Salt Typhoon(ソルトタイフーン):中国国家支援型サイバー攻撃グループの脅威と対策

2019年頃から活動が確認されている中国国家支援型サイバー攻撃グループ「Salt Typhoon(ソルトタイフーン)」。この集団は、世界中の通信事業者を標的とした長期潜伏型攻撃で、数々の深刻なセキュリティインシデントを引き起こしてきました。

現役CSIRTとして数多くのインシデント対応を行ってきた経験から、この攻撃グループがなぜ脅威なのか、そして私たちがどのような対策を講じるべきかを詳しく解説します。

Salt Typhoonとは?組織的な攻撃の全貌

Salt Typhoonは、中国国家安全省(MSS)に支援された国家支援型APT(Advanced Persistent Threat)グループです。他の中国系攻撃グループと異なる点は、世界中の通信インフラを直接標的として、長期的な信号諜報(SIGINT)収集を目的としていることです。

攻撃の特徴

  • 通信事業者や防衛関連ネットワークへの長期侵害
  • 通話メタデータ(CDR)、VoIP設定、合法傍受関連ログの収集
  • ルータ、VPNゲートウェイ、ファイアウォールなど境界機器の脆弱性悪用
  • ファームウェア改竄による永続化

主要な攻撃事例:被害の実態

Salt Typhoonによる攻撃は、想像以上に深刻な被害をもたらしています。フォレンジック調査で明らかになった主要事例をご紹介します。

米国通信メタデータ窃取事件(2024年)

ベライゾンをはじめとする大手通信事業者数社で、通話記録(CDR)、VoIP構成設定、合法傍受ログが窃取されました。境界機器の既知脆弱性を悪用し、長期間にわたって潜伏していたことが判明しています。

米州兵ネットワーク侵入事件(2024年)

VPN装置を経由してネットワーク図、VPN設定、認証情報、インシデント対応手順書まで取得されました。これにより、組織のセキュリティ体制が完全に把握される結果となりました。

攻撃手法の詳細分析

長年のフォレンジック調査経験から、Salt Typhoonの攻撃手法は極めて巧妙かつ体系的です。

初期侵入段階

  • 公開アプリケーションや境界機器の脆弱性悪用
  • 盗用したアカウント(VPN/SSO/SIP)の利用
  • 既知CVE(CVE-2023-20198、CVE-2023-35082など)の積極的活用

永続化・潜伏段階

  • ファームウェア領域の改変(Demodexなどのルートキット)
  • authorized_keysファイルへの不正な公開鍵追加
  • ブート領域への悪意あるコード埋め込み

横展開・データ収集段階

  • VPN 0トンネルの悪用による内部ネットワーク探索
  • ISP間信頼関係を踏み台とした拡散
  • CDR/LI/VoIP構成の選択的抽出
  • HTTPS/DNSを使った暗号化データ搬出

企業・組織への影響と被害例

実際のフォレンジック調査で見てきた被害は深刻です。中小企業のケースでは、以下のような被害が確認されています。

実際の被害事例

  • データセンター事業者A社:顧客の通信ログが3年間にわたって窃取され、顧客からの訴訟リスクに直面
  • 地方ISP B社:ルータファームウェアが改竄され、復旧に6か月、損害額は2億円超
  • システム開発会社C社:VPN 0ゲートウェイ経由で侵入され、顧客情報と開発中システムの設計書が流出

日本への脅威:対岸の火事ではない理由

「うちは大手通信事業者じゃないから関係ない」と思っていませんか?それは大きな間違いです。

日本国内でも以下のような組織が潜在的な標的となっています:

  • データセンター事業者
  • クラウド接続を請け負うMSP(Managed Service Provider)
  • 自治体・大学・病院のネットワーク管理部門
  • 通信機器を扱う中小企業

効果的な対策:現役CSIRTが推奨する防御策

Salt Typhoonのような高度な攻撃に対抗するには、多層防御が不可欠です。

個人・小規模事業者向け対策

  1. 境界機器のセキュリティ強化
    • ルータ・ファイアウォールのファームウェア定期更新
    • デフォルトパスワードの変更
    • 不要なサービス・ポートの無効化
  2. アンチウイルスソフト 0の導入
    • リアルタイム監視機能付きのセキュリティソフト
    • ネットワーク通信の異常検知
    • ファームウェア改竄検知機能
  3. セキュアなVPN 0の利用
    • 信頼できるVPNサービスの選択
    • 多要素認証の必須化
    • 接続ログの定期確認

中規模企業向け対策

  1. ネットワーク監視の強化
    • SIEM(Security Information and Event Management)導入
    • 異常通信の自動検知・アラート設定
    • ログ分析の自動化
  2. Webサイト脆弱性診断サービス 0の実施
    • 定期的な脆弱性診断
    • 境界機器の詳細セキュリティ評価
    • 侵入テストの実施
  3. インシデント対応体制の整備
    • CSIRT(Computer Security Incident Response Team)の設置
    • フォレンジック調査手順の策定
    • 復旧計画の事前準備

フォレンジック調査で見えてきた教訓

多くのインシデント対応を通じて学んだことは、「早期発見・早期対応」の重要性です。Salt Typhoonのような高度な攻撃では、侵入から発見まで平均して18か月かかることが分かっています。

被害を最小限に抑えるポイント

  • 定期的なログ監査
  • 異常な通信パターンの検知
  • ファームウェア完全性の確認
  • アクセス権限の定期見直し

まとめ:今すぐ始められる対策

Salt Typhoonの脅威は現実のものです。しかし、適切な対策を講じることで、被害を大幅に軽減できます。

まずは以下の基本対策から始めることをお勧めします:

  1. 使用している機器のファームウェアを最新版に更新
  2. 信頼できるアンチウイルスソフト 0を導入し、リアルタイム監視を有効化
  3. 業務でVPN 0を利用する場合は、セキュアなサービスを選択
  4. Webサイトを運営している場合は、Webサイト脆弱性診断サービス 0を実施

サイバーセキュリティは「やらなければならないもの」ではなく、「事業継続のための投資」です。Salt Typhoonのような脅威から組織を守るため、今すぐ行動を始めましょう。

一次情報または関連リンク

Salt Typhoon(ソルトタイフーン)は、中国国家安全省(MSS)に整合した国家支援型サイバー脅威グループ

タイトルとURLをコピーしました