Salt Typhoon: 国家支援を受けた攻撃者が悪用した脆弱性の分析

Salt Typhoon という、中華人民共和国に関連する国家主導の攻撃者グループが、少なくとも 9 つの米国拠点の通信企業に侵入しました。その目的は、高官や政治関係者を標的にすることです。 Tenable Research は、この攻撃者グループの戦術、テクニック、手順を調査しています。

背景

2024 年を通じて、中国に関連する巧妙な APT 攻撃者による攻撃が、サイバーセキュリティインフラストラクチャセキュリティ庁 (CISA) を含む米国政府機関にとって重要な関心事でした。 Tenable は、以前のブログ記事で重要インフラを標的とすることで知られる、中国の支援を受けた攻撃者グループの Volt Typhoon について考察しました。 一方で 9 月に Wall Street Journal 紙は、匿名の情報筋の話として、中国に関わりを持つ別の攻撃者グループ、Salt Typhoon が米国の複数の通信事業者に侵入したと報じました。 いくつかの報道機関がこの報道に関する憶測を報じている一方で、10 月上旬、CISA と連邦捜査局 (FBI) は「米国政府は、中国関係者の一派による商用通信インフラへの不正アクセスについて調査している」という共同声明を発表し、 この攻撃を公式に認めたのです。 12 月までに、ホワイトハウスの記者会見で少なくとも 8 つの米国の通信事業者が侵害を受けたことが確認され、12 月 27 日までに、その数は少なくとも 9 社の通信会社に増えました。 Tenable Research ブログでは、Salt Typhoon とその標的に関する新たな詳細情報が明らかになり次第、この攻撃者に関連する既知の脆弱性の悪用を含め、使用された戦術、技術、手順 (TTP) について検証します。

分析

Salt Typhoon は、通信、政府機関、技術などの業界を標的とする巧妙な脅威グループです。 このグループは、FamousSparrow、GhostEmperor、Earth Estries、UNC2286 などいくつかの呼び名で追跡されています。 この APT は最近、米国の複数の通信事業者を侵害したことで話題になりました。ただし、通信分野でこのグループの標的は、世界中に及んでいるとみられています。 米国では、政府関係者が Salt Typhoon の標的は「政治活動」に携わる主要な政府関係者が含まれていると主張しました。これを受けて、CISA と共同パートナーは通信インフラの可視化とセキュリティの堅牢化に関するガイダンスを発表しました。さらに、ホワイトハウスは「国家のサイバーセキュリティに関するイノベーションの強化と促進」と題する大統領令を発令しました。 Salt Typhoon に関するさまざまな報告によると、その主な目的はスパイ活動であるようです。

12 月中旬、CISA は「Mobile Communications Best Practice Guidance (モバイル通信のベストプラクティスに関するガイダンス)」という文書を発表し、安全な通信のためにエンドツーエンド暗号化を使用するべきだと強調しました。 どの情報が Salt Typhoon によってアクセスされたかは不明ですが、通信インフラは国家安全保障に関わる問題であるため、CISA や、連邦通信委員会 (FCC) を含むその他の政府機関は、影響を受けた組織を積極的に支援してセキュリティのガイダンスを提供しています。

Salt Typhoon に悪用されることが多い既知の CVE

Salt Typhoon は通常、既知の脆弱性を利用して、外部に露出している資産を標的にすることで、被疑者のネットワークに初期アクセスします。 以下のリストは、Salt Typhoon による悪用が確認されている CVE の一部 (すべてではない) を示しています。

*注: Tenable の Vulnerability Priority Rating (VPR) スコアは毎晩算出されます。 VPR は、本ブログ記事公開時 (1 月 23 日) のスコアです。

こういった脆弱性のいくつかは、ProxyLogon としても知られる CVE-2021-26855 や、関連する Microsoft Exchange の脆弱性 (CVE-2021-26857、CVE-2021-26858、CVE-2021-27065) などを含め、APT やランサムウェアグループによって日常的に悪用されています。 Ivanti Connect Secure/Policy Secure と Fortinet FortiClientEMS は、それぞれ Tenable Research ブログ記事のテーマになっており、Sophos Firewall の SQL インジェクションの欠陥である CVE-2022-3236 は、当社の 「TENABLE 脅威状況レポート (2022年) 」で取り上げられました。

これら 5 つの CVE のうち、4 つはゼロデイ脆弱性として実際に悪用されています。 Salt Typhoon がこの欠陥のどれをゼロデイとして悪用したかは不明ですが、このグループの高度な技術力は、その攻撃においてゼロデイ欠陥を開発し、悪用する技術的能力を持っていることを示唆しています。

匿名化された Tenable のスキャンデータを分析したところ、こういった CVE には利用可能なパッチがあったにもかかわらず、ProxyLogon の影響を受けた約 3 万件のインスタンスのうち、実に 91% がパッチ未適用であったことが明らかになりました。 それとは対照的に、Ivanti の 2 つの脆弱性 (CVE-2023-46805 と CVE-2024-21887) の影響を受けた 2 万台以上のデバイスを分析したところ、デバイスの 92% 以上のケースで完全に修正されていました。

可視性と堅牢性に関する CISA ガイダンスにおいて、CISA は Cisco のネットワーク機器について触れています。 CISA は具体的な Cisco デバイスのモデルや脆弱性について言及していません。しかし、ガイダンスには中国関連の攻撃者グループが Cisco 固有のデバイスを標的にしていること、そのため通信業界やそれ以外の組織は Cisco のネットワークデバイスを適切に保護および強化するように注意する必要があることが記載されています。 CISA の勧告には、Cisco の Smart Install サービスを無効にすることが含まれています。この Smart Install サービスは、攻撃者に悪用されることが多いため、悪用を防ぐために適切に設定するか、無効にする必要があります。

侵害後の活動

Salt Typhoon は、攻撃対象のネットワーク上で高いステルス性を維持し、かなりの期間にわたり検出されないことで知られています。 この攻撃では持続性を維持するために GhostSpider、SnappyBee、Masol のリモートアクセス型トロイの木馬 (RAT) などのカスタムマルウェアを利用しています。

このグループは数年前から活動しており、通信事業者を侵害して、検出されるまで数か月間にわたりアクセスを維持していた可能性があると報告されています。退任する CISA 長官の Jen Easterly 氏は最近のブログで、「CISA の脅威ハンターが、以前、米国政府のネットワークで同じ攻撃者を検出していた」と明かしました。

さまざまな「Typhoon (台風)」の「目」

中国が国家支援していると疑われる攻撃者グループには「Typhoon (台風)」というファミリー名がつけられています。 ここ数か月の間に、CISA とセキュリティベンダーは、Volt Typhoon、Flax Typhoon、Salt Typhoon といった、さまざまな「Typhoon」グループに関する警告を何度も発しています。 Volt Typhoon が持続性とステルス性に重点を置き、重要インフラを標的にする一方、Flax Typhoon が重点を置くのは攻撃インフラであり、侵害されたモノのインターネット (IoT) デバイスからボットネットを構築することに注力しています。

各グループにはそれぞれ独自の標的や活動がありますが、これらの「Typhoon (台風)」の「目」となる特徴は、パッチ未適用で、多くの場合は広く知られた脆弱性を初期アクセスの標的とし、公開サーバーを狙うことです。 こうした攻撃者が持続的に活動していることを考慮すると、ネット上で公開されているデバイスに定期的にパッチを適用し、既知の悪用されている脆弱性を迅速に軽減することが組織にとって不可欠です。 これは、連邦通信委員会 (FCC) の Jessica Rosenworcel 委員長のコメントでも強調されています。

