脅威グループ「Salt Typhoon」が新型マルウェアを使用 通信業界に危機が迫る：Cybersecurity Dive

中国から支援を受けたハッカー「Salt Typhoon」は、漏えいした認証情報を利用してCiscoのデバイスへの初期アクセスを獲得していた。同攻撃の概要と具体的な防御策を確認しよう。

[Rob Wright，Cybersecurity Dive]

　Ciscoのセキュリティチーム「Cisco Talos」は脅威グループ「Salt Typhoon」による通信業界へのハッキングキャンペーンに関する調査を2025年2月20日（現地時間、以下同）に発表した（注1）。

　同調査では、中国政府から支援を受けたSalt Typhoonが、漏えいしたログイン情報を使用してCiscoのデバイスにアクセスしていたことが明らかにされた。一方、新たな脆弱（ぜいじゃく）性は発見されなかったという。

Salt Typhoonによるサイバー攻撃の概要

　研究者たちは、あるケースにおいて、Ciscoの製品に関連して過去に発見されていた脆弱性「CVE-2018-0171」がSalt Typhoonに悪用された証拠を発見した（注2）。しかしCiscoの製品に関連するその他の脆弱性が攻撃に使用された証拠は見つからなかった。

　Cisco Talosは新たにカスタム構築されたマルウェア「JumbledPath」を発見した。このマルウェアは標的となったCiscoのデバイスとSalt Typhoonが管理するジャンプホストをリモート接続でつなぐ仕組みを構築するものだ。

　Cisco Talosは標的となった通信企業以外の組織もSalt Typhoonによる攻撃のリスクにさらされていると警告した。同社のブログ記事では、国家から支援を受ける攻撃者が「JumbledPath」などのツールを使用し、デバイスやシステムの間を頻繁に移動していたことが示されている。ある攻撃において、Salt Typhoonは通信企業内にの既に侵害されたデバイスを単なる「中継地点」として利用し、別の通信企業のデバイスに移動していたことが確認された。

　ブログ記事では、次のように述べられている。

　「通信業界の企業が主な被害者となっているが、ここで紹介する対策は全ての業界のインフラ防御担当者にとって有用であり、参考にすべきものだ」

　Recorded Futureの脅威インテリジェンスチームであるInsikt Groupは、2025年2月10日の週に報告をしており、Cisco Talosによるこの度の調査は、それに続くものだった。Insikt Groupの報告では、Salt Typhoonが2024年12月〜2025年1月にかけて通信企業に対して追加の攻撃を実行していた旨が示された（注3）。

　Insikt Groupの研究者たちによると、これらの攻撃においてSalt Typhoonは、Ciscoの製品に関連して過去に発見されていた脆弱性「CVE-2023-20198」および「CVE-2023-20273」を悪用し（注4）（注5）、5つの通信企業のネットワーク内にある未修正のデバイスにアクセスしていたという。

　Cisco Talosは一方で「これらの報告を裏付ける証拠は見つからなかった」と述べている。研究者たちが確認したのは、Salt Typhoonが「Cisco IOS」および「Cisco IOS XE」のソフトウェアにおけるSmart Install（SMI）の機能に存在する脆弱性「CVE-2018-0171」を悪用した単一の事例だったという。ブログ記事では「これまでに調査した他の全てのケースにおいて、攻撃者は、被害者の正規のログイン情報を取得し、それを悪用してCiscoのデバイスへの初期アクセスを獲得していたことが確認されている」と述べられている。

　Salt TyphoonがCiscoの製品に関連する認証情報を入手した方法は不明だ。

　Ciscoの広報担当者は「Cybersecurity Dive」に対して次の声明を共有した。

　「2025年2月20日にCisco Talosは、Salt Typhoonの攻撃キャンペーンに関するブログ記事を公開した。同ブログ記事は、当社が法執行機関と連携し、被害者を支援する中で実施した調査に基づくものだ。顧客が自社を保護できるように、ブログでは、Salt Typhoonの活動を特定し、攻撃を防ぐための具体的な推奨事項やリソースを提供している。当社が提供する調査結果は、Salt Typhoonによる攻撃キャンペーン全体像や、影響を受けた全てのインフラを網羅するものではない。それらは当社が関与できる領域や、当社の技術の範囲を超えるものである。既知の脆弱性に対するパッチの適用を一貫して推奨するとともに、管理プロトコルを保護するために業界のベストプラクティスに従うことを強く推奨する」

Salt Typhoonの攻撃に対する防御策

　Cisco Talosの研究者たちは、SMIが公開された状態を示す脆弱性「CVE-2018-0171」を有するCiscoのデバイスが、広範囲にわたって標的にされ続けていることを確認した。ただし、この攻撃を特定の攻撃者に結び付けることはできず、Salt Typhoonとは無関係である可能性も高いという。

　ブログ記事では、Salt Typhoonの攻撃に対する防御策として、Ciscoの製品向けの具体的な手段が記載されている。具体的には「no vstack」のコマンドでSMIのサービスをで無効化することや、Telnetを無効化すること、不要な場合はGuestShellのアクセスを無効化すること、ローカルアカウントで認証情報を設定する際にタイプ8のパスワードを使用すること、Ciscoのデバイスにおける非暗号化のWebサーバを常に無効化することが挙げられている。

（注1）Weathering the storm: In the midst of a Typhoon（Cisco Talos Blog）
（注2）CVE-2018-0171 Detail（NIST）
（注3）China-backed hackers continue cyberattacks on telecom companies（Cybersecurity Dive）
（注4）CVE-2023-20198 Detail（NIST）
（注5）CVE-2023-20273 Detail（NIST）

原文へのリンク