Chinese telecom espionage began with ‘much broader’ aims, officials say
2024/12/03 NextGov — 国家安全保障と法執行機関への傍受は、Salt Typhoon と呼ばれるハッカー集団が仕掛けた、通信データの監視/捕捉/収集の標的のうちの1つに過ぎないと、12月3日 (火) の記者会見で発表された報道ガイドラインに基づき、当局者が背景を明かしている。10月の時点で、Salt Typhoon の活動について、初めてを明るみに出したのは Wall Street Journal である。
数ヶ月間にわたり、この脅威グループは、洗練された手法を用いて、米国内外の通信会社数十社に侵入していた。そして、ハッカーたちは、ネットワークから完全に排除されたわけではないと、FBI 当局者と CISA の Executive Assistant Cybersecurity Director である Jeff Greene は述べている。
Salt Typhoon の標的に対する暴露は、国内外の重要人物を追跡するために使用されている、米国のスパイ・システムのバックボーンへのアクセスを狙った、ハッカーたちの洗練された作戦を明らかにしている。 FBI の上級職員によると、今年の晩春から初夏にかけて、この侵入に対する調査が開始されたという。
通信会社に「合法的なアクセス」監視要求に対応するようシステムを設計するよう義務付ける通信法執行支援法で規定されている盗聴環境は侵入の際にアクセスされたが、すべてのケースでハッカーが最初に使用した侵入経路とは限らないと、FBIの上級職員は述べた。
侵入の際にアクセスされた盗聴環境だが、すべてのケースにおいてハッカーが、最初に侵入経路として使ったわけではないと、FBI の上級職員は述べた。なお、この盗聴環境は、通信会社に対して「合法的なアクセス」監視要求に応じるシステムの設計を義務付ける、Communications Assistance for Law Enforcement Act により規制されている。
FBIの職員は、「被害者のうちの2名に対するフォレンジック分析では、攻撃者はネットワークの他の部分で偵察を行ってから、CALEA (Commission on Accreditation for Law Enforcement Agencies) システムと周辺デバイスへと方向転換していたことが示された」と述べている。
FISA (Foreign Intelligence Surveillance Act) で規定されているシステムへのアクセスついて、FBI は詳細な説明を拒否したが、CALEA には FISA 第1条の裁判所命令が含まれており、外国勢力とエージェントへの電子的な監視を許可していると指摘した。
物議を醸している第702条などの他の FISA システムでは、それらのターゲットとの会話を引き渡すよう、通信会社に強制できるようになっている。具体的にいうと、米国は令状を必要とせずに、海外の米国人以外の人物をターゲットにすることが可能であり、その会話は調査のためにデータベースに保存される。
このような環境を、Salt Typhoon が上手くまく覗き見していれば、高度に機密化された702条の問題に関して、北京政府は洞察を得る。
CALEA は 30年前に制定された法的プロトコルであり、法執行機関における監視ツール・キットの主力となっているが、連邦通信委員会が最後にレビューした 2005年以降において、正式な更新は行われていない。
現代における盗聴は、アナログ電話回線の物理的な盗聴から、通話/テキスト/インターネット・トラフィックなどの、複数のチャネルにわたるデジタル通信に対する、リモート傍受へと進化している。今回の侵入を受けて、議会から改善を求められているが、FCC による CALEA の改訂は、依然として手つかずの状況にあるようだ。
これまでに、AT&T/Verizon/Lumen/T-Mobile などの、米国および海外の約80社のプロバイダーに対して、このサイバー・スパイは罠を仕掛けた。
以前のメディア報道によると、彼らはドナルド・トランプ次期大統領の関係者を含む、約 150人の選ばれた高価値ターゲットの通信にアクセスした。
FBIの上級職員の発言によると、ハッカーが一部の通信プロバイダーのネットワークに侵入するために、海外のサーバが使用されたとのことだが、侵入の詳細や悪用されたサーバの詳細は明らかにされなかった。
12月3日 (火) に、米国のサイバー・セキュリティおよび諜報の機関と、その国際パートナーたちは、さらなるサイバー攻撃に対して、通信事業者の施設の保護を目的とした、プレイブックも発表している。
CISA/FBI/NSA および、オーストラリア/カナダ/ニュージーランドのカウンター・パートからのガイダンスは、中国の工作員が侵入に使用した、技術と方法の傾向を明らかにしている。
このガイダンスに名を連ねる機関は、「Cisco の固有の機能が、これらの中国のサイバー脅威アクターの活動により、頻繁に標的にされているのを観察した。Cisco ルーターの脆弱性を悪用するハッカーが、ネットワークに侵入している」と述べている。
Cisco デバイスを使用している企業に対して推奨されるのは、より強力で安全なパスワードを設定することである。また、このガイドでは、管理者が複数のサーバを管理する際に使用する、Telnet を OFF にすることを推奨している。
ネットワーク・エンジニアに対して推奨されるのは、システムを支える主要な運用ネットワークから完全に分離された、別のネットワークを使用してデバイスを管理することである。すべての受信トラフィックについて、さらにはブロックしたトラフィックについても、後で分析できるようにログに記録する必要があると、同文書は述べている。
Nextgov/FCW が以前に報告したように、侵害された多くのシステムにおいては、デバイスのアクティビティを監視するための、ログ記録メカニズムが適切に装備されていなかったという。
ハッキングに詳しい人物は、「共通点や共通のスレッドはいくつかあったが、単一のプレイブックに Salt Typhoon は固定されていなかった」と述べている。
このところ、中国由来の APT グループ Salt Typhoon による、米国などのテレコムに対する侵害が注目を集めています。CISA 以外にも、さまざまな組織が調査を継続していると思いますが、以下のような時系列で、情報が整理されてきました。よろしければ、ご参照ください。
2024/11/28:Salt Typhoon の被害は T-Mobile にも?
2024/11/27:Salt Typhoon の武器庫を探査する:破壊力の秘密は?
2024/10/06:Salt Typhoon:Verizon/AT&T などに侵入
IoT OT Security News 
You must be logged in to post a comment.