングや仮想プライベートネットワークのベストプラクティス活用など、より具体的な推奨事項も含まれています。