より多くの通信事業者で Salt Typhoon 侵害を確認、ホワイトハウスが介入を検討
(theregister.com)- AT&T、Verizon、Lumen Technologies が中国政府支援ハッカーによるシステムへのアクセスを確認し、Salt Typhoon 侵害が米国の通信網全体に及ぶ国家安全保障問題へと拡大
- ホワイトハウスは、今回の侵入により中国側が数百万人の位置追跡と電話通話の任意録音能力を得ており、ある事例では管理者アカウント侵害によって 100,000 台を超えるルーターへのアクセスが可能だったと説明
- AT&T と Verizon は、影響を受けた顧客は少数だったとし、Lumen は顧客データへのアクセス証拠はなく、独立系フォレンジック企業が攻撃者の排除を確認したと伝達
- 位置情報や通話メタデータの影響を受けた人は多いが、実際の通話や SMS の収集対象はより少なく、100人未満である可能性
- FCC は通信事業者に基本的なサイバーセキュリティ慣行を求める規則案を進めており、Ron Wyden 上院議員も FCC に拘束力のある通信セキュリティ規則の発行を求める法案を提案
米国通信事業者の侵害確認が拡大
- AT&T、Verizon、Lumen Technologies は、中国政府支援のスパイが今年初めに自社システムの一部へアクセスしたことを確認
- ホワイトハウスは、Salt Typhoon の侵害を受けた通信事業者が従来の 8 社から9社に増えたと発表
- T-Mobile は以前、Salt Typhoon による偵察の試みと「一貫した」スパイ活動に言及していたが、政府が挙げた 9 社の通信事業者の 1 社ではないと線引き
AT&T・Verizon・Lumen の被害確認内容
- AT&T は、海外のスパイが諜報キャンペーンで少数の顧客を侵害し、その勢力はすでにネットワークから排除されたと説明
- 現在、ネットワーク内で国家主体の活動は検知していない
- 中国は、外国情報機関の関心対象である少数の個人を標的にしたとみている
- 個人情報が影響を受けた比較的少数の事例では、法執行機関と協力して通知義務を履行
- 政府関係者、他の通信事業者、サイバーセキュリティ専門家とともに調査を継続中
- Verizon は、中国の侵入者が政府および政界の少数の重要顧客にアクセスしたことを確認
- 該当顧客には通知済みで、国家主体の脅威によって発生したサイバー事案を封じ込めたと説明
- 名前を明かしていない「高く評価される」サイバーセキュリティ企業も封じ込めを確認
- 連邦法執行機関、国家安全保障機関、他の通信パートナー、セキュリティ企業と協力
- Verizon の最高法務責任者 Vandana Venkatesh は、しばらく Verizon ネットワーク内で脅威アクターの活動を検知していないと述べた
- Lumen Technologies は、中国の攻撃者をシステムから排除し、顧客データへのアクセス証拠は見つからなかったと説明
- 独立系フォレンジック企業が、Salt Typhoon はもはやネットワーク内に存在しないことを確認
- 連邦パートナーからもこれと異なる情報は共有されていないと述べた
ホワイトハウスが見た侵入の範囲と手法
- ホワイトハウスのサイバー・新興技術担当国家安全保障副補佐官 Anne Neuberger は、今回の侵入は「米国史上最悪の通信ハッキング」と呼ばれていると伝えた
- 中国側はネットワークへアクセスして「広範かつ完全なアクセス」を確保し、その結果、数百万人の位置追跡と電話通話の任意録音能力を持つに至った
- ある事例では、スパイが管理者アカウントに侵入し、そのアカウントで100,000台超のルーターへアクセスできた
- Neuberger は、中国がそのアカウントを侵害することでネットワーク全体に広いアクセス権を得たと説明
- こうした状態は、国家主体への防御に必要なサイバーセキュリティ水準を下回っていると評価
影響を受けた人数とデータ範囲
- ホワイトハウスは、被害者総数をまだ把握できていない
- 位置情報と通話メタデータの影響を受けた個人は多数にのぼる
- 実際の電話通話と SMS の収集対象はそれより少なく、実人数は100人未満である可能性
規制へ移る通信セキュリティ対応
- ホワイトハウスは、今回の侵入を受け、国家主体の脅威に対して自発的なサイバーセキュリティ対策だけでは不十分だと強調
- FCC は通信事業者に基本的なサイバーセキュリティ慣行を求める公開規則の提案を開始
- 委員らはこの規則を 1 月 15 日までに採決する予定
- Ron Wyden 上院議員は、FCC が通信システムに対して拘束力のある規則を発行するよう求める法案を提案
- 侵害を受けた 9 社の通信事業者の CEO は全員、政府の60日 Enduring Security Frameworkに参加
