中国のハッカーグループ「Salt Typhoon」の拡大により多国間勧告が発出

広範囲に活動する中国のハッカーグループ「Salt Typhoon」は、今回オランダを標的に攻撃を続けている。

オランダの情報当局は、サイバー攻撃者が中小のインターネットサービスおよびホスティングプロバイダーのルーターにアクセスしたことを確認した。

これは、Salt Typhoon（別名GhostEmperor、Operator Panda、RedMike）の危険性について、十数カ国以上の情報機関が厳重な警告を発したことを受けたものであり、同グループが英国でも活動していることも確認されている。専門家は、このグループの拡大は、サイバーセキュリティに関して官民双方の無策な傾向を反映していると指摘している。

「根本的な問題は、コアルーターなどの重要インフラの主要部分が、依然として侵害や永続的なアクセスを得るのがあまりにも容易なことだ」とBeauceron SecurityのDavid Shipley氏は述べた。「中国の目覚ましい成功は、設計段階からのセキュリティ軽視のツケが回ってきた結果だ。」

重要インフラや機密通信が標的に

今週、米国、英国、カナダ、オーストラリア、ニュージーランド、フィンランド、ドイツ、イタリア、チェコ、 日本、ポーランド、スペイン、オランダの情報機関が、Salt Typhoonに関する共同サイバーセキュリティ勧告を発表した。

同グループは、ここ数カ月でAT&T、Verizon、T-Mobile、Lumen Technologies、Charter、Consolidated、Windstream Communicationsなど、米国の大手通信・インターネットサービスプロバイダー（ISP）に侵入し、機密通信へのアクセスを試みたことで悪名を高めた。また、米国州兵を9カ月間ハッキングし、全米のネットワークにアクセスして認証情報、個人データ、ネットワーク図面などを盗み出した。

各国政府は、同グループの活動が中国人民解放軍（PLA）や中国国家安全部（MSS）を支援する複数の中国組織と関連していると指摘している。世界の当局は、国内の情報機関に「サイバー関連」サービスを提供し、IT企業、データブローカー、雇われハッカーからなる広範な商業エコシステムの一部である中国拠点の3つのテクノロジー企業がこのキャンペーンの背後にいると特定した。

情報機関が「高度持続的脅威（APT）」と呼ぶこれらの攻撃者は、米国や英国に加え、カナダ、オーストラリア、ニュージーランドでも活動している。

オランダの情報機関は、自国で標的となった企業は他国のような大手通信事業者ではなく、被害が広範囲かつ深刻であるとは言い難いと強調した。Salt Typhoonは、ルーターにアクセスした後、標的企業のネットワーク内部まで侵入した形跡はないと報告している。

「オランダの組織は、米国ほどSalt Typhoonのハッカーから注目されなかった可能性が高い」とオランダ軍事情報・セキュリティ局（MIVD）および一般情報・セキュリティ局（AIVD）は報告書で述べている。

また、脅威インテリジェンスは被害を受けた企業や「その他の関係者」に共有されたと付け加えた。

Ivanti、Palo Alto Networks、Ciscoの脆弱性を悪用

Salt Typhoonは少なくとも2021年から活動しており、世界中の通信、交通、政府、軍事機関などの重要インフラを標的としている。特に、英国国家サイバーセキュリティセンターによると、英国で「活動のクラスター」が観測されているという。

同グループは、ゼロデイ脆弱性（開発者がまだ特定していないセキュリティ問題）やカスタムマルウェアに頼るのではなく、「nデイ」（まだパッチが提供されていない既知の脆弱性）で「かなりの成功」を収めており、セキュリティアプライアンスやルーター、仮想プライベートサーバーなどのネットワークエッジデバイスの脆弱性を悪用している。特に、Ivanti Connect SecureおよびIvanti Policy Secure、Palo Alto Networks PAN-OS GlobalProtect、Cisco IOSおよびIOS XEの脆弱性が標的となっている。

彼らは、侵害したデバイスやプロバイダー間・プロバイダーと顧客間などの信頼された、またはプライベートな接続を利用して、他のネットワークへと横展開する。関係当局によれば、彼らの活動は「ネットワークへの持続的かつ長期的なアクセス」を伴う。

主な標的

具体的には、彼らは以下を標的にしているようだ：

• パスワード、ユーザーコンテンツ、顧客記録、在庫、デバイス設定やファイル、ベンダーリスト
• ルーターインターフェース
• 転送中のネットワークトラフィック、リソース予約プロトコル（RSVP）セッション、ボーダーゲートウェイプロトコル（BGP）ルート
• 認証プロトコルおよびリモート認証ダイヤルインユーザーサービス（RADIUS）など、リモートネットワークユーザーの認可・認証を行う仕組み
• 管理情報ベース（MIB）、すなわちエンティティを管理するデータベース

「この活動によって盗まれたデータは、最終的に中国の情報機関が世界中の標的の通信や動きを特定・追跡する能力を提供する可能性がある」と英国国家サイバーセキュリティセンターは警告している。そのため、世界の脅威インテリジェンス機関は、企業に対し、構成変更、仮想化コンテナ、ネットワークサービスやトンネル、ファームウェア・ソフトウェアの整合性、ログの広範な監視を実施するよう助言している。

推奨事項

当局はまた、組織に対して以下を推奨している：

• ネットワークデバイス、ルーター、ログ、設定を「予期しない、承認されていない、または異常な活動」がないか定期的に確認すること
• デバイス設定の定期的な監査を含む「堅牢な変更管理プロセス」を採用すること
• 管理インターフェースからの外向き接続を無効にすること
• すべてのデフォルト管理者認証情報を変更すること
• 管理者ロールには公開鍵認証を必須とすること
• パスワード認証を無効にすること
• ネットワークデバイスのOSはベンダー推奨バージョンを使用し、常に最新状態に保つこと

「テクノロジー界の気候変動」

Salt Typhoonなどによるこの規模の攻撃が続く背景には、主要ネットワーク機器ベンダーがより強固な認証機構や回復力を構築するためのインセンティブが不足していることがあると、BeauceronのShipley氏は述べている。

より安全なデジタル経済を構築するためのコストは、企業が「手遅れになるまで」支払う準備ができていない請求書だと彼は指摘した。

「インターネットや企業ネットワークは、いまだに1990年代のままの振る舞いをしている」と彼は語る。「それは、世界経済や社会の重要なデジタル神経系としての役割を果たしていない。」

「これはテクノロジー界の気候変動のようなもので、解決の価値を見いだす人がまだ少なすぎるし、行動のための合意形成がほぼ不可能なほど難しい問題だ」とShipley氏は述べている。