中国系サイバー攻撃 集団 ソルトタイフーンの持続的潜入手口と概要

セキュリティニュース

投稿日時: 更新日時:

中国系サイバー攻撃 集団 ソルトタイフーンの持続的潜入手口と概要

Salt Typhoon(ソルトタイフーン)は、中国国家安全省(MSS)に整合した国家支援型サイバー脅威グループです。2019年頃から活動が観測され、世界の通信事業者や防衛隣接ネットワークを長期的に侵害し、通話メタデータ(CDR)・VoIP設定・合法傍受(LI)関連ログ・加入者プロファイルなどを収集してきました。

DomainTools,のレポートではこの集団の攻撃はルータ/VPNゲートウェイ/ファイアウォール等のネットワーク境界機器の脆弱性悪用ファームウェア/ルートキットによる永続化を軸に、疑似民間の請負企業(フロント企業・国家系ベンダ)を用いてオペレーションを外部化・秘匿するのが特徴です。

ソルトタイフーンの概要

ソルトタイフーンが他の中国系アクターと異なる点は、長期的な信号諜報(SIGINT)収集を目的として、世界中の通信インフラを直接標的としていることです。同グループは請負業者(企業)と国家のハイブリッドモデルが明らかになっています。

主要攻撃キャンペーン

  • 米国通信メタデータ窃取(2024):ベライゾンなど大手通信数社でCDR・VoIP構成・LIログを窃取。境界機器CVE悪用と長期潜伏

  • 米州州兵ネットワーク侵入(2024):VPN装置経由でネットワーク図・VPN設定・資格情報・IR手順書を取得。

  • 英国重要インフラ侵害(2023–2024):政府・軍・運輸・通信に横断侵入し、ルーティング情報・測位メタデータ等を収集。

  • EU域内のルータ乗っ取り(2022–2023):中小ISPのファームウェア改竄/バックドア更新で持続的C2を確保。

  • i-SOON支援の継続作戦(2019–)偽米国人名+ProtonMailで登録した多数ドメインを運用。

国家と企業の分業構造

運用の支えになっているのが、いわゆるフロント企業や請負企業のエコシステムです。i-SOON(安洵)をはじめ、四川や北京に拠点を置く複数の会社が後方支援を担います。国家機関の指示は見えにくく、外形的には「民間の仕事」に見える。中国のサイバー作戦が外注化と産業化でスケールしている現状が、そのままSalt Typhoon(ソルトタイフーン)の強みになっています。

  • 中国国家安全省(MSS)+請負企業:任務はMSSが付与し、i-SOON(安洵)や四川聚信和(Juxinhe)北京寰宇天穹(Huanyu Tianqiong)四川智信锐捷(Zhixin Ruijie)などがドメイン調達、C2基盤運用、ツール提供を担う。

  • PLA(戦略支援部隊)との技術的重なり:通信インフラ侵害・SIGINT・有事の妨害準備といった任務領域に重複が見られ、平時の諜報と有事の通信劣化オプションの双方を支える二用途(dual-use)能力として位置付く。

使用TTPの要約

  • 初期侵入:公開アプリ/境界機器の脆弱性悪用、盗用アカウント(VPN/SSO/SIP)。

  • 永続化ファーム/ブート領域改変(Demodex等)、authorized_keys追加。

  • 権限昇格/回避:LOLBIN・PowerShell難読化・ログ改変。

  • 横展開:VPNトンネル悪用、ISP間トラストを踏み台に拡大。

  • 収集・流出CDR/LI/VoIP構成を選択的に抽出し、HTTPS/DNSで暗号化搬出。

  • 既知悪用CVE例Cisco IOS XE Web UI(CVE-2023-20198)Ivanti Connect Secure(CVE-2023-35082)PAN-OS GlobalProtect(CVE-2024-3400台)

日本への影響

日本にとっても、これは対岸の火事ではありません。国内の通信事業者はもちろん、データセンター事業者、クラウド接続を請け負うMSP、自治体・大学・病院のネットワーク管理部門まで、境界機器の運用とID管理に共通の弱点があれば、狙い方は同じです。

通話明細や加入者情報という“通信ならでは”の資産は、個人情報保護の観点にとどまらず、捜査・災害対応・企業活動の基盤に直結します。