「Salt Typhoon によって明らかになった脆弱性を踏まえ、ネットワークの安全性を確保するために今すぐ行動を起こす必要があります。既存のルールは現状に適していません。国家が支援するサイバー攻撃を阻止するためにも、最新の脅威を反映したルールへの更新が求められています。今こそ行動を起こす時です。もう待っている余裕はありません」

影響を受けているシステムの特定

Tenable が提供するいくつかのソリューションでは、潜在的なエクスポージャーや攻撃経路を特定したり、本ブログで言及した CVE に対して脆弱なシステムを特定したりすることができます。 包括的なアプローチとしては、Tenable One サイバーエクスポージャー管理プラットフォームの使用をお勧めします。 Tenable One は、公開された CVE の検出と修正に重点を置く従来の脆弱性管理の域を超えたソリューションです。 Tenable One は、サイバーエクスポージャー管理対策の基礎となる必須情報を提供します。

Tenable のプラグインのカバレッジ

これらの脆弱性に対する Tenable プラグインの一覧は、CVE-2021-26855、CVE-2022-3236、CVE-2023-48788、CVE-2024-21887、CVE-2023-46805 の各 CVE のページで見ることができます。 リンクを開くと、当社のプラグインパイプラインで、今後公開されるプラグインを含め、これらの脆弱性に対して利用可能なすべてのプラグインを確認できます。 これらの CVE のプラグインに加えて、プラグイン ID 105161を使用してスキャンし、ネットワーク内の Cisco デバイスで Cisco Smart Install が有効になっていないか確認することをお勧めします。

Tenable Attack Path Analysis テクニック

以下は、Salt Typhoon に関連する攻撃経路と、関連するTenable の Attack Path Analysis のテクニックのリストです。

Tenable Identity Exposure の露出インジケーター (IoE) と攻撃インジケーター

以下は、Tenable Identity Exposure の露出インジケーター (IoE) と攻撃インジケーターのリストです。

Tenable Web App Scanning

詳細情報

• Tenable ブログ:Volt Typhoon: 米国重要インフラが国家支援を受ける脅威アクターにより標的とされる
• Wall Street Journal: China-Linked Hackers Breach U.S. Internet Providers in New ‘Salt Typhoon’ Cyberattack (新たな 「Salt Typhoon」サイバー攻撃で、中国につながるハッカーが米国のインターネットプロバイダーを侵害)
• Tenable ブログ:新たなサイバーセキュリティに関する大統領令が連邦政府機関に与える影響
• ホワイトハウス:国家のサイバーセキュリティに関するイノベーションの強化と促進に関する大統領令
• CISA:Mobile Communications Best Practice Guidance (モバイル通信のベストプラクティスに関するガイダンス)
• CISA: Enhanced Visibility and Hardening Guidance for Communications Infrastructure (通信インフラの可視性と堅牢性の向上に関するガイダンス)
• CISA: Strengthening America’s Resilience Against the PRC Cyber Threats (中国のサイバー脅威に対する米国のレジリエンス強化)
• Tenable ブログ:中華人民共和国が支援する集団によるエクスプロイトが確認された CVE トップ 20 (AA22-279A)
• Tenable ブログ:Proxylogon などの Microsoft Exchange の脆弱性の探し方: Tenable がお手伝いできること
• Tenable ブログ: CVE-2023-46805、CVE-2024-21887、CVE-2024-21888、CVE-2024-21893: Ivanti Connect Secure と Policy Secure Gateway の脆弱性に関するよくある質問
• Tenable ブログ:CVE-2023-48788: Fortinet FortiClientEMS における「緊急」の SQL インジェクションの脆弱性
• Tenable ホワイトペーパー Tenable 脅威状況のまとめ (2022 年)

Tenable コミュニティで Tenable セキュリティレスポンスチームに参加してみませんか。

DX 時代のアタックサーフェスのためのサイバーエクスポージャー管理プラットフォーム、Tenable One についてはこちらをご覧ください。