米FBIサイバー担当者: Salt Typhoonがほぼすべての米国人をハッキング

 (theregister.com)
1 ポイント 投稿者 GN⁺ 2025-09-01 | 1件のコメント | WhatsAppで共有
  • Salt Typhoonハッキング組織が長年にわたり米国の通信網に侵入し、数百万人分の機微な情報を大規模に収集
  • 今回の攻撃は、米国人を無差別に標的にした前例のない規模のスパイ活動
  • 中国政府と連携したSalt Typhoonの支援企業は80か国以上に侵害を広げ、米国では約200の組織が被害を受けた
  • 攻撃の結果、数百万の携帯電話利用者の位置追跡、インターネットトラフィックの監視、一部では通話の盗聴まで発生
  • FBIは今後、より高度なサイバー脅威が継続的に増加すると見ており、セキュリティ強化の必要性を警告

Salt Typhoonスパイキャンペーン概要

  • Salt Typhoonという中国政府支援のハッキング組織が、長年にわたり米国の大手通信網に侵入し、多くの米国人の個人情報を大量に収集していたことが米FBIにより確認された
  • FBIサイバー副局長 Michael Machtinger はメディアとのインタビューで、今回のスパイ攻撃がほぼすべての米国人の情報を盗んだ可能性に言及した
  • 従来は機微でない個人は標的にならないとの認識があったが、Salt Typhoonにより、誰もがサイバー攻撃の標的になり得ることが明らかになった

攻撃範囲と背後関係

  • Salt Typhoonのサイバースパイ活動は少なくとも2019年から始まり、2023年秋に米国政府によって発見された
  • 米国以外でも、12か国の政府機関が今回の攻撃の深刻さについて共同警告を発表した
  • 侵入範囲は米国の主要通信事業者9社、政府ネットワークを超えて、80か国あまりの機関に広がった
  • 約200の米国組織が被害を受け、Verizon、AT&Tなどの大手通信事業者も含まれる
  • 背後企業として、Sichuan Juxinhe Network Technology、Beijing Huanyu Tianqiong Information Technology、Sichuan Zhixin Ruijie Network Technology などが名指しされた
    • これらの企業は中国国家安全部および人民解放軍にサイバーソリューションを提供している
広告

攻撃手法と被害の種類

「中国がこのような代理組織を通じて行っている行為は、サイバースパイ業界の通常レベルをはるかに逸脱した、無差別で危険な行動だ」

  • Machtinger は今回の事件を、米国内で前例のない重大なサイバースパイ侵害と評価した
  • Salt Typhoonは、無差別な大規模標的化によって、数百万人の携帯電話利用者の位置情報、インターネットトラフィック、さらには一部の通話内容まで盗聴した
  • 被害範囲には一般市民だけでなく、歴代および現政権の高官100人超も含まれる
    • 一部メディアは、大統領 Donald Trump、副大統領 JD Vance も標的になったと報じている
    広告
  • 特に高官は、実際のコンテンツ傍受など、より深いレベルの情報侵害被害を受けた

類似する中国発サイバー脅威

  • Salt Typhoonのほか、Volt Typhoon 組織が数百台の旧式ルーターをハッキングしてボットネットを構築し、米国の重要インフラネットワークにアクセスした
    • 後に、破壊的なサイバー攻撃の準備が目的だったことが確認された
  • Silk Typhoon 集団は10年以上にわたりITおよびクラウド事業者を攻撃し、政府、技術、教育、法務など多様な分野のデータを窃取した

その他のグローバルなサイバー脅威

  • Machtinger は、中国以外にもロシア、イラン、北朝鮮、さらに国内外のサイバー犯罪組織やランサムウェア集団が日々攻撃を続けていると指摘した
  • こうした行為主体は、今後さらに高度化した攻撃手法を導入すると予想される
  • セキュリティ意識の向上、システムの最新化、老朽機器の更新など、積極的なサイバーセキュリティ対策の必要性を強調した

