米国の主要な通信事業者であるT-Mobileが、中国国家支援型ハッカー集団による広範なサイバー攻撃の標的となり、その被害を認めたことが明らかになった。この攻撃は、AT&T、Verizon、Lumen Technologiesといった他の大手通信企業も巻き込んだ業界全体に及ぶものであり、その規模と影響の深さから、米国の国家安全保障に関わる重大な懸念を引き起こしている。2024年11月16日のBleepingComputerの報道によれば、T-Mobileは当初、顧客情報への重大な影響はないと説明していたが、この一連の攻撃が単なるデータ侵害に留まらない、より深い諜報活動の一環であることが徐々に判明している。
T-MobileはBleepingComputerに対し、「T-Mobileは業界全体のこの攻撃を綿密に監視しており、現時点ではT-Mobileのシステムとデータに重大な影響はなく、顧客情報への影響を示す証拠もありません」と述べた。しかし、The Wall Street Journalが最初に報じた内容や、その後の政府機関からの声明は、事態の深刻さを浮き彫りにしている。この攻撃は、単一の企業を狙ったものではなく、米国の通信インフラ全体を標的とした、組織的かつ長期的なキャンペーンの一環として位置づけられている。
このサイバー攻撃の背後には、「Salt Typhoon」として知られる中国国家支援型脅威アクターが存在する。彼らは「Earth Estries」「FamousSparrow」「Ghost Emperor」「UNC2286」といった複数の別名を持ち、少なくとも2019年、あるいはTrend Microの分析によれば2020年から活動している。彼らの主な標的は、政府機関や通信企業であり、特に東南アジア地域に焦点を当ててきたが、近年ではその活動範囲を米国を含む世界各地に拡大していることが確認されている。
今回の侵害は、T-Mobileにとって2019年以降で9度目のデータ侵害となる。過去には、プリペイド顧客のアカウント情報漏洩(2019年)、従業員の個人情報・金融情報漏洩(2020年3月)、顧客の独自ネットワーク情報へのアクセス(2020年12月)、APIの脆弱性を悪用した3,700万人の顧客情報窃取(2023年1月)など、度重なるインシデントに見舞われてきた。これらの経緯は、同社が直面するセキュリティ上の課題の根深さを示唆しており、今回の国家支援型攻撃の標的となった背景には、過去の侵害で露呈した弱点が関連している可能性も指摘されている。
「Salt Typhoon」の正体:巧妙な国家支援型ハッカー集団
今回の広範なサイバー諜報活動の主犯とされる「Salt Typhoon」は、その高度な技術力と戦略的な標的選定で知られる中国国家支援型ハッカー集団である。彼らは、政府機関や通信企業を主要な標的とし、特に東南アジア地域で活動を活発化させてきたが、その影響範囲は米国、フィリピン、台湾、マレーシア、南アフリカ、ドイツなど、世界各地に及んでいる。Trend Microの分析によれば、Salt Typhoonは少なくとも2020年から活動しており、その手口は常に進化し、防御を回避するための巧妙な戦術を駆使している。
この集団は、複数の別名で知られており、その中には「Earth Estries」「FamousSparrow」「Ghost Emperor」「UNC2286」といった名称が含まれる。これらの別名は、彼らの活動が異なるセキュリティ研究機関によって追跡され、それぞれ異なる視点から分析されてきた結果である。彼らの動機は、主に国家レベルの諜報活動にあり、特定の国の安全保障や政策に関する機密情報を窃取することを目的としていると見られている。
Salt Typhoonの攻撃は、単なるデータ窃取に留まらない。彼らは、標的のネットワークに長期的なアクセスを維持し、継続的に情報を収集するための多層的な戦略を採用している。Trend Microの研究者であるテッド・リー、レオン・M・チャン、レナート・ベルメホは、彼らが「正当なツールと特注のツールを興味深い組み合わせで使用し、防御を回避し、標的へのアクセスを維持している」と指摘している。この適応性と持続性が、Salt Typhoonを最も攻撃的な中国APTグループの一つとして特徴づけている。
彼らのキャンペーンは、しばしば「Alpha」や「Beta」といったコードネームで分類される。例えば、「Alpha」キャンペーンでは台湾政府や化学メーカーが標的とされ、「Demodex」や「SnappyBee」といったマルウェアが使用された。「Beta」キャンペーンでは、東南アジアの通信・政府ネットワークに対する長期的な諜報活動が展開され、新たに発見された「GhostSpider」や「Demodex」が用いられた。これらのキャンペーンは、Salt Typhoonが特定の地域や産業に特化した攻撃を展開する能力を持っていることを示している。
