2025年8月22日、セキュリティ業界に衝撃が走りました。米NSA・CISA・FBI、そして日本の国家サイバー統括室・警察庁を含む複数当局が、中国政府支援のAPT(Advanced Persistent Threat)グループによる大規模なサイバー攻撃について共同注意喚起を発表したのです。
この攻撃は「Salt Typhoon」として知られ、世界中の通信事業者のバックボーンインフラを標的とした極めて巧妙な作戦でした。実際、米国のベライゾンなど大手通信企業が侵害され、米国政府関係者のプライベート通信まで盗み見られていたことが明らかになっています。
現役のCSIRT(Computer Security Incident Response Team)として多くのサイバー攻撃事案を調査してきた私が、この攻撃の全貌と、個人・企業が今すぐ取るべき対策について詳しく解説します。
Salt Typhoon攻撃の恐ろしい実態
Salt Typhoonは単発の攻撃ではありません。業界では「OPERATOR PANDA」「RedMike」「UNC5807」「GhostEmperor」など複数の名前で報告されてきたクラスターと部分的に重なる、組織的かつ継続的な脅威です。
狙われた標的と被害の規模
攻撃者が狙ったのは以下のような重要インフラです:
- 通信事業者のバックボーン・PE/CEルータ
- 政府機関のネットワーク
- 運輸業界のシステム
- 宿泊業界のネットワーク
- 軍事関連の通信システム
特に恐ろしいのは、通信事業者のバックボーン機器を改変して長期間潜伏していた点です。これにより、攻撃者は膨大な通信データにアクセスし、信頼接続を悪用して他のネットワークへと侵入範囲を拡大していました。
実際のフォレンジック調査で見つかった攻撃手口
私がこれまで担当したフォレンジック調査では、APT攻撃の痕跡を見つけるのに数週間かかることも珍しくありません。しかし、Salt Typhoonの手口は特に巧妙でした。
既知の脆弱性を悪用した侵入
調査の結果、ゼロデイ攻撃ではなく既知のCVE(Common Vulnerabilities and Exposures)が悪用されていることが判明しました。優先対処が必要な代表例は以下の通りです:
- Ivanti(CVE-2024-21887)
- PAN-OS GlobalProtect(CVE-2024-3400)
- Cisco IOS XE(CVE-2023-20198/-20273の連鎖)
- Cisco Smart Install(CVE-2018-0171)
特にCisco IOS XEのCVE-2023-20198では、WSMAエンドポイント(/webui_wsma_Http /webui_wsma_Https)を通じた認証回避が可能となり、攻撃者は管理者アカウントを作成できました。さらに巧妙なのは、URLを二重エンコード(例:/%2577eb%2575i_%2577sma_Http)することで痕跡を隠蔽していた点です。
長期潜伏のための工作活動
侵入後の攻撃者の行動は極めて組織的でした:
- ACLに攻撃側IPを追記(例:access-list 20/10/50)
- 非標準の高番ポートでSSH・HTTP/HTTPSを有効化
- SNMP経由でのコマンド実行環境構築
- 22×22やxxx22番台でのSSH、18xxx台でのHTTP再設定
これらの手口は、私が調査した中小企業への攻撃事案でも類似のパターンが見られました。ある製造業のクライアント企業では、攻撃者が3ヶ月間も気づかれることなく社内ネットワークに潜伏し、設計図や顧客情報を継続的に窃取していた事例もありました。
個人が今すぐ取るべき対策
「通信インフラへの攻撃なら個人には関係ない」と思われるかもしれませんが、それは大きな間違いです。APT攻撃者は個人のデバイスを踏み台にして企業ネットワークへ侵入することも多々あります。
1. セキュリティソフトの導入・更新
まず基本中の基本として、信頼できるアンチウイルスソフト
の導入は必須です。Salt Typhoonのような高度な攻撃でも、初期侵入段階では一般的なマルウェアが使用されることがあります。
特に重要なのは:
- リアルタイム保護機能の有効化
- 定期的なフルスキャンの実行
- ウイルス定義データベースの自動更新
- ファイアウォール機能の活用
2. VPN利用による通信の暗号化
通信インフラが侵害されている可能性を考慮すると、通信の暗号化は不可欠です。信頼できるVPN