- この官民連携の取り組みは、情報機関、CISA、FBI、通信セキュリティ専門家が合意した最低限のサイバーセキュリティ慣行を整備することを目標としている
1件のコメント
Hacker News の意見
企業が データ最小化 を実践し、見る必要のない顧客データを エンドツーエンド暗号化 していれば、この種の侵害は減っていただろう
侵入する動機がなくなるからだが、情報機関は無実の市民の会話にアクセスできるべきだと主張し続けている
実際、懲罰的な処罰や罰金がなく、短期的利益の保護がユーザーデータ保護より重視されている。侵害が会社に深刻な 金銭的打撃 を与えるようになるまでは、「申し訳ありません、信用監視を提供します」でユーザーに押し付けられ続けるだろう。ソフトウェア開発・エンジニアリング業界でもデータセキュリティを真剣に扱う人は多くなく、口ではいろいろ言っても実際の事業実装ではひどい慣行が多い
今やその義務化されたプライバシー回避バックドアが悪意ある主体に使われており、FBI は自分たちが招いた事態のせいで、全員にエンドツーエンド暗号化アプリを使うよう勧めている。だがこの惨事が過ぎれば、また「暗号化は悪い、セキュリティは悪い、データを簡単に取れる方法をよこせ」という主張に戻るだろう
問題は規制と商業的利害の両方が絡んでいることだ。一般市民や政府が携帯電話に真のプライバシーを受け入れると期待するのは現実的ではない。人々は 911 に電話したときに警察や消防が出動することを望み、組織犯罪や重大犯罪が摘発・起訴されることも望んでいる
SS7 プロトコル は、特定時点で端末がどの RNC/MMC に接続しているかを把握できるようにしており、これはネットワーク動作の本質的な一部だ。十分に高度な攻撃者が通信機器に十分なアクセス権を持っていれば、そのプロトコル命令を直接送って位置を特定できる
ユーザーが 1 人の場合の基本原理は理解しているが、Facebook Messenger のような共有型のエンドツーエンド暗号化グループチャットがどう実装されているのか、もっと知りたい
米国の銀行、Venmo、PayPal などが今でも認証に「本物の」電話番号を要求するのは奇妙だ
Venmo は VoIP 番号を使えなくしているが、Tello に加入して海外で eSIM を有効化すると、すぐに SMS を受信して登録できた。障壁はたった 5 ドルで、実に見事なセキュリティだ
結局のところ、最も効果的な方法は取引当事者が誰かを把握することだ。顧客確認制度 の基準が低い会社もあるが、時間がたつと犯罪を助ける経路となり、規制当局や政府の監視を受けるようになる。米国はシンガポール、カナダ、日本、そしてますます厳格化する EU と比べると比較的緩く、複数の法域では生体認証、写真認証、ときには担当者とのビデオ面談で書類を提示する必要がある
ある会社は後になって VoIP 番号 をさかのぼってブロックしたが、本当に愚かだった
その番号が詐欺に使われていないか確認し、許可する手続きがあるべきだ。何年も顧客であり、その番号を使い続け、プラットフォーム上で数千ドルの取引を問題なく行ってきたという事実くらいは判断材料になるはずだ
少なくとも欧州では、PSD2 基準で電話番号を 2 要素認証手段として認めるうえで、その点が中核になる
電話に出て「私は……です」と言わない唯一の理由は、私が正直だからだ。すでに質問される情報を全部知っている悪意あるユーザーは防げず、ただ嘘をついて事業主やアカウント所有者だと名乗るだけだ
セキュリティ分野で働いているが、この件には驚いた。企業がハッキングされた事実そのものより、攻撃範囲が同時多発的で、しかも調整されているように見える点に驚く
複数の企業を同時に突破するのは、中国側の目標について何かを物語っている。こうすると「ノイズ」が大きくなるリスクがあるのに、なぜ高位の標的を盗聴するために従業員を買収せず、全部に手を出して大統領級の対応まで呼び込んだのか疑問だ。これはイメージと政治に動かされているように感じられ、現代の冷戦はインフラ攻撃なのだと思う
興味のある産業をほぼどれでも選べば、上位50か国の情報機関にはその分野をハッキングする専任チームがあり、その大半は成功している。残念ながら、セキュリティ業界の人間ですら、こうした作戦の範囲と規模を、自分たちが責任を負うネットワークの中でさえ正しく把握していないことが多い。ここでの「ノイズ」は攻撃者が出したものではなく、攻撃者も見つかりたがっているわけではないが、ミスは起こる
1つ見つかると、ほかも探し始めるからだ。従業員を取り込むのは複雑で難しいが、SS7をリモートで攻撃するのは、特に監視対象が複数いる場合にはずっと簡単だ
通信・電力ケーブルにあからさまに手を出す行為は、西側の政治家に向けたシグナルのように見える。北朝鮮が暗号資産を盗んだという主張もあるが、特定可能な被害者が名乗り出ていない点もある。西側の政治家たちは、まさに今起きている出来事から私たちを守るという名目で、世界経済全体を作り替えようとしており、単なる偶然以上に感じられる
