通信履歴が丸見えに？ 新型ネットワーク攻撃はここが危ない

企業を狙ったサイバー攻撃が目立つ中、通信ネットワークに潜入し、通信経路から個人情報を盗み出す攻撃が広がっている。誰が何のために攻撃を仕掛けているのだろうか。

[Matt Kapko，Cybersecurity Dive]

　ランサムウェア攻撃やフィッシング攻撃など、企業や個人を狙って情報を盗み出す手口が広がっている。だが、通信ネットワーク自体に潜り込んで誰と誰がいつ通信しているのかといった情報を奪い取ったり、さらには音声データやテキストを盗んだりする攻撃が広がっている。

新手のネットワーク攻撃はここが危ない

　このような攻撃は何を狙ったもので、誰が攻撃を仕掛けているのだろうか。

　2024年12月3日（現地時間）、米国の連邦サイバー当局は「米国の通信ネットワークが非常に広範囲に攻撃されており、現在も進行中だ。この世界規模のスパイ活動による被害の全容や、今後どのようなリスクがあるのかを依然として把握できていない」と発表した。

　連邦捜査局（FBI）の上級幹部は、同日の記者会見で次のように述べた。

　「中国と関係のある脅威グループ『Salt Typhoon』による複数のインターネットサービスプロバイダーのネットワークに対する侵害について、FBIは2024年の春の後半に捜査を開始した」

　関係者は「Salt Typhoonは侵害されたネットワークの利用者が『どこで、いつ、誰と』通信しているかに関するデータを含む大量の記録を盗んだ」と述べた。FBIの上級幹部によると、これらの盗まれたデータには音声やテキストは含まれていない。主に首都を含むワシントン広域都市圏に拠点を置く利用者に影響を及ぼしたという。

　この脅威グループは主に政府や政治活動に関わる特定の人物を標的にした。音声やテキストなどの個人的な通信内容も取得したという。FBIはSalt Typhoonによって通話やテキストメッセージが直接傍受された人物に対して通知済みだ。

　当局は、被害を受けたネットワークの名称や、中国が支援する脅威グループの継続的な攻撃によって影響を受けた人々の数を明らかにしていない。

　当局がこれまでに確認したSalt Typhoonの活動は広範囲に及んでおり、同グループが引き続き悪質な行動を重ねる状況が続いている。当局によると、脅威グループは依然として複数のネットワークに潜伏しており、これまでに侵害されたどのネットワークからも排除されていないとのことだ。

　サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）でサイバーセキュリティを担当するジェフ・グリーン氏（エグゼクティブアシスタントディレクター）は「攻撃者が排除されたと断言することはできない。なぜなら、攻撃者の活動範囲をまだ完全には把握できていないためだ。追跡と状況の把握に関しては十分に対応できていると確信しているが、全てを把握しているとは断言できない。それは私たちのパートナーも同様だ」（グリーン氏）

　これまでに連邦当局が中国と関係するグループの活動に関連付けた事態の影響は深刻だ。

　「被害者によって状況は異なる。侵害の深刻度や攻撃者がどこまで行動を起こしたかは個別に異なる。どの程度深く、どの範囲に侵入されたのかを調査しており、全体像が明らかになるまでは、具体的にどのように排除すべきかを判断するのが難しい状況だ」（グリーン氏）

　当局は、Salt Typhoonによる新しい手法を確認しておらず、既存のネットワークインフラの脆弱（ぜいじゃく）性を悪用する活動だとしている。

通信事業者は何をすればよいのか

　CISAとFBI、国家安全保障局（NSA）、オーストラリア、カナダ、ニュージーランドのサイバー当局は、通信インフラの防御を強化し、通信事業者がさらなる攻撃の防止や軽減に役立つガイドラインを2024年12月3日に発表した（注1）。

　当局は暗号化された通信アプリケーションの使用を推奨し、特にネットワークエンジニアや防御担当者に対し、Cisco Systems製品の脆弱性が悪用されるリスクに対応しなければならないと強調した。これは、中国と関連する脅威グループによる攻撃で特定のCisco Systems製品の機能が標的とされていることを踏まえたものだ。

　ガイドラインでは具体的な脆弱性の名前は挙げられていないが、当局は組織に対し、「Cisco NX-OS」を用いた製品とネットワーク機器向けの「Cisco IOS XE」の強化ガイドを参照するよう勧告した。Cisco IOS XEに影響を与える2つの脆弱性は、2023年に最も頻繁に悪用された脆弱性の3位と4位にランクしている（注2）。

　サイバー当局による最新の報告は2024年に発見された攻撃が繰り返されていること、さらに広範囲に及ぶ（電力やガス、鉄道、空港などの）重要インフラに深刻な影響を与えたことを示している。当局は被害の規模を明らかにすることを渋りつつも、Salt Typhoonの活動の詳細が判明するにつれ、より深刻な影響が生じる可能性があると強調した。

問題はSalt Typhoonだけではない

　FBIとCISAは通信インフラに対する中国と関連する攻撃について2024年10月下旬に正式な調査を開始した（注3）。同年11月中旬には、世界中の通信ネットワークへの侵害を「広範かつ重大なサイバー諜報活動」と表現した（注4）。

　Salt Typhoonは中国政府と関係のある3つの意欲的かつ活発な脅威グループのうちの一つであり、サイバー当局は2024年に入ってから、懸念を深めて動向を入念に追跡している。

　2024年2月には諜報活動に対抗する5カ国の同盟Five Eyesが、将来の攻撃に備える広範な活動の一環として（注5）、中国政府と関係がある「Volt Typhoon」が多くの輸送業界やエネルギー業界、通信業界、水および廃水処理システムに侵入したと警告した。同年9月には、FBIがやはり中国政府と関係がある「Flax Typhoon」と呼ばれる別の脅威グループに関連した大規模なbotネットを阻止した経緯がある（注6）。

出典：Feds raise alarm on China-linked infiltration of telecom networks（Cybersecurity Dive）
注1：Enhanced Visibility and Hardening Guidance for Communications Infrastructure（CISA）
注2：Zero-days from top security vendors were most exploited CVEs in 2023（Cybersecurity Dive）
注3：Feds probe China-linked attacks on US telecom networks（Cybersecurity Dive）
注4：Feds find ‘broad and significant’ China espionage campaign in US telecom networks（Cybersecurity Dive）
注5：CISA, FBI confirm critical infrastructure intrusions by China-linked hackers（Cybersecurity Dive）
注6：US authorities take down a Mirai-variant botnet tied to DDoS threat（Cybersecurity Dive）