を使用することで、たとえ通信経路が監視されていても、通信内容の秘匿性を保つことができます。
VPN選択時のポイント:
- ノーログポリシーを採用している事業者
- 強力な暗号化(AES-256以上)を提供
- 多数のサーバーロケーションを保有
- DNS漏れ対策機能を搭載
企業が急務で実施すべき対策
企業においては、Salt Typhoon攻撃の教訓を踏まえたより包括的な対策が必要です。
1. 脆弱性管理の強化
CISAのKEV(Known Exploited Vulnerabilities)リストを定期的にチェックし、以下の順序で対策を実施してください:
- エッジ露出機器の優先パッチ適用
- 内部の重要システムの脆弱性修正
- エンドポイントのセキュリティ強化
2. ネットワーク監視の徹底
Salt Typhoonの手口を踏まえると、以下の監視項目が重要です:
- 非標準ポートでの通信活動
- ACL設定の不正な変更
- SNMP経由の異常なコマンド実行
- WSMAエンドポイントへの不審なアクセス
3. Webサイトの脆弱性診断実施
企業のWebサイトは攻撃者にとって格好の侵入口となります。定期的なWebサイト脆弱性診断サービス
の実施により、潜在的な脅威を事前に発見・修正することが可能です。
特に以下の項目について重点的な診断が推奨されます:
- SQLインジェクション脆弱性
- クロスサイトスクリプティング(XSS)
- 認証・認可の不備
- セッション管理の問題
- ファイルアップロード機能の脆弱性
実際の被害事例から学ぶ教訓
私がフォレンジック調査を担当した事例の中で、Salt Typhoonと類似の手口による被害を受けた企業がありました。
事例1:中堅IT企業のケース
従業員300名の中堅IT企業では、攻撃者が6ヶ月間にわたってネットワーク内に潜伏。顧客データベースの情報約15,000件が窃取されていました。攻撃の発端は、パッチが適用されていないVPN装置の脆弱性でした。
被害金額: 顧客対応費用・システム復旧費用・法的対応費用等で総額約8,000万円
事例2:地方自治体のケース
ある地方自治体では、攻撃者がWebサイトの脆弱性を悪用して侵入し、住民情報約50,000件にアクセスしていました。幸い大規模な情報漏洩は免れましたが、システム全面停止により行政サービスが3日間麻痺しました。
被害金額: システム復旧・セキュリティ強化・住民対応等で総額約1億2,000万円
これらの事例からも分かるように、サイバー攻撃の被害は金銭的損失だけでなく、信頼失墜による長期的な影響も深刻です。
Salt Typhoon攻撃への対応チェックリスト
以下のチェックリストを参考に、緊急度の高い項目から順次対応してください:
緊急度:高(今すぐ実施)
- □ Cisco IOS XE(CVE-2023-20198/-20273)のパッチ適用確認
- □ Ivanti製品(CVE-2024-21887)の脆弱性対応
- □ PAN-OS GlobalProtect(CVE-2024-3400)の修正
- □ 非標準ポートでの不審な通信活動の調査
- □ ACL設定の異常な変更の確認
緊急度:中(1週間以内に実施)
- □ 全ネットワーク機器のファームウェア更新
- □ SNMP設定の見直しと強化
- □ 管理用アカウントの棚卸しと不要アカウントの削除
- □ ログ監視体制の強化
緊急度:低(1ヶ月以内に実施)
- □ インシデント対応計画の見直し
- □ 従業員向けセキュリティ教育の実施
- □ 定期的な脆弱性診断の導入
- □ バックアップ・復旧手順の確認
まとめ:Salt Typhoon攻撃から身を守るために
Salt Typhoon攻撃は、従来のサイバー攻撃とは次元の違う脅威です。国家レベルの支援を受けた攻撃者が、長期間にわたって通信インフラに潜伏し、機密情報を窃取していたという事実は、私たちのセキュリティ対策の見直しを迫るものです。
重要なのは、「自分は狙われない」という思い込みを捨てることです。APT攻撃者は個人から大企業まで、あらゆる標的を踏み台として利用します。
個人レベルでは信頼できるアンチウイルスソフト
とVPN
の導入、企業レベルでは定期的なWebサイト脆弱性診断サービス
の実施など、多層防御の考え方に基づいた包括的な対策が不可欠です。
サイバーセキュリティは「完璧な防御」ではなく「継続的な改善」が鍵となります。Salt Typhoon攻撃の教訓を活かし、今すぐできる対策から着実に実施していくことで、次なる脅威に備えましょう。