outgoing と incoming の政治的傾向に関係なく、さらに混乱するだろうし、目立ちはするが、対処すべき事項の一覧の中で後回しにされたり忘れられたりする可能性がある
ニュースに出てくる攻撃には巨大な選択バイアスがかかっている
ハッキングの説明が不明確なので断定はできないが、侵害された通信事業者が増えるほど、中国が合法傍受を攻撃して侵入した可能性は高まる
手口はいくつも考えられる。合法傍受管理システムへのアクセス権を持つ法執行機関関係者を買収・脅迫したり、そのシステムのサプライチェーンを攻撃したり、ネットワークと管理システム間の認証を破ったりする形だ。もし合法傍受への攻撃であれば、自動化された合法傍受をサポートするすべてのネットワークが compromised されたことになる。傍受対象が運用者に簡単には見えないよう設計されているため、検知が難しいという点で厄介な攻撃だ
ネットワーキングの仕事をしたことがある人なら、何を言っているのか分かるはずだ。この業界の状態は笑ってしまうほどひどい。SSHは使うがホストキーは検証せず、エージェントフォワーディングを使い、RADIUSやSNMPのように1台突破されるとほぼ常にグローバル共有シークレットで総崩れになるプロトコルを使っている。セキュアブートをまともに使っているのか、ファイルシステムを検証しているのかも疑わしい
20年前、誰かが偽造したTCP resetを注入してBGP接続を切断できることを発見したとき、業界は BGP over TLS を導入しなかった。代わりに、1999年に共有シークレットベースのTCP MD5ハッシュを追加しただけだった: https://datatracker.ietf.org/doc/html/rfc2385。今日でも PKI を使うことすら想像できないような空気は変わっておらず、導入自体もたいてい行われていない
この業界を理解するには、これだけ見れば十分だ。単に TLS を使う代わりに https://datatracker.ietf.org/doc/html/rfc5925 のようなものを作り、実運用では同じ共有タプルモデルを使い続けているので、2385と同じくらい悪い。「サポートしている」と言うベンダーの中にも RFC 全体を実装していないところがある。こうした状況は何十年も前から知られていたが、ベンダーは発覚した間抜けな問題への場当たり的な対処以外、セキュリティ改善にほとんど関心を示してこなかったし、セキュリティ研究者も重要なネットワーク機器をあまり詳しく調べていない
より多くの場所がハッキングされたと言っているのではなく、同じハッキングに関連する事例がさらに見つかったという意味だ。このレベルの攻撃者はニュースを見ているはずで、利益のために適切に動くか、侵害指標がリバースエンジニアリングされる前にネットワークを畳むだろう
合法傍受ベースの攻撃というより、どう侵入したのか確実には分かっていない状況である可能性が高い。CISAガイダンスの大半は、監視・可視性の確保、攻撃面の縮小といった標準的なサイバーセキュリティのベストプラクティスだ。主な変化は、TFTPをもう使わないよう求めている点と、基準ハッシュの出所としてメーカーを使うようにしている点に見える。送受信経路におけるファームウェアベースの攻撃の可能性が非常に高そうだ
TFTPサーバーは ISP ネットワークの端末、つまり顧客モデムに設定を配布し、ファームウェアイメージも含めるが、そこには認証・認可・監査がない。関連ハードウェアは設計上、変更を適切に監査しにくく、TR-47 が適切に使われることもまれで、関連する暗号化も法的にすでに破られた暗号との下位互換性を求められている。数年前の Cyphercon 6 に良い発表があった: https://www.youtube.com/watch?v=_hk2DsCWGXs
TLS 1.3がやたらと強調されているのは、接続がダウングレードされているか、あるいは CPE ブリッジのハードウェア・ファームウェアが旧バージョンで公開サイトに対して透過的な中間者攻撃を行っている可能性を示唆する。特定の DH グループの使用を強調しているのも、まだ破られたとは知られていないが、実際には破られている鍵交換グループがあることを示しているのかもしれない
攻撃者がすでにアクセス権を持つセンシティブな人物を対象に、トラフィックへその場でマルウェアを挿入できるなら、そのトラフィックを通じて高度にセンシティブなシステムへ容易に侵入できる。さらに周辺的な仮説としては、Feistel 構造を破る方法が見つかった可能性もある。NSA は以前、暗号学上のブレークスルーがあったと述べていたが、それが現代暗号の大半の基盤である Feistel ネットワーク構造への攻撃に関するものなら、別の説明にもなりうる
ほぼすべてのコンピュータには、TrustZone、Management Engine、AMD PSP のような形のバックドア的な補助プロセッサが内蔵されており、適切な監査証跡なしに暗号だけに依存して保護されている。これは地球上のほぼすべてのコンピューティングプラットフォームに共通する、手の届きやすい低い実のように見える。量子コンピュータがこうしたシステムの単一署名鍵を破れば、あらゆるものへの黄金の鍵になり得るし、国家レベルなら完全に不可能とも言えない。可視性がなければ、問題を検知したり、対応したり、切り離したりする方法も間接的なものしかない
関連する以前の議論:
PRC Targeting of Commercial Telecommunications Infrastructure
https://news.ycombinator.com/item?id=42132014
AT&T, Verizon reportedly hacked to target US govt wiretapping platform
https://news.ycombinator.com/item?id=41766610
数年前までは情報機関が バックドアの義務化 を主張していたのに、今ではFBIが安全なチャットにSignalを勧めているというのは喜劇のようだ。
新政権がこの4年間の彼らのメールやテキストメッセージも覗き見ることを願うよ。要するに「自分のプライバシーはよくて、お前のプライバシーはだめ」という話だ
攻撃は盗聴アウトソーシング企業を通じた CALEAバックドア を突いたものだ。どの会社だったのだろう?
NEX-TECH: https://www.nex-tech.com/carrier/calea/
Substentio: https://www.subsentio.com/solutions/platforms-technologies/
Sy-Tech: https://www.sytechcorp.com/calea-lawful-intercept
この事業をしている会社は他にどこがあるだろう? 盗聴アウトソーシング会社はそれほど多くない。Verisignも以前はこの事業をしていたが、今は違うようだ
もちろん技術的には不可能だが、情報機関の観点から望む最終状態そのものはかなり理解できる
防諜側が強い暗号化を望み、犯罪対応側がバックドア可能な暗号化を望むのは驚くことではない
FBIが当然払うべき敬意をプライバシーに払っていないとしてもだ
通信事業者が持つあらゆるセキュリティの上に エンドツーエンド暗号化 が必要な理由はこれだ。
自分が作るどんな接続でも、受信者以外の地点で暗号化されていない理由はない
中国が狙ったのは誰が誰と通信しているかという メタデータ であり、これはまったく別の問題だ
電話番号を扱うだけでも面倒なのに、その上に公開鍵まで追加しようという話だ。簡単に書き留めておくこともできず、端末にひも付く可能性が高いので、携帯電話を失って買い替えたら、新しい鍵をどうにかして全員に配るまで電話を受けられなくなる。
エンドツーエンド暗号化は、試みられたあらゆる文脈で実用不可能であることが明らかになったと思う。今日、実際に有用な本物のエンドツーエンド暗号化システムは存在せず、業界はその用語を、敵対者が支配するソフトウェアが暗号化を行う「疑似暗号化」という意味にすり替えて無意味にしてしまった。どうせ本物のエンドツーエンド暗号化を使っているところはなかったのだから、そういう決定をしたエンジニアたちにもある程度は同情できる
米国財務省も中国の脅威アクターによる侵入を公表した。
彼らの「サイバーセキュリティベンダー」が持っていた リモートアクセスキー が漏えいし、攻撃者が財務省内部のエンドポイントにアクセスできたという
私の知る限り、これはEUの通信事業者にとってはニュースですらないだろう。中国企業が運用していて、ほぼすべてに恒久的なアクセス権を持っているからだ。
https://berthub.eu/articles/posts/5g-elephant-in-the-room/
米国の通信事業者はそうではないのか?
幸い、米国のオンラインサービスは欧州側に立って通信を守ろうと誰よりも熱心に働いている。しかも欧州から金をもらっているわけですらないのに、その見返りとして欧州は何十億ドルもの罰金を科している。欧州はアテンション・エコノミーに課税しようとしてウェブサイトを壊し、オープンソース開発者への法的保護まで取り除いた
「数百万人の位置を把握する能力」があるのなら、Starlinkも巨大な direct-to-cellアンテナ であらゆる4G/5G携帯電話のIMEI位置を簡単に把握できそうだ
ネットワークの大半で端末を識別する際には一時識別子を使う多段階の手順があるので、必ずしもそうではない