米 FCC の提案：Salt Typhoon 攻撃に対応する盗聴セキュリティの基準

FCC proposes updates to wiretap security standards following Chinese telecom hacks

2024/12/05 NextGov — 12月5日 (木) に FCC (Federal Communications Commission) のトップは、そのチーム・メンバーたちに草案を共有した。FCC の報道発表によると、この草案が採用された場合には、法執行機関からの盗聴要求に対応するシステムへの不正アクセスは、通信会社により直ちに保護されるよう義務付けられることになる。また、​​FCC の Jessica Rosenworcel 委員長も、別の規則制定案を同僚たちに提案している。この案が承認されると、同委員会から通信会社に対して、セキュリティ態勢に関する年次証明書の提出が義務付けられる。

これらの一連の提案は、中国由来のサイバー・スパイ集団 Salt Typhoon による、通信会社への広範なハッキングに対応するものだ。このハッカーたちは、依然として一部のネットワーク内に潜伏しており、フォレンジック分析が続いている。

その背景には、通信会社に対する “合法的なアクセス” 監視要求という制度があり、それに対応するシステム設計の義務付けという論点がある。そして、今回の Salt Typhoon による侵入は、通信支援法により法執行機関向けに規定されている、盗聴環境へのアクセスに成功しているのだ。

Salt Typhoon は、今回の被害者となった少なくとも２名のシステムを徹底的に調べ上げ、その後に、それぞれの CALEA 環境へ移動していったと、2024年12月の初頭に FBIの上級職員が語っている。

その一方で、この職員は、外国情報監視法 (FISA) の対象となるシステムについて、つまり、ハッカーがアクセスしたシステムについて、詳述することを拒否した。CALEA の要請には、FISA 第１条の裁判所命令が含まれている。それは、米国が外国の勢力とエージェントに対して、そして、外国のエージェントとして活動する米国人に対して、電子的な監視を許可するものだ。

FCC の Jessica Rosenworcel は、「諜報機関における委員会のカウンターパートが、Salt Typhoon 攻撃の範囲と影響を判定している。その間に、私たちは、今後のために最新のフレームワークを導入し、企業ネットワークの保護と、通信分野に対するサイバー攻撃の防止に、対応できるようにしておく必要がある」とコメントしている。

この草案は、CALEA 第 105条を改訂するものである。この条項が定めるのは、法的承認を得た場合にのみ、通信会社は通話とデータへのアクセスと監視が可能となり、権限が付与された従業員による、積極的な監視が義務付けられるというものだ。

12月5日 (木) に、ある政府高官が述べたのは、「民間部門が使用している。自主的なサイバー・セキュリティ・ガイダンスの範囲では、影響を受ける通信ネットワークの保護において、不十分であることが判明している。最低限のサイバー要件を整理できれば、中国のサイバー・スパイによる、通信システムへの侵入を防止するのに役立つだろう」とう指摘である。

これまでに Salt Typhoon は、米国の AT&T／Verizon／Rumen／T-Mobile および、グローバルにおける約80社のプロバイダーを罠にかけてきた。そして、最近になって T-Mobile は、自社のネットワークから、このサイバー・スパイを排除できたと発表した。

以前のメディア報道によると、このグループは、約150人の厳選された高価値ターゲットの通信にアクセスしていたが、その中には、次期大統領ドナルド・トランプの関係者も含まれていたという。今週になって、ある政府の高官が述べたのは、このオペレーションは１～２年にわたり継続されていた可能性があり、被害者のうちの８社ほどは、米国の通信会社だという指摘である。

CALEA (Commission on Accreditation for Law Enforcement Agencies) は、30年も前に制定された法的プロトコルであり、法執行機関の監視ツール・キットの主流となっているが、FCC が内容を検討した 2005年以降において、大きな更新は行われていない。その間に盗聴の手法は、アナログ電話回線を物理的に盗聴する行為から、通話／テキスト／インターネット・トラフィックを収集する、複数のチャネルにまたがるデジタル通信のリモート傍受へと進化している。

CALEA システムを利用する法執行機関は、安全なログインポータルを通じて、盗聴を要請できる。また、通信会社の監督官がゴーサインを出せば、法執行機関は対象の電話メタデータを受け取れる。このデータに含まれるものには、通話時刻／通話時間／通話参加者をマッピングするための、通話詳細記録や位置情報データなどがある。したがって、法執行機関は、対象の通信パターンや移動を追跡できる。

12月5日 (木) に連邦政府高官と上院議員は、スパイ活動について機密ブリーフィングを行っている。その時の報告書には、FCC の Jessica Rosenworcel とNational Intelligence の Avril Haines、CISA の Jen Easterly たちが名を連ねている。報告会の後に、Jen Easterly は記者団に対して、「明日から政府の調査委員会が、この事件の調査を開始する」と語った。

現在の基準において FCC が認めているのは、通信事業者が自社ネットワークに合わせた独自の盗聴ソリューションを開発すること、そして、機器メーカーからソリューションを購入することである。そして、第三者に対して、CALEA 準拠についての可否の判断を委ねられるという。

12月5日 (木) のファクトシートで FCC は、「これらの提案された措置は、委員会の５人の委員に対して公開されている。したがって、それぞれの委員は、いつでも投票できる。通信分野へのサイバー攻撃により、医療／製造／電力／輸送などの部門にも影響が及ぶ可能性がある。安全で信頼性の高い通信インフラを確保することで、国内の重要システムに対する保護能力への信頼が高まり、サイバー攻撃から、一般の米国人を保護することにもつながる」と述べている。

Salt Typhoon によるテレコム侵害が発覚し、いろいろと調べていくうちに、かなりの大事であることが分かったようであり、FCC が乗り出してきました。そして、米国政府における、テレコムに対する盗聴要請の基準について、変更が検討されるという事態になりました。よろしければ、以下のリストをご参照ください。

2024/12/04：米国の通信キャリア８社が侵害された：Salt Typhoon
2024/12/03：中国 APT とテレコム・スパイ：広範な目的を持っている
2024/11/28：中国由来の Salt Typhoon：被害は T-Mobile にも？
2024/11/27：Salt Typhoon の武器庫：破壊力を維持し続ける秘密は？
2024/10/06：Salt Typhoon ：Verizon／AT&T などに侵入