標的とされた「高価値情報」:盗まれた通信記録と法執行機関データ
今回のSalt Typhoonによる攻撃は、単なる顧客データの流出に留まらず、米国の国家安全保障に関わる「高価値情報」を標的としていたことが、FBIとCISAの共同声明によって明確にされた。攻撃者は、米政府の国家安全保障および政策担当高官の携帯電話回線を狙い、通話記録、テキストメッセージ、さらには一部の音声データまでを窃取したと報じられている。これは、外交政策や防衛戦略に影響を及ぼす可能性のある機密情報が、敵対的な国家アクターの手に渡ったことを意味し、その影響は計り知れない。
さらに深刻なのは、法執行機関が裁判所命令に基づいて通信企業に提出した情報要求に関するデータもコピーされたという事実である。これは、特定の個人に対する監視活動や捜査の状況、さらには法執行機関の運用に関する機密情報が流出した可能性を示唆している。このような情報は、犯罪組織や敵対国家にとって極めて価値が高く、将来の諜報活動や対抗策に利用される恐れがある。米国政府は、これらの侵害の範囲と規模が、調査の進展とともに拡大する可能性があると警告している。
The Wall Street Journalの報道によれば、Salt Typhoonは数ヶ月にわたるキャンペーンを通じて、これらの「高価値インテリジェンス標的」の携帯電話通信を収集することを目的としていた。この長期的なアプローチは、彼らが特定の個人や組織から継続的に情報を引き出すための、忍耐強く計算された戦略を実行していることを示している。攻撃の成功度合いや、具体的にどのような情報がどれだけ窃取されたのかについては、現時点では詳細が明らかにされていない部分も多いが、政府関係者の通信が狙われたという事実は、その深刻さを物語っている。
ワシントン・ポストは、米国当局が主にワシントンD.C.地域に住む150人の被害者に対し、Salt Typhoonによって通信のプライバシーが侵害されたことを通知したと報じている。この事実は、攻撃が特定の政府関係者や政策立案者に焦点を当てていたことを裏付けるものであり、彼らの個人情報だけでなく、職務上の機密情報が危険に晒されたことを意味する。このような標的型攻撃は、国家間の情報戦において、通信インフラがいかに重要な戦場となっているかを浮き彫りにしている。
多層的な侵入経路:脆弱性悪用から高度なマルウェアまで
Salt Typhoonの攻撃は、その多層的かつ洗練された侵入経路によって特徴づけられる。彼らの初期アクセスは、主にインターネットに公開されたサービスやリモート管理ユーティリティの脆弱性を悪用することによって確立される。具体的には、Ivanti Connect Secure VPNのCVE-2023-46805およびCVE-2024-21887、Fortinet FortiClient EMSのCVE-2023-48788、Sophos FirewallのCVE-2022-3236、そしてMicrosoft ExchangeのProxyLogonに関連するCVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065といった既知の脆弱性が悪用されたことがTrend Microによって確認されている。これらの脆弱性は、外部からアクセス可能なシステムを突破するための主要な手段として機能した。
一度ネットワークに侵入すると、Salt Typhoonは多様なツールと技術を駆使して、内部での活動を拡大する。彼らは、Cobalt Strikeのような市販のペネトレーションテストツールを悪用してビーコンを確立し、ラテラルムーブメントや権限昇格を行う。また、カスタムのGoベースのインフォスティーラーである「TrillClient」を使用して、ウェブブラウザのユーザープロファイルから認証情報を収集し、SMTP経由で攻撃者制御のGmailアカウントに窃取する手口も確認されている。これにより、さらなる内部システムへのアクセスや、持続的な足がかりの確保が図られる。
Trend Microの分析では、Salt Typhoonが二つの異なる感染シーケンスを用いることが示されている。一つは、脆弱なQConvergeConsoleインストールを悪用して、Cobalt Strike、TrillClient、そして「HemiGate」や「Crowdoor」(「SparrowDoor」の亜種)といったバックドアを送り込む経路である。もう一つは、より洗練された手法で、脆弱なMicrosoft Exchangeサーバーを悪用して「China Chopper」ウェブシェルを植え付け、そこからCobalt Strike、「Zingdoor」、そして「Snappybee」(「ShadowPad」マルウェアの後継とされる「Deed RAT」の別名)といったバックドアを配信するものである。
