中国のハッカー集団「Salt Typhoon」が全世界のCiscoのエッジデバイスを攻撃中：Cybersecurity Dive

脅威グループ「Salt Typhoon」は、既知の脆弱性を悪用してCiscoのエッジデバイスを侵害している。この脅威キャンペーンは米国だけでなく全世界が標的になっているようだ。推奨される対策は何か。

[Rob Wright，Cybersecurity Dive]

　脅威グループ「Salt Typhoon」によるハッキングは2025年になっても続いている。中国の支援を受けているこの攻撃者は最近、米国企業2社を含む世界各地の通信企業5社を新たに侵害した。

Cisco IOS XEの既知の脆弱性を悪用か　早急な対策を

　Recorded Futureの脅威インテリジェンスチーム「Insikt Group」が2025年2月13日（現地時間、以下同）に発表した調査によると、Salt Typhoon（Recorded Futureでは「RedMike」と呼んでいる）は2024年12月から2025年1月にかけて、パッチが適用されていないCiscoのエッジデバイスを標的とした脅威キャンペーンを実行したという。Insikt Groupの研究者は、この2カ月間で同脅威グループが世界中で1000台以上の同様のデバイスを侵害しようと試みたことを確認している。

　具体的には、Salt Typhoonは標的への初期アクセスを得るために、「Cisco IOS XE」のソフトウェアのWebユーザーインタフェースに存在する特権昇格の脆弱（ぜいじゃく）性「CVE-2023-20198」を悪用し（注1）、さらに関連する特権昇格の脆弱性「CVE-2023-20273」も利用してルートアクセスを取得していた（注2）。これらの脆弱性は2023年10月にゼロデイ脆弱性として公開され、その当時広範に悪用されており、数千台のデバイスに影響を与えた（注3）。

　Insikt Groupの研究者は、米国の通信およびインターネットサービスプロバイダーや英国の通信事業者の米国拠点を含む5つの組織で、侵入されたCiscoのデバイスを発見した。さらに、Salt TyphoonがUCLA（カリフォルニア大学ロサンゼルス校）およびロヨラ・メリーマウント大学、ユタ工科大学、カリフォルニア州立大学を含む世界各地の大学で使われているCiscoのデバイスを標的としていることも確認された。

　報告書では（注4）、次のように述べられている。

　「RedMikeは通信や工学、技術に関する研究へのアクセスを目的として、UCLAやデルフト工科大学をはじめとする大学を標的にした可能性がある」

　Insikt Groupは、標的となったCiscoのデバイスの半数以上が米国および南米、インドに位置していることを確認し、さらにインターネットに公開されたWebユーザーインタフェースを持つCiscoのデバイスが1万2000台以上存在することを特定した。研究者は過去5年間で、中国から支援を受ける脅威グループの活動が、インターネットに公開されている脆弱なネットワークデバイスの悪用に大きくシフトしていると警告した。

　Recorded Futureで戦略インテリジェンスを担当するジョン・コンドラ氏（シニアディレクター）は、「Cybersecurity Dive」の取材に対し「報告書に記載された5つの通信企業は、Ciscoの脆弱性が悪用されたことを研究者が確認できた唯一のケースだ」と述べた。しかしRecorded Futureは、それ以外のデバイスや組織が侵害された可能性は否定できないと指摘した。

　さらにコンドラ氏によると、Insikt Groupの研究者は、一部の組織がCiscoのゼロデイ脆弱性の公開から1年以上経過してもなお対策を講じていないことに驚かなかったという。同氏は電子メールで次のように述べている。

　「数万台のワークステーションやネットワークデバイスを抱える大企業にとって、パッチの管理と展開は大きな課題だ。効果的かつ安全なパッチの展開には、テストと検証、計画的なダウンタイム（これは従業員や顧客にとって非常に高コストであり、業務を混乱させる可能性がある）、パッチが予期せず影響を及ぼす可能性のあるワークフローや自動化の調整が必要になる」

　一方、CiscoはCybersecurity Diveに対し、2023年に発表した2つのゼロデイ脆弱性に関するセキュリティアドバイザリーのリンクを含む声明を発表した（注5）。

　Ciscoの広報担当者は、次のように述べている。

　「Salt TyphoonがCiscoのデバイスのIOS XEに関連する2つの既知の脆弱性を悪用しているという新たな報告があることを認識している。現時点では、これらの報告について検証できていないが、利用可能なデータを引き続き精査している。2023年には、これらの脆弱性を開示するとともに、ソフトウェアの修正の早急な適用を顧客に推奨するセキュリティアドバイザリーを発表した。既知の脆弱性に対して適切なパッチを適用し、管理プロトコルのセキュリティを確保するために業界のベストプラクティスに従うことを強く推奨する」

パッチの早急な適用が求められる

　Recorded Futureは、組織に対してこれらのデバイスの脆弱性に対するパッチの適用を優先し、設定の変更を監視するよう推奨した。さらに研究者はインターネットに公開されているデバイスについて、管理インタフェースや不要なサービスを外部に公開しないよう呼びかけている。

　今回の最新の攻撃キャンペーンは、2024年にSalt TyphoonがAT＆TおよびVerizon、T-Mobile、Lumen Technologiesを含む米国の大手通信企業を相次いで侵害した事件に続くものだ（注6）。この際、同攻撃者は標的となった政治家や政府関係者の私的な通信を入手し、さらに法執行機関の要請に関するデータにもアクセスした。この攻撃は米国政府および技術業界に大きな警戒を引き起こし、通信企業は侵害を調査し、Salt Typhoonをネットワークから完全に排除するために奔走した（注7）。

　報告書では、次のように述べられている。

　「大きく報道され、米国による制裁が科されているにもかかわらず、Insikt Groupは、RedMikeが今後も米国および世界の通信企業を狙い続けると予測している。その理由は、これらのネットワークを通過する通信データの量と価値が非常に高いためだ。実際のところ、過去の攻撃において、RedMikeは米国の合法的な通信傍受システムや重要な政治家の通信を標的にしていたことが確認されている」

（注1）CVE-2023-20198 Detail（NIST）
（注2）CVE-2023-20273 Detail（NIST）
（注3）Cisco urges IOS XE customers to patch as thousands of devices remain infected（Cybersecurity Dive）
（注4）RedMike (Salt Typhoon) Exploits Vulnerable Cisco Devices of Global Telecommunications Providers（Recorded Future）
（注5）Multiple Vulnerabilities in Cisco IOS XE Software Web UI Feature（CISCO）
（注6）Feds raise alarm on China-linked infiltration of telecom networks（Cybersecurity Dive）
（注7）AT＆T, Verizon say they evicted Salt Typhoon from their networks（Cybersecurity Dive）

原文へのリンク