関連記事

1件のコメント

 
GN⁺ 2025-09-01
Hacker Newsの意見

  • セキュリティコミュニティは、合法的傍受(Lawful Access)を簡単に自動化すれば、悪意ある側が必ずネットワークに侵入すると警告していた
    今は中国がCALEAで弱体化したシステムを利用して、米国全体のネットワークデータを持ち出している状況だ
    以前NSAがGoogleバックボーンを盗聴した事例や、Room 641A、MAINWAY、PoindexterとTIA、Palantirの事例を見ても、米国も例外ではなかった
    NSAはもともと防御と攻撃の両方を担っていたが、すでに数十年にわたり攻撃だけに集中する集団になっており、こんな行為を米国だけができると信じていた人たちはあまりに甘い

    • 鍵のかかったドアは、鍵を持っている人だけが開けられる……
      だが鍵がなくても、錠をこじ開けたり、ドアを持ち上げたり、蝶番を外したり、ドアを壊したり、下や上を通ったり、鍵を持つ人を言いくるめて開けさせたりと、想像力さえあれば方法はいくらでもある

    • 実際にどう突破されたのか気になる
      CALEAをサポートするソフトウェアベンダーが侵害されたのか、それとも複数の通信事業者が使うMediator Deviceベンダーが攻撃されたのかと推測している
      MD(Mediator device)は、フローキャプチャ(wiretap request)とpcap証拠管理の役割を果たすソフトウェア装置だ
      MDは一般に、ネットワーク機器にSNMP pollingで(r)spanポートを有効化し、すべてのデータを吸い上げて保存する
      技術情報があまりないので、どのベンダーなのか、どの装置が侵害されたのか気になる
      LI(Lawful Intercept)の詳しい説明はこちらを参照

    • NSAで働いていた人の多くが、今ではNSO Groupのような民間セキュリティ企業のために働いている
      そうなっている状況を見ると怖くもあるが、彼らが受け取った年俸の水準を見ると、自分でもその提案を受けたら悩んだと思う
      現場の裏話に興味があるなら、Nicole Perlrothの本『This Is How They Tell Me the World Ends』を勧めたい
      出版後にさらに多くの出来事が起きたが、現場を理解するのに良い参考資料だ

    • もしかするとこのばかげた決定は、権力を持つ人々が外部の脅威より自国民を恐れているからなのかもしれない

    • 道徳的優越感に浸った愚か者たちだ
      攻撃的な作戦を忘れたのではなく、そもそもそんなことがあったのかすら知らないか、関心もなかったのだろう

  • 私は3G GGSNノード向けの合法的傍受の仕様を書いた経験がある
    昔の話だが、当時の仕様ではネットワーク管理システムにも傍受記録が残らないよう設計されていた
    そのため通信事業者は傍受中かどうか分からず、法執行機関がLIコンソールから直接傍受命令を出せるようになっていた
    当時の基準ではトラフィックの最大3%まで傍受可能で、対象者はもちろん通信事業者も傍受の事実を認識できないケースだった
    合法的傍受システムが特別ハックされやすいわけではないが、いったん突破されると悪用を検知するのが非常に難しい
    いつ、どうやって侵害が始まったのか誰も確信しにくい理由でもある

    • ネットワーク運用者が合法的傍受に関する監査ログをまったく見られないという点が危険すぎるように思える
      誰かが侵入しても誰にも分からない気がする

  • こういう形で必須の政府バックドアをネットワークインフラに組み込んだ結果が現実になっている
    これほど重要なインフラでセキュリティが脆弱だったとは信じがたい
    OPMハッキングやCIAのオンライン・ドロップサイト運用失敗を見れば、もはや政府のセキュリティ無能ぶりにはまったく驚かない

    • 電話番号をそもそも使わないことを本気で考えている
      セキュリティがあまりに脆弱で、電話番号は社会保障番号と同じくらい本人確認手段として使われているが、実際には必須ではない

    • 最上位レベルの国家支援型攻撃者は、バックドアがなくても技術・資源・粘り強さによってたいていのシステムに侵入できる
      無条件にバックドアだけを責めるのではなく、より強いサイバーレジリエンスと、さらに優れた防御能力が必要だ
      中国が国家レベルで脆弱性収集体制を構築したことに米国がどう対応すべきかについては、Atlantic Councilの最近の報告書を読む価値がある
      報告書リンク

    • コンピュータが100%安全になることは決してなく、特に国家レベルではハードウェアへの実アクセスが容易なので、セキュリティは結局金の問題であり、ひたすらゼロが増え続ける