これらのバックドアやツールは、コマンド&コントロール(C2)サーバーから、またはcURLを使用して攻撃者制御のサーバーからダウンロードされる。さらに、攻撃者は検出を回避するために、バックドアのインストールを定期的に置き換えたり更新したりする。データ収集にはRARが使用され、機密文書はcURLを介して匿名化されたファイル共有サービスに送られる。また、「NinjaCopy」で認証情報を抽出し、「PortScan」でネットワーク探索を行うなど、偵察と情報収集のためのツールも幅広く活用されている。
「GhostSpider」と進化するツール群:Salt Typhoonの攻撃手法
Salt Typhoonの攻撃手法の核心には、常に進化し続けるマルウェアとツール群がある。最近の発見で特に注目されるのは、Trend Microが特定した新たなモジュラー型バックドア「GhostSpider」である。このバックドアは、長期的な諜報活動のために設計されており、暗号化とメモリ常駐型という特性により、高いレベルのステルス性を実現している。DLLハイジャックを利用して標的システムにロードされ、正当な「regsvr32.exe」ツールを介してサービスとして登録されることで、その存在を巧妙に隠蔽する。
GhostSpiderは、HTTPヘッダーやCookie内にC2サーバーからのコマンドを隠蔽し、正当なネットワークトラフィックに紛れ込むことで検出を困難にする。このバックドアは、「Upload」「Create」「Normal」「Close」「Update」「Heartbeat」といった多様なコマンドをサポートしており、攻撃者は標的のネットワークや防御状況に応じて、マルウェアの挙動を柔軟に調整できる。例えば、「Upload」で悪意のあるモジュールをメモリにロードし、「Normal」でその主要機能を実行させ、「Close」でメモリから削除するといった操作が可能であり、これにより痕跡を最小限に抑えつつ、必要なタスクを実行できる。
GhostSpider以外にも、Salt Typhoonは独自のツールと、他の中国系APTグループと共有されるツールを組み合わせて、複雑な多段階の諜報活動を展開している。その中には、「SNAPPYBEE」(別名「Deed RAT」)と呼ばれる長期アクセスと諜報活動のためのモジュラー型バックドア、「MASOL RAT」というLinuxサーバーを標的としたクロスプラットフォームバックドア、「DEMODEX」という永続性を維持し分析を妨害するルートキットが含まれる。これらのツールは、攻撃者が侵害された環境内でアクセスと制御を維持するための多層的な戦略を形成している。
さらに、彼らの兵器庫には、「SparrowDoor」やその亜種である「CrowDoor」といったリモートアクセスバックドア、「ShadowPad」の後継とされる「SnappyBee」など、広範なマルウェアが含まれる。通信チャネルの隠蔽には「NeoReGeorg」のようなトンネリングツールや、オープンソースのリバースプロキシツール「frpc」が用いられる。これらの多様なツールと、Cobalt Strikeのような市販ツールを組み合わせることで、Salt Typhoonは攻撃の帰属を困難にし、セキュリティ研究者の分析を複雑にしている。Trend Microは、Salt Typhoonを最も攻撃的な中国APTグループの一つと位置づけ、組織に多層的なサイバーセキュリティ防御の適用を強く推奨している。
繰り返されるT-Mobileの受難:過去の侵害と今回の教訓
今回のSalt Typhoonによる攻撃は、T-Mobileにとって過去数年間で繰り返されてきた数多くのセキュリティ侵害の最新事例に過ぎない。2019年以降、同社は少なくとも9回のデータ侵害を経験しており、そのたびに顧客や従業員の個人情報、あるいはネットワーク情報が危険に晒されてきた。例えば、2019年にはプリペイド顧客のアカウント情報が、2020年3月には従業員の個人情報と金融情報が流出している。同年12月には、顧客の独自ネットワーク情報(電話番号、通話記録)が攻撃者によってアクセスされた。
特に大規模だったのは、2023年1月に発覚した、2022年11月のAPIの脆弱性を悪用した攻撃である。この際、3,700万人もの顧客の個人情報が窃取されたとT-Mobileは認めている。また、2021年8月には、T-Mobileのテスト環境の侵害を足がかりに、ハッカーがキャリアのネットワークにブルートフォース攻撃を仕掛けた事例も報告されている。これらの過去のインシデントは、T-Mobileが継続的に高度な脅威に直面し、その防御体制に課題を抱えていることを示唆している。
今回のSalt Typhoonによる攻撃は、これまでの侵害とは性質が異なる。過去の多くが、顧客データや個人情報の窃取を目的としたサイバー犯罪グループによるものだったのに対し、今回は中国国家支援型アクターによる、特定の「高価値インテリジェンス標的」の通信記録を狙った、より戦略的な諜報活動である。T-Mobileは、今回の攻撃で顧客情報が「重大な形で影響を受けた証拠はない」と繰り返し述べているが、政府関係者の通信が狙われたという事実は、同社のネットワークが国家レベルの脅威に晒されていることを明確に示している。
この一連の事件は、通信事業者が直面する独特の課題を浮き彫りにする。彼らは膨大な顧客データを保有するだけでなく、国家の重要な通信インフラを担っており、国家支援型アクターにとって魅力的な標的となる。T-Mobileの度重なる侵害は、いかに強固なセキュリティ対策を講じても、執拗で高度な攻撃者に対しては、常に新たな防御策と警戒が必要であることを示している。業界全体で連携し、脅威インテリジェンスを共有することの重要性が、改めて強調されるべき教訓と言えるだろう。
国際的サイバー諜報活動の深化:広がる被害と警戒の必要性
Salt Typhoonによる米通信大手への攻撃は、国際的なサイバー諜報活動が新たな段階に入ったことを示唆している。このキャンペーンは、米国だけでなく、フィリピン、台湾、マレーシア、南アフリカ、ドイツなど、世界中の政府機関や技術産業、コンサルティング、化学、運輸といった多岐にわたるセクターを標的としている。Trend Microは、Salt Typhoonが少なくとも20の重要組織を侵害したことを確認しており、中にはそのベンダーも含まれているという。この広範な標的選定は、彼らが特定の国家利益のために、あらゆる関連情報を収集しようとしていることを物語っている。
今回の事件は、通信インフラが現代の国家間競争において、いかに重要な戦略的資産となっているかを改めて浮き彫りにした。通信ネットワークは、政府の機密通信、企業のビジネスデータ、個人のプライベートなやり取りなど、あらゆる情報が流れる生命線である。ここに国家支援型アクターが侵入し、長期的なアクセスを維持することは、国家安全保障、経済的競争力、そして個人のプライバシーに対する深刻な脅威となる。
Salt Typhoonのような高度な脅威アクターは、既知の脆弱性を迅速に悪用し、カスタムマルウェアと市販ツールを巧みに組み合わせることで、防御側の検出を困難にする。彼らの攻撃は、単一の脆弱性やシステムに依存するのではなく、多角的なアプローチと継続的なツールの更新によって、持続的なアクセスを確保する。このような戦略は、従来の防御策だけでは対応が難しく、組織にはよりプロアクティブな脅威ハンティング、インテリジェンス共有、そしてゼロトラスト原則に基づいたセキュリティアーキテクチャの導入が求められる。
米国政府は、この侵害の範囲と規模が調査の進展とともに拡大する可能性があると警告しており、通信業界全体、さらには政府機関や重要インフラを運営するすべての組織に対し、Salt Typhoonのような国家支援型脅威に対する警戒を強化するよう促している。今回の事件は、サイバー空間における国家間の緊張が高まる中、企業や政府が直面する脅威の複雑さと深刻さを再認識させる、重要な警鐘であると言えるだろう。
参考情報
本記事は以下の情報源を参考に作成されました:
- -T-Mobile confirms it was hacked in recent wave of telecom breaches - https://www.bleepingcomputer.com/news/security/t-mobile-confirms-it-was-hacked-in-recent-wave-of-telecom-breaches/
- -Chinese Hackers Exploit T-Mobile and Other U.S. Telecoms in Broader Espionage Campaign - https://thehackernews.com/2024/11/chinese-hackers-exploit-t-mobile-and-other-us-telecoms-in-broader-espionage-campaign.html
- -Salt Typhoon hackers backdoor telcos with new GhostSpider malware - https://www.bleepingcomputer.com/news/security/salt-typhoon-hackers-backdoor-telcos-with-new-ghostspider-malware/