なぜ専門家は驚いたのか？ 国家主導型サイバー攻撃の恐るべき巧妙さ

国家が支援するサイバー攻撃は大規模で対策も難しい。米国やその他の数十の国を狙ったSalt Typhoonが特に有名だ。Salt Typhoonの攻撃は封じ込められたのだろうか。

[David Jones，Cybersecurity Dive]

　米国を狙ったサイバー攻撃の中で最大のものは中国政府系の高度な持続的脅威グループ（APT）として知られている「Salt Typhoon」（ソルトタイフーン）だという。

　このように主張するのは、国土安全保障省の内部機関で現在は解散しているサイバー安全審査委員会（CSRB）の元メンバーのドミトリー・アルペロビッチ氏だ。同氏は超党派による非営利のシンクタンクSilverado Policy Acceleratorの会長でもある。

　アルペロビッチ氏はなぜこのように主張したのだろうか。

なぜ専門家は驚いたのか？

　アルペロピッチ氏がこのように主張したのは、2025年4月30日にサンフランシスコで開催されたカンファレンス「RSAC」の基調講演においてだ。同氏は「中国による少なくとも9社の大手通信企業への多発的な侵害を調査していた多くの関係者は、この攻撃キャンペーンに不意を突かれた」と述べた。

　米国の敵対国がこの種の作戦を実施することは当然予想できたはずで、西側諸国も同様の情報収集を続けていたことを考えると、調査員たちの驚きに、むしろアルペロビッチ氏自身が驚いたという。

　トランプ政権がCSRBのメンバーを解任して（注1）、委員会の活動を一時的に停止した際は重要な局面にあった。

　当時CSRBはSalt Typhoonによるキャンペーンの調査を続けていた。Salt Typhoonが米国人の電話の通話やテキストメッセージ、通信のメタデータ、連邦機関が盗聴作戦に使用するシステムを侵害した攻撃を実行したからだ。Salt Typhoonの攻撃は当時の大統領選の候補者だったドナルド・トランプ氏と副大統領候補のJ.D.ヴァンス氏の他、民主党の対抗馬カマラ・ハリス氏の選挙キャンペーンのプライベートデータにもアクセスしていた。

Salt Typhoonの攻撃はどのようなものだったのか

　Salt Typhoonが攻撃によって手に入れた情報は、主に電話の通話記録やSMSのメタデータだ。通信の日時や発信先、通話時間などを大量に収集した。本文にあるように政府高官の通話内容や通話記録、一部の音声も傍受した。

　さらに米国の司法当局が法廷命令に基づいて傍受している通話データ取得用システム（CALEAポータル）にも侵入して、連邦機関による傍受対象が把握されてしまった恐れもある。

　ユーザーの位置情報も盗み出したため、数百万人規模の米国人の行動追跡が可能になっていた可能性もあるという。

どうやって攻撃したのか

　このような情報を得るため、Salt TyphoonはAT＆TやVerizon Wireless、T-Mobile、Lumen Technologies、Charter Communications、Windstreamなど、少なくとも9社以上の米国の主要通信事業者を攻撃した。ComcastやDigital RealtyなどデータセンターやISP関連企業も対象になった可能性がある。

　Salt Typhoonの攻撃手法はゼロデイ脆弱（ぜいじゃく）性と既知の脆弱性を利用して、Cisco SystemsやFortinet、Versa Networksなどのネットワーク機器やファイアウォールを突破することで始まった。その後、Windows標準の「PowerShell」などを使ってliving off the land戦術＊を採り、潜伏・拡散することでターゲットへの長期的な内部アクセスを確保した。

＊攻撃者が狙ったシステムに侵入した後、マルウェアや外部ツールを持ち込まず、既にシステム内に存在する正規のツールや機能を悪用して攻撃を進める手法を言う。Windows標準のツールを使うため、セキュリティ製品による検知やブロックが難しく、攻撃の痕跡も残りにくい。さらに攻撃関連のファイルをHDDなどに残さずに攻撃を進めるファイルレスマルウェアとして実行されるため、従来のウイルス対策ソフトでは検知が困難だ。

攻撃はどのように始まり、現在はどうなったのか

　Salt Typhoonの攻撃はひそかに始まったため、特定の日時を決めることは難しいが、2022年ごろに侵入を試み始めたと言われている。2024年後半からCISAや連邦捜査局（FBI）、国家安全保障局（NSA）による調査が始まり、2025年にかけて米国の主要通信会社が攻撃を封じ込めたと発表した。

　しかし、攻撃を受けた側のネットワーク構造が複雑なため、完全排除は困難だという指摘があり、2025年6月時点でも依然として通信会社のネットワーク内に残留している可能性が高いと主張する声がある。

米国以外も狙われている

　Salt Typhoonの主要な攻撃対象は米国の通信事業者だが、世界中の通信事業者やISPに対しても攻撃している。Cisco Systemsのルーターの脆弱性を突く攻撃は他国にも有効だからだ。2024年12月〜2025年1月、米国以外に、南アフリカやイタリア、タイなど複数国で少なくとも1000台以上のCisco Systemsの機器が侵害を受けたと確認されている。比較的被害台数が少ない国を併せると数十カ国に被害が広がっている。（キーマンズネット編集部）

　アルペロビッチ氏はこの種の侵入は驚くべきことではなく、攻撃者が通信企業に侵入しないのであれば他に何を攻撃するというのかと問いかけた。

　トランプ政権によるCSRBの解散は、突発的なものではない。連邦政府の機関が特定の分野に関する専門的な意見や助言を求めるために設置する連邦諮問委員会を一斉に整理し始めたことの一環だ。

　その後に、Salt Typhoonによるサイバー攻撃を調査していたサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）を含む主要な連邦機関でも大規模な解雇や退職勧告（注2）、辞任が相次いだ。政権がCSRBを再編成するかどうかや、人員削減が国家のサイバーセキュリティにどのような影響を及ぼすかは依然として不透明だ。

　アルペロビッチ氏は「CSRBの従来の運営モデルは持続可能ではなく、適切に機能させるためには常勤メンバーとより高い独立性が必要だ」と述べた。同氏は、CSRBが国土安全保障省（DHS）の諮問委員会だということが利害の対立を生み、調査に影響を及ぼしていたと指摘した。その他の問題として、通信企業はCSRBに情報を提供すると、そのデータがCISAに渡されることを懸念しており、情報提供に消極的だったという。

　アルペロビッチ氏は国家と結び付いた攻撃による「Microsoft Exchange Online」への侵害を調査したCSRBの調査で重要な役割を果たした。委員会は厳しい調子で問題を追及した報告書で（注3）、攻撃を完全に防ぐことが可能であったと結論付け、製品のセキュリティよりも製品を市場投入するスピードを重視するMicrosoftの企業文化を非難した。

　また、アルペロビッチ氏はCISAの将来に関して残っている疑問に触れ、「その役割は基本的に連邦政府のCISO（最高情報セキュリティ責任者）として、中央集約型のリソースと専門知識を活用して政府機関のネットワークを守ることだと考えている」と述べた。

出典：Salt Typhoon telecom hacks one of the most consequential campaigns against US ever, expert says（Cybersecurity Dive）
注1：DHS disbands existing advisory board memberships, raising questions about CSRB（Cybersecurity Dive）
注2：CISA clocked Salt Typhoon in federal networks before telecom intrusions（Cybersecurity Dive）
注3：Microsoft Exchange state-linked hack entirely preventable, cyber review board finds（Cybersecurity Dive）