米国や日本、中国の国家支援 サイバー攻撃 集団 ソルト・タイフーンの注意喚起

セキュリティニュース

投稿日時: 更新日時:

米国や日本、中国の国家支援サイバー攻撃集団 ソルト・タイフーンの注意喚起

2025年8月22日、米国NSA・CISA・FBIや日本の国家サイバー統括室・警察庁を含む複数当局が、中国政府支援のAPTが世界の通信・政府・運輸・宿泊・軍事などのネットワークを継続的に侵害し、特に大手通信キャリアのバックボーン・PE/CEルータを改変して長期潜伏していると共同注意喚起を出しました。

ソルト・タイフーンの概要

当局は、この活動が業界で「Salt Typhoon」「OPERATOR PANDA」「RedMike」「UNC5807」「GhostEmperor」などとして報告されてきたクラスターと部分的に重なるとしつつ、以降は総称してAPTと記載しています。対象地域は米・豪・加・NZ・英を含むグローバルです。

狙いは通信事業者のバックボーン/エッジ機器で、ここを起点に信頼接続を悪用して他ネットワークへピボットします。

実際ソルト・タイフーンが米国のベライゾンなど大手通信企業へ潜入し、米国政府関係者の「プライベート通信」が侵害された事も指摘されています。

調査では、既知CVEの悪用が中心でゼロデイは確認されていません

優先対処が推奨される代表例として、Ivanti(CVE-2024-21887)、PAN-OS GlobalProtect(CVE-2024-3400)、Cisco IOS XE(CVE-2023-20198/-20273の連鎖)、Cisco Smart Install(CVE-2018-0171)が挙げられています。

Cisco IOS XEのCVE-2023-20198では、WSMAエンドポイント(/webui_wsma_Http /webui_wsma_Https)を通じて認証回避・管理者作成が可能となり、URLを二重エンコード(例:/%2577eb%2575i_%2577sma_Http)して痕跡を紛らわせる手口が確認されています。なお、このCVEを修正済みの機器ではWSMAリクエストが内部プロキシを経由しProxy-Uri-Sourceヘッダが付与されるため、未パッチ機と区別する指標になります。

永続化:ACL改変・高番ポートSSH・管理UI悪用

侵入後は、ACLに攻撃側IPを追記(例:access-list 20/10/50)SSHやHTTP/HTTPSの管理サービスを非標準の高番ポートで有効化SNMP経由コマンド実行などで長期滞在します。IOS XEでは22×22やxxx22の高番ポートでSSH、HTTPは18xxx台に再設定される例が報告されています。さらに、CVE-2023-20198の脆弱なWeb UIが有効だと侵入口になり得ます。

対策

Ivanti(CVE-2024-21887)、PAN-OS(CVE-2024-3400)、IOS XE(CVE-2023-20198/-20273)、Smart Install(CVE-2018-0171)等、の既知の脆弱性が悪用されています。

CISAのKEVを確認しつつ、エッジ露出機器を先に上げるシーケンスで計画してください。

参照

https://media.defense.gov/2025/Aug/22/2003786665/-1/-1/0/CSA_COUNTERING_CHINA_STATE_ACTORS_COMPROMISE_OF_NETWORKS.PDF