2025年8月22日、米国NSA・CISA・FBIや日本の国家サイバー統括室・警察庁を含む複数当局が、中国政府支援のAPTが世界の通信・政府・運輸・宿泊・軍事などのネットワークを継続的に侵害し、特に大手通信キャリアのバックボーン・PE/CEルータを改変して長期潜伏していると共同注意喚起を出しました。
ソルト・タイフーンの概要
当局は、この活動が業界で「Salt Typhoon」「OPERATOR PANDA」「RedMike」「UNC5807」「GhostEmperor」などとして報告されてきたクラスターと部分的に重なるとしつつ、以降は総称してAPTと記載しています。対象地域は米・豪・加・NZ・英を含むグローバルです。
狙いは通信事業者のバックボーン/エッジ機器で、ここを起点に信頼接続を悪用して他ネットワークへピボットします。
実際ソルト・タイフーンが米国のベライゾンなど大手通信企業へ潜入し、米国政府関係者の「プライベート通信」が侵害された事も指摘されています。
調査では、既知CVEの悪用が中心でゼロデイは確認されていません。
優先対処が推奨される代表例として、Ivanti(CVE-2024-21887)、PAN-OS GlobalProtect(CVE-2024-3400)、Cisco IOS XE(CVE-2023-20198/-20273の連鎖)、Cisco Smart Install(CVE-2018-0171)が挙げられています。
Cisco IOS XEのCVE-2023-20198では、WSMAエンドポイント(/webui_wsma_Http /webui_wsma_Https)を通じて認証回避・管理者作成が可能となり、URLを二重エンコード(例:/%2577eb%2575i_%2577sma_Http)して痕跡を紛らわせる手口が確認されています。なお、このCVEを修正済みの機器ではWSMAリクエストが内部プロキシを経由しProxy-Uri-Sourceヘッダが付与されるため、未パッチ機と区別する指標になります。
永続化:ACL改変・高番ポートSSH・管理UI悪用
侵入後は、ACLに攻撃側IPを追記(例:access-list 20/10/50)、SSHやHTTP/HTTPSの管理サービスを非標準の高番ポートで有効化、SNMP経由コマンド実行などで長期滞在します。IOS XEでは22×22やxxx22の高番ポートでSSH、HTTPは18xxx台に再設定される例が報告されています。さらに、CVE-2023-20198の脆弱なWeb UIが有効だと侵入口になり得ます。
対策
Ivanti(CVE-2024-21887)、PAN-OS(CVE-2024-3400)、IOS XE(CVE-2023-20198/-20273)、Smart Install(CVE-2018-0171)等、の既知の脆弱性が悪用されています。
CISAのKEVを確認しつつ、エッジ露出機器を先に上げるシーケンスで計画してください。
参照







