1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 中国のAPTグループ Salt Typhoonの内部情報が漏洩

中国のAPTグループ Salt Typhoonの内部情報が漏洩

セキュリティニュース

投稿日時: 更新日時:

中国サイバー諜報組織「Silk Typhoon」の構成員、イタリアで逮捕 - COVID-19研究機関を狙った長期サイバー攻撃の一端

2025年7月、サイバーセキュリティ企業SpyCloudは、中国のハッキング請負業界に関連する2件の大規模なデータ漏洩を発見したと発表しました。対象となったのは、中国の大手セキュリティ企業VenusTechと、中国国家安全部(MSS)傘下のAPT(高度持続的脅威)集団「Salt Typhoon」に関する内部情報です。これらのデータは英語圏のハッキングフォーラムに投稿されており、中国国家主導のサイバー活動に関する貴重な証拠となっています。

VenusTechの内部情報漏洩

VenusTechは、中国政府を主要顧客とするITセキュリティベンダーであり、深セン証券取引所に上場しています。過去には、攻撃的なハッキング活動で知られるIntegrity Techへの出資や、かつてBlasterワームを作成したXFocusからの技術調達など、攻撃的な活動との関与が指摘されてきました。

2025年5月、ハッキングフォーラム上に「IronTooth」と名乗る新規アカウントが、VenusTechの機密文書を販売する投稿を行いました。

投稿には、政府契約情報や諜報対象とされる組織のスプレッドシート、韓国国会のメールサーバーへのアクセス販売に関する記録などが含まれており、月額最大8万5,000元(約1万1,700米ドル)でデータを提供していた可能性も示唆されています。

Salt Typhoonの機密漏洩とAPT活動の証拠

翌日、別のユーザー「ChinaBob」により、国家支援型APT集団Salt Typhoonに関する情報が投稿されました。投稿には以下の内容が含まれていました:

  • Salt Typhoon従業員15名の氏名、国民ID、電話番号
  • ハッキングされたルーター242台のIPアドレス、設定、認証情報
  • Salt Typhoonが取引していた3社のサービス提供記録
  • 政府機関との契約書

ChinaBobが公開したサンプル合計12個のIPアドレスのうち、6個はインターネットに接続されたCiscoデバイスを経由しているようです。これらのデバイスはSalt Typhoonによって侵害されたことが知られています。さらに3個は、不正行為スコアが異常に高いか、住宅用プロキシサービスとの関連性が知られているなど、何らかの形で侵害の可能性を示す兆候が見られます。

これらの指標は必ずしもSalt Typhoonの活動と一致するものではありませんが、これらのIPアドレスの背後には、パッチ未適用で悪用可能なインターネット接続デバイスが存在し、少なくとも1人のサイバー脅威アクターによって侵害された可能性が高いことを示しています。

中国のサイバーセキュリティ企業と中国人民解放軍(PLA)61419部隊の取引履歴

別のサンプルでは様々な顧客と3社の「販売者」企業との間の取引を示しています。これらはSalt Typhoonの脅威活動に関連していると推測されます。スプレッドシートには、これら3社間の取引、Qi’anxin(QAX)、Legendsec、VenusTechといった大手中国サイバーセキュリティベンダーにサービスを販売していると思われる取引、そして中国政府機関や軍部隊にサービスを販売していると思われる取引が含まれており、その1つに中国人民解放軍(PLA)61419部隊が取引先として記録されていました。。

この部隊は「Tick」脅威活動グループと関係があり、2021年に外国製ウイルス対策製品を購入し、同グループのエクスプロイト開発を目的とした疑いがあることが判明しました。

もう一つのよく知られた買い手として、中国科学院情報工学研究所が挙げられます。これは中国初のサイバーレンジ(サイバー空間の演習仮想空間)を設立し、iSoonに少額の株式を保有し、中国のハッキング請負業界との重要なつながりを持つ公的学術機関です。

さらに、販売元として記録された「四川聚信合ネットワーク技術公司」「北京寰宇天穹信息技術有限公司」「四川智信瑞杰ネットワーク技術公司」の3社のうち、

前者は米国政府からすでに制裁を受けており、他2社についてもMSSのフロント企業と見られる特徴を有していると報告されています。

サイバー犯罪地下市場における中国の動向

これらの漏洩は、中国の国家支援型サイバー活動の実態が漏洩しつつあることを浮き彫りにしました。SpyCloudは、

  • 国家機関による情報収集システムは内部腐敗により情報漏洩リスクを抱えている
  • 中国語圏のサイバー犯罪者が英語圏のダークウェブ市場に進出している
  • データ漏洩は中国市民の個人情報にも重大な影響を及ぼしている

といった点を指摘しています。

結論

今回のVenusTechおよびSalt Typhoonの情報漏洩は、中国が国家レベルで関与するサイバー攻撃の具体的な構造と手法を明らかにするものであり、国際社会が今後のサイバー戦略を立てる上で極めて重要な示唆を与えています。SpyCloudは、こうした機密情報が今後も闇市場で売買される危険性が高いとして、引き続き注意喚起を行っています。

 

関連記事:I-SOON 中国政府へサイバー攻撃 ツールを提供していた企業から内部リーク

関連記事

中国支援のハッカー集団「Salt Typhoon」、アメリカの州兵ネットワークに侵入し広範な通信情報を窃取中国支援のハッカー集団「Salt Typhoon」、アメリカの州兵ネットワークに侵入し広範な通信情報を窃取 中国のAPTグループSalt Typhoonが米大手プロバイダーへ侵入し盗聴や不正アクセス中国のAPTグループ ソルト タイフーンが米大手プロバイダーへ侵入し盗聴や不正アクセス 中国のAPTグループ ソルトタイフーンにより米国政府関係者の「プライベート通信」が侵害される中国のAPTグループ ソルトタイフーンにより米国政府関係者の「プライベート通信」が侵害される ソルト タイフーンの不正アクセスで米政府はAT&T、ベライゾン、ルーメンへ聴取ソルト タイフーンの不正アクセスで米政府はAT&T、ベライゾン、ルーメンへ聴取 ホワイトハウス、中国のサイバー・スパイ活動「ソルト・タイフーン」を非難:高位政治家を標的ホワイトハウス、中国のサイバー・スパイ活動「ソルト・タイフーン」を非難:高位政治家を標的 中国系ハッカー グループ Salt Typhoon、カナダ通信事業者へのサイバー攻撃中国系ハッカー グループ Salt Typhoon、カナダ通信事業者へのサイバー攻撃 中国系サイバー攻撃 集団 ソルトタイフーンの持続的潜入手口と概要中国系サイバー攻撃 集団 ソルトタイフーンの持続的潜入手口と概要 米国、中国政府系ハッカー集団「ソルト・タイフーン」の関係企業に制裁米国、中国政府系ハッカー集団「ソルト・タイフーン」の関係企業に制裁 ソルト タイフーンの長期侵入により「ほぼ全米の個人情報が盗まれた可能性」-FBI副次官発言ソルト タイフーンの長期侵入により「ほぼ全米の個人情報が盗まれた可能性」-FBI副次官発言