Hundreds of organizations were notified of potential Salt Typhoon compromise
2024/12/23 NextGov — 米国のサイバーセキュリティ当局は、中国が支援する大規模なサイバー侵入の発見と緩和に取り組み、同国内の通信インフラに押し寄せる困難な時期に備えている。ハッキング集である Salt Typhoon は、大手テレコムである Verizon/AT&T/Lumen/T-Mobile などを罠にかけ、数十人の重要政治家を標的にしているが、その中には、ドナルド・トランプ次期大統領とつながる人物も含まれているという。
米国における捜査に詳しい2名の人物によると、合計で 80社が侵入され、踏み台にされたとのことだが、さらに増える可能性もある。関係者の1人によると、これまでの数カ月間に、侵害の危険にさらされた可能性があるとして、テレコムを含む数百の組織が通知を受けているという。
ハッキングの断片から、捜査官が特定した事例では、不十分なサイバー・セキュリティ防御が指摘されている。あるプロバイダーの管理システムは、”1111″ というパスワードで保護されていたが、このパスワードが発見された直後に侵入したサイバースパイ集団は、内部ネットワークに容易に足場を築いたと、もう1人の人物は語っている。
CISA はコメントを控え、FBI はコメント要請に返答しなかった。現時点においても、サイバースパイは、すべての通信システムからは根絶されていない。
議会のスタッフは、一連の侵入に関するコミュニケーション不足に不満を募らせている。今回の侵入に関する議論に詳しい補佐官によると、少なくとも1つの委員会で立法上の選択肢が検討されているという。しかし、ハッキングに関する新しい情報に関して、スタッフが情報を得るのはニュースの見出しに限られることが多いため、短期的な手段は限られているという。この補佐官は、内部の会話について率直に話すために、匿名を与えられている。
ハッキングに詳しい2人目の補佐官によると、Salt Typhoon が悪用した脆弱性の一部は、2018年のものだという。すれに、パッチは発行されているが、テレコムは実装していなかった、その補佐官は付け加えている。
サイバー・インテリジェンス企業 Armis の12月18日のブログ投稿によると、このハッキング部隊は Ivanti/Fortinent/Sophs/Microsoft Exchange Server の脆弱性を悪用したとされる。
注目すべきは、リストされている脆弱性の大半が、ゼロデイではないという点だ。ゼロデイとは、その脆弱性が悪用される前に、開発者に与えられた時間がゼロであるいう、欠陥を指すサイバー・セキュリティ用語である。今回の件は、それとは対照的に、しばらく前からパッチが公開されている。
中国国家安全省の関与が疑われるハッキング部隊は、おそらく1年から2年にわたって、このキャンペーンを実行し、米国のテレコム8社に侵入したと、以前に政府高官が語っていた。
2020年に話は遡るが、SolarWinds Orion への侵入は、この 10年間で最もよく知られるサイバー・インシデントの1つとなっている。そして、2人目の補佐官は、「これは SolarWinds 2.0 として歴史に残るだろう」と述べている。ロシアのハッカーは、パスワード “solarwinds123” を悪用して SolarWinds に侵入し、多数の米国政府機関にとって重要な IT システムへと、最終的にアクセスしていった。
Salt Typhoon が侵入した先には、法執行機関が犯罪容疑者やスパイを監視するために使用する、盗聴リクエストを格納する米国の “合法的傍受” もある。1994年に可決された法執行機関向け通信支援法 (CALEA) に基づき、テレコムは盗聴用のネットワークを設計する義務を負っている。また、この権威に関しては、連邦通信委員会 (FCC) が法律を監督している。
通常において、CALEA による調査は裁判所命令により裏付けられ、リクエストが格納されているポータルを通じて情報が提出される。具体的に言うと、テレコムの監督官の承認を得る捜査官は、会話におけるタイミング/時間の長さ/参加者の詳細などが記載された通話記録や、通信/移動のパターン追跡に使用される位置情報データなどの、重要な電話メタデータにアクセスできる。
2024年12月初旬に FCC の Jessica Rosenworcel 委員長は、法案のドラフトを幹部たちに配布した。この草案が採択されると、CALEA システムを不正アクセスから守る義務が、テレコムに課されることになる。さらに委員長は、テレコムにおけるサイバー・セキュリティの実践について、年次での報告を義務付けるプロセスも提出している。
この件について匿名を条件に話してくれた、公に議論する権限がないという人物によると、この2つの項目は、ジョー・バイデン大統領が来月退任する前に、FCC により承認される予定だという。
2024年12月にオレゴン州選出の Ron Wyden (民主党) が提出した、この法案により FCC が指示されるのは、最低限のサイバー要件や年次でのシステム・テストなどの、必須のサイバー・セキュリティ・コンプライアンス・リストに従うよう、テレコムに対して義務付けよというものだ。
Ron Wyden は、「外国の脅威からモバイル通信を保護するために、議会は FCC に対して、義務的なセキュリティ規則を可決するよう求めるべきだ」と、Nextgov/FCW への電子メールによる声明で述べている。
同局の新規制の概要は善意に基づくものだと、Ron Wyden は述べている。つまり、彼の懸念は、テレコムが連邦の最低基準を満たすことなく、独自のサイバー・セキュリティ計画を決められるという点に集約される。彼は、「このままでは、我が国の電話システムが外国の敵に対して、無防備な状態を継続することを心配している」と付け加えている。
先週に CISA が発行したのは、Salt Typhoon により通信が盗み取られた可能性のある、重要な政治家へ向けてデザインされた、携帯電話のセキュリティ・ガイドラインである。CISA の Executive Assistant Director for Cybersecurity である Jeff Greene は、「すべてのリスクを排除できる、単一のソリューションはないことを明確にしておきたいが、これらのベストプラクティスを実装することで、通信の保護が大幅に強化される」と、記者団に語っていた。
しかし、テレコム全体で脆弱なシステムをアップデートし、セキュリティ・プラクティスを更新することは、膨大な費用を要する作業になるだろう。現代の通信ネットワークは、時代遅れの古い技術と、現代のデジタル・インフラが、複雑に組み合わさった状態で機能している。特定の領域ではセキュリティ対策が堅牢でも、他の領域では時代遅れのプラクティスと脆弱性が残されており、それらが中国に特定され悪用された。
別の関係者は、「この事件は、分散型技術と統合型技術のリスクに関する議論にも終止符を打つはずだ。さまざまな手段で多くの標的を攻撃する Salt Typhoon は、ハードウェア/ソフトウェア/実装における微妙な違いがあっても、攻撃のスピードをまったく低下させなかった」と、Nextgov/FCW に語っている。
このハッキングに対抗すために、米国のサイバー戦士が中国に対して攻撃を仕掛ける必要があるのか、また、そのために必要な権限はどうなるのかという議論が、議会で巻き起こっている。以前において、米国を “世界のサイバー・サンドバッグ” と表現した上院議員は、デジタル部隊による頻繁なハッキングが必要だと、諜報機関の職員に尋ねる同僚議員がいたと、Nextgov/FCW に述べている。
12月1日 (日) に、トランプ大統領の National Security Advisor である Mike Waltz 下院議員 (共和党) は、新政権は中国に対して攻撃的なサイバー姿勢を取る可能性があると、CBS の “Face the Nation” で示唆した。
DHS の Cyber Safety Review Board は、すでに侵害の調査を開始しているが、しばらくの間は、公式の報告書は出ない見込みだ。
12月の初めに CISA の上級職員は、「長期的に見て、意味するものは何なのか? つまり、ネットワークを保護する方法や、通信パートナーとの連携の方法について、間違いなく検討する必要がある。当面は、通信内容に注意し、暗号化された通信を使用することを推奨する」と述べている。
この Salt Typhoon インシデントに関しては、これまでに何本かの記事をポストしています。トランプ政権が始まるまでの過渡期だからこそ、論点が噴出という感じですね。よろしければ、以下のリストを、ご参照ください。
2024/12/21:TP-Link Router がバンされる? 懸念される北京からの影響
2024/12/10:米上院:FCC が通信会社に義務付けるサイバー規則を推測する
2024/12/05:米 FCC の提案:盗聴セキュリティ基準の見直し
2024/12/04:米国の通信キャリア8社が侵害された:Salt Typhoon
2024/12/03:中国 APT とテレコム・スパイ:広範な目的を持っている
2024/11/28:中国由来の Salt Typhoon:被害は T-Mobile にも?
2024/11/27:Salt Typhoon の武器庫:破壊力を維持し続ける秘密は?
2024/10/06:Salt Typhoon :Verizon/AT&T などに侵入
IoT OT Security News 
You must be logged in to post a comment.