  • Salt Typhoonの件では、珍しく2024年に大規模に知られたにもかかわらず、いまだに完全には制御されず進行中の状況だ
    たいていの事件は事後分析で教訓を共有するものだが、今回はいまだに攻撃者がネットワークを掌握しており、データ流出が続いている
    関連記事

  • CISAの公式発表資料はこちらで見られる

    • DogeとMAGAがその機関(CISA)の人員を30%削減したそうだ
      今こそサイバーセキュリティとインフラ防衛がより重要な時期なのに、官僚をみんな追い出すとは実にタイムリーだ(?)
      関連記事リンク

    • 政府の直接的な勧告文へのリンク: こちらを参照

  • 「中国はこのような行為を通じて、スパイ活動における通常の基準を外れた無差別で危険な行動を取っている」という発言があったが、いったいスパイの『標準』とは何を意味するのか気になる

    • 米国の情報機関がPRISMやUpstreamなどで世界中の通信を集めているのを見ると、
      ここでいう『標準』とは、これまでは米国だけがこうした行為をできた、という意味のように思える
      今や中国が同じ水準の競争相手になったということだ

    • 米国政府だけが自国民を相手に違法な大規模盗聴をできるという『標準』を言っているのだと思う
      中国がこんなことをするのに対して「こいつら何様だ?」という反応だ

    • 対象を選ばずに攻撃する『indiscriminate targeting』の話をしているのだろう
      「中国は今や、機微な分野に従事していない人であっても標的ではないと断言できない時代を作った」とFBIサイバー副長官が述べている

    • 私はもともとスパイに規範やルールブックのようなものがあるとは知らなかった
      自分の考えでは「誰も捕まらないことがルール」のすべてだと思っていた
      私がよく分かっていないだけかもしれない

    • 結局のところ、頭の中にある柔らかいルールにすぎないようだ

  • この報道に関して、政府以外に信頼できるソースがあるのか気になる
    この事件は十分起こり得るように見えるが、あまりに多くの嘘があった歴史を考えると、
    今のところ政府の発表だけでは信頼しにくく、党派色の薄い第三者ソースのほうが説得力がありそうだ

    • Verizonは特定の政治家が標的になったと述べている
      関連リンク

    • オーストラリアにいる私のセキュリティ分野の友人によれば、中国はすでに米国データのほぼすべてを持っているという

  • 米国政府は今後も監視を強めるばかりだろう

  • 米国ホワイトハウスとFBIによれば、中国のハッカーが無差別に攻撃し、数百万人の携帯電話の位置を追跡し、インターネットトラフィックを監視し、一部では通話録音まで行ったという
    被害者にはドナルド・トランプ前大統領、JD Vance副大統領も含まれていた
    私はこの監視が基地局やインフラに直接接続して行われたのだと想像していたが、Wikipediaのページを見ると、実際の経路はサーバーハッキングらしい
    AT&Tのサーバーのような場所が侵害されたのだろうかと気になる
    こうしたケースで自分のデータを奪われないようにする方法があるのか考えてしまう
    VPNを使っても三角測量で位置情報を取られるなら、携帯電話を完全に切っておかない限り打つ手がないように思える
    出典 - Salt Typhoon methodology

    • こういう場合に自分のデータを少しでも奪われにくくする方法は、電話番号をどこにも一切使わず、SIMカードをデータ専用にして頻繁に交換・ローテーションすることくらいだ

    • GDPRのようなデータ販売・仲介に関する規制が、少なくとも最悪の事態を防いでくれるのだと改めて感じる
      今回のハッキングも結局は侵害された側からの情報流出なのだろうが、
      実際にはデータの大半がすでに『グレーですらない市場』で合法的に購入可能である以上、業界構造そのものが問題だ
      ある記者が公開された位置データを買って情報機関職員を特定する実験までしていた
      販売を減らしたとしても、結局は簡単にハックされ得る場所に保存される限り限界がある

    • トランプ大統領、JD Vance副大統領も被害者に含まれていたというくだりがあるが、
      記者がもう少し愉快にアンゲラ・メルケルへコメントを取りに行ってくれたら面白かったかもしれない

  • これに関連して、イスラエルも米国通信の盗聴に関与していたという記事がある
    イスラエル政府もまた、中国と同じ方法で米国ネットワークにアクセス可能な状況だ