中国ハッカーが操る Silk Typhoon：Commvault クラウド環境への不正アクセスを達成する戦術とは？

China-linked ‘Silk Typhoon’ hackers accessed Commvault cloud environments, person familiar says

2025/05/23 nextgov — データ管理ソフトウェア企業の Commvault が、中国由来のハッカーにより侵害され、同社のエンタープライズ向けクラウド・システムもアクセスされたことを、ある人物が明らかにした。このハッカーの狙いは、顧客のアプリケーションの機密情報であったという。この侵害に関与したハッカー集団は、Silk Typhoon である可能性が高いと、その人物は匿名を条件に語っている。5月22日 (木) には、この侵害について、CISA と Commvault が共同勧告を発表したが、Silk Typhoon との関連には触れられていない。

CISA は勧告の中で、「この脅威活動は、複数の SaaS 企業のクラウド・アプリケーションを、初期設定のままの状態や過剰な権限を持つ構成で狙う、大規模なキャンペーンの一部である可能性がある」と述べている。

CISA は勧告の中で、「この脅威活動は、複数の SaaS 環境などで問題視されている、初期設定や過剰権限のコンフィグレーションを狙う、大規模なキャンペーンの一部である可能性がある」と述べている。

2025年2月下旬の時点で、Microsoft が Commvault に通知したのは、国家に支援される脅威アクターによる不正アクセスに関する情報だった。この脅威が発見されたキッカケは、Commvault のデータ保護製品である Metallic が、Microsoft の Azure クラウド上でホストされていたことにある。

Silk Typhoonは、中国政府が支援するハッカー集団の一派であり、Microsoft の脅威インテリジェンス部門は、北京に関連するサイバー活動に “Typhoon” というコードネームを付けて追跡している。これらのグループは、世界中の通信ネットワークや米国の重要インフラへの侵入により、過去１年間に大きな注目を集めてきた。

そして、さらなる情報提供を受けた Commvault は、FBI や CISA との連携を開始したと、2025年3月の時点で発表している。

Commvault は、当時のブログ投稿で、「この侵害は、Microsoft と共有する、少数の顧客に影響を及ぼしたが、我々は当該顧客に対して支援を提供している。Commvault が保管／保護する顧客のバックアップ・データへの、不正アクセスは確認されていない」と述べている。

そして 4月下旬には、Commvault／Broadcom／Qualitia の脆弱性が、積極的に悪用されているとして、CISA KEV カタログに登録されている。しかし、現時点では、これらの脆弱性が Silk Typhoon と関連しているかどうかは不明である。

Commvault の広報担当者は、「5月4日にアドバイザリを発表した以降において、この CISA の警告に関連する新たな進展はない。CISA のアドバイザリは、その時に報告した、我々の情報を基にしている。以前のアドバイザリで述べたように、我々は Microsoft から提供された情報をベースに対応したが、この活動を特定の脅威アクターに帰属させたわけではない」と述べている。

CISA はコメントを控え、FBI も取材に応じていない。

この侵害は、最も重要なデータをクラウドに保存する、政府／民間の組織に大きな影響を及ぼす可能性があり、メール／ドキュメント／機密性の高い顧客情報などが危険にさらされている。

Commvault の公式サイトによると、同社の顧客には、Sony／3M／Deloitte／AstraZeneca などの大手企業が含まれている。また、政府サービス部門でも積極的に採用されており、2025年4月には、米国連邦政府業務におけるセキュリティ検証要件を満たすことを認定する GovRAMP (旧：StateRAMP) の認証を取得している。

2025年3月に Microsoft は、「Silk Typhoon は、リモート管理ツールやクラウド・アプリケーションなどの、一般的な IT ソリューションをイニシャル・アクセス取得に悪用している。このグループは、盗んだ認証情報を悪用して顧客のネットワークに侵入し、Microsoft 製品などのツールを介してスパイ活動を行っている」と発表していた。

2024年末に Silk Typhoon は、米財務省のネットワークに侵入していたことが判明している。そのときには、外国企業による買収に際して、国家による安全保障審査を行う米国外国投資委員会や資産管理事務所といった、同省の中でも特に機密性の高いシステムの一部が侵害されたという。

そして今年の１月には、上海拠点のハッカーである Yin Kecheng が、この財務省への侵入に関連して制裁措置を受け、北京の主要な諜報機関とみなされる、国家安全部との関連性が疑われている。

Microsoft は３月のブログで、「Silk Typhoon は。クラウド環境のコンフィグレーションとデプロイメントを高度に理解しており、横方向の移動／永続化／データの迅速な窃取を成功させている。このグループを、2020年から追跡している」と述べている。

専門家たちが中国を、米国に対する最大のサイバー諜報脅威と見なすのは、政府機関／防衛関連企業／大手テクノロジー企業などを標的として、機密データや知的財産を盗み出してきた歴史があるからだ。

文中では、北京に関連するサイバー活動に、Microsoft が “Typhoon” というコードネームを付けていると解説されています。この Silk Typhoon に関しては、2025/03/05 に「中国由来の Silk Typhoon の戦術：脆弱性悪用とパスワード・スプレーの採用」という記事をポストしていますので、よろしければ、Salt Typhoon で検索と併せて、ご参照ください。