ハクソク

世界を動かす技術を、日本語で。

FBIサイバー捜査官:Salt Typhoonが「ほぼ全てのