概要:通信インフラを狙う中国のサイバー脅威
最近の法執行機関および情報機関の報告によると、中国国家支援のサイバー脅威グループ「Salt Typhoon」が、世界の通信インフラに対する長期的なスパイ活動を強化しています。2019年以降活動しているこのグループは、中国国家安全部(MSS)の監督下で、ネットワークエッジデバイスを体系的に悪用し、通信メタデータ、VoIP設定、合法的な傍受データ、加入者プロファイルなどの機密情報を窃取しています。
Salt Typhoonの正体と活動
Salt Typhoonは、MSSの直接的な監視下で活動しており、i-SOON(Anxun Information Technology Co., Ltd.)などのフロント企業や国家関連の請負業者からなるハイブリッドエコシステムを利用して、その帰属を曖昧にしています。公開された起訴状や情報機関の勧告では、i-SOONがSalt Typhoonにリースインフラ、技術サポート、ドメイン登録パイプラインを提供し、サイバー攻撃を容易にしていることが明らかにされています。
標的と影響範囲
このグループの標的は、米国、英国、台湾、および欧州連合諸国に及び、これまでに12以上の米国通信企業、複数の州兵ネットワーク、および同盟国の通信プロバイダーで侵害が確認されています。Salt Typhoonは、Microsoftが導入した「Typhoon」という分類に属し、Ghost Emperor、FamousSparrow、Earth Estrie、UNC2286などのクラスターと重複しています。特に、Salt Typhoonは通信インフラに特化し、カスタムルーターインプラントやファームウェアルートキットを埋め込むことで、長期的な信号情報(SIGINT)収集を目的としています。
攻撃手法とインフラ
Salt Typhoonのキャンペーンでは、特注のマルウェア、リビング・オフ・ザ・ランド・バイナリ(LOLBINs)、およびステルス性の高いルーターインプラントが使用されます。彼らの手口分析によると、偽造された米国人名(Monica Burch、Shawn Francis、Larry Smithなど)とProtonMailアカウントで登録された、公に追跡可能なドメインを一貫して使用していることが判明しています。2020年から2025年の間に、このグループは少なくとも45のドメインを登録し、これらはvalue-domain.comやOrderBoxなどの共有DNSホストに解決され、GoDaddyやSectigoが発行した商用DV SSL証明書を利用して正当性を装っています。
戦略的意義と対策
Salt Typhoonは、中国の進化する請負業者を利用したサイバー諜報モデルを象徴しており、国家の任務と半民間の商業的手法を融合させています。彼らの産業化されたドメイン管理と永続的なエッジデバイスインプラントは、日常的な情報収集と、潜在的な戦時中の通信妨害のための緊急計画という二重の目的をサポートしています。Sichuan Juxinhe、Beijing Huanyu Tianqiong、Sichuan Zhixin Ruijieなどのフロント企業にインフラのプロビジョニングを外部委託することで、MSSは拡張性と責任の回避を実現し、法的および外交的対抗措置を複雑にしています。
通信事業者と政府の防御側にとって、以下の対策が不可欠です。
- 偽造されたペルソナの早期検出のために、パッシブDNSおよび証明書のテレメトリーをベースライン化する。
- ネットワーク機器の更新サービスにリンクされたProtonMailベースの登録を監視する。
- ルーターおよびVPNゲートウェイのファームウェア動作に異常検出を導入する。
- 既知のSalt Typhoonの侵害指標(IOCs)に関する脅威インテリジェンスをFive Eyesおよび同盟ネットワーク間で共有する。
業界、学術界、政府間の協力強化により、検出シグネチャをさらに洗練させ、この高度なMSS主導のスパイプログラムによる重要な通信インフラへの長期的なアクセスを軽減することができます。