FBIが警鐘:「米国民の大半」から情報が盗まれた可能性。ソルト・タイフーンの手口と、日本への影響は?
米時間2025年8月27日、米連邦捜査局(FBI)は、中国と関連するハッカー集団「ソルト・タイフーン(Salt Typhoon)」が、米国の通信インフラに深刻な脅威を与えているとの警告を発表した。
このスパイ活動は、米国の9社以上の通信事業者やISPに及び、政府高官の通話記録やプライベートな通信内容までもが窃取された可能性があるという前代未聞の事態に発展している。
FBIサイバー部門のブレット・レザマン次官補は「ほぼすべての米国人から何らかの情報が盗まれた可能性がある」と述べ、国家安全保障上の重大なリスクであると強調した。
本記事では、全米を震撼させるこの国家規模のスパイ活動の概要や、日本への影響や被害有無、また対策についてまとめる。
参考ページ:
FBI Announces Joint Cybersecurity Advisory Related to Salt Typhoon
ソルト・タイフーンとは
ソルト・タイフーン(Salt Typhoon)とは、中国が背後で支援していると考えられている、極めて高度な技術を持つサイバー攻撃集団である。いわゆる国家支援型攻撃グループ(APT)の一つであると考えられており、その活動は単なる金銭目的の犯罪とは一線を画す。
主な目的は、国家的な諜報活動と、有事の際に標的国の重要インフラを麻痺させるための事前準備にあると考えられている。彼らは世界中の通信、エネルギー、政府機関などを標的に、長期にわたり静かにネットワーク内部へ侵入・潜伏する能力を持つ、見えない侵略者だ。
数年にわたり検知できなかった理由、「環境寄生」の全貌
ソルト・タイフーンの攻撃が長年検知されなかった理由は、侵入した「後」の活動が、他の攻撃者と根本的に異なるからである。
多くの攻撃者は、脆弱性を突いて侵入した後、自ら持ち込んだ独自のマルウェアという「特殊な武器」を使って活動する。これはシステムにとって「異物」であるため、アンチウイルスソフトなど従来のセキュリティ対策でも検知しやすい。
しかし、ソルト・タイフーンは違う。彼らは侵入後、そのシステムに元から存在する正規のツール(PowerShellやWMIなど)のみを悪用して活動する。これが「環境寄生(Living off the Land)」だ。彼らの活動は、すべて「正規のシステム管理業務」に偽装される。
システムログには正規ツールの実行履歴しか残らず、「異物」が存在しないため、従来の監視システムでは異常として検知することが極めて困難になる。
| 一般的な攻撃(従来のAPT攻撃など) | ソルト・タイフーン(環境寄生型) | |
|---|---|---|
| 主に使用する武器 | 独自開発のマルウェア、ランサムウェア、ウイルス | 標的のPCに元から入っている正規ツール (PowerShell, WMIなど) |
| システムに残る痕跡 | 不審なファイル、見慣れないプロセス、未知のIPへの通信 | 正規の管理活動に酷似したログ。ファイルレスでメモリ上でのみ活動することも多い。 |
| 主な検知方法 | パターンマッチング(既知のマルウェアを検出)、サンドボックス | ログの詳細な相関分析、通常とは異なる振る舞いの検知(アノマリー検知) |
| 例えるなら | 「特殊な工具を持った空き巣」 | 「従業員になりすましたスパイ」 |
これは、警備員が「不審者」を探している横で、「正規の従業員証をつけたスパイ」が自由に内部を動き回っているようなものだ。このスパイの振る舞いが本当に異常なのかを判断するには、膨大な正常ログの中から、ごく僅かな異常な兆候を見つけ出す、極めて高度な監視と分析が必要となる。
ソルト・タイフーンは、その困難さを突き、長年にわたって潜伏していたのだ。
侵入から潜伏まで、攻撃の流れ
ここでは、周到な準備と複数の段階を経て実行されるソルト・タイフーンの攻撃の流れを、表にまとめる。
| 攻撃フェーズ | 主な手法と使用ツール | 目的 |
|---|---|---|
| 初期侵入 | ネットワーク機器(Cisco、NetGear製ルーター等)の既知の脆弱性を悪用。 | 防御が手薄になりがちな境界線の突破。特にサポートが終了した(End-of-Life)機器が狙われる。 |
| 認証情報窃取 | Active Directoryのデータベース(NTDS.dit)を窃取し、mimikatzのようなツールで管理者権限を含むパスワードハッシュを抽出。 | 正規ユーザーになりすまし、システム内での自由な活動権限を獲得する。 |
| 内部活動(横展開) | 窃取した管理者権限を使い、PowerShell RemotingやRDP(リモートデスクトッププロトコル)を悪用して他のサーバーやPCへ侵入。 | ネットワークの全容を把握し、より価値の高い情報資産へアクセスする。 |
| 永続化と潜伏 | タスクスケジューラ等を利用してシステム再起動後も活動を維持。侵害したSOHOルーターをC2サーバーへの踏み台として利用し、通信を秘匿。 | 発見されることなく、長期間にわたり潜伏し、いつでも次の行動を起こせる状態を維持する。 |
日本への影響と現実の脅威
FBI、CISA、NSAなど発行した共同サイバーセキュリティ勧告などの公式文書を確認したところ、日本の被害については特に発表されていない。しかし、この脅威は決して対岸の火事とは言い切れない。
2025年8月27日、日本の警察庁と国家サイバーセキュリティセンターは、米国や英国など12カ国と共同でソルト・タイフーンに関するアドバイザリーを発表すると共に、注意喚起も行っている。
また、2024年2月には、関連する攻撃グループ「ボルト・タイフーン」による侵害活動の痕跡が、日本国内の複数の組織で確認されたと公式に発表されており、日本の重要インフラも脅威に晒されている実態が明らかになっている。
参考ページ:「ソルトタイフーン(Salt Typhoon)」に関する国際アドバイザリーへの共同署名について
CISAやFBIが推奨する対策
「環境寄生」を主体とするソルト・タイフーンへの対策は、単一のツール導入では不十分だ。侵入を完全に防ぐことは困難であるという前提に立ち、多層的な防御と内部監視の強化が不可欠となる。
| 対策カテゴリ | 具体的なアクション | なぜ有効なのか |
|---|---|---|
| 認証の強化と監視 | 強力でユニークな管理者パスワードを設定し、定期的に変更する Active Directoryの管理者アカウントへのアクセスを厳格に監視、 制限する。 | 攻撃の核心である「管理者権限の窃取」を防ぎ、万が一窃取された場合でも早期に検知できるようにするため。 |
| ネットワークのセグメント化 | ITネットワークとOT(運用技術)ネットワークを物理的、論理的に分離する。 重要なシステムへのアクセスを必要最小限に制限する。 | 攻撃者がネットワーク内で自由に活動(横展開)することを困難にし、被害の拡大を食い止めるため。 |
| ログの収集と分析 | PowerShellのスクリプトブロックログなど、コマンドラインの操作ログをすべて収集、保管する。 EDR/XDRを導入し、平常時の活動ベースラインから逸脱する「異常な振る舞い」を検知する。 | 正規ツールが悪用された場合でも、その「使い方」の異常性から攻撃の痕跡を発見するため。これが環境寄生型攻撃への最も重要な対策となる。 |
| 不要な機能の無効化 | 業務上不要なリモートアクセスサービス(RDPなど)や古いプロトコルを無効化する。 | 攻撃者に悪用される可能性のある「正規の通用口」を最初から塞いでおき、攻撃対象領域(アタックサーフェス)を縮小するため。 |
まとめ
ハッカー集団「ソルト・タイフーン」は、「環境寄生」という検知困難な手法と、ルーターなどネットワーク境界の脆弱性を突く手口を組み合わせ、米国を中心に世界中の通信インフラへ深刻な侵入を果たした。その影響は「ほぼすべての米国人」に及ぶ可能性が指摘されるほど広範であり、日本も無視できない。
ソルト・タイフーンの対策となる「ネットワーク内部の挙動を常に監視し、正規ツールが悪用されることを前提とした、より高度な防衛体制の構築」は、ソルト・タイフーン以外の未知の脅威に対しても有効な防御策となる。
この記事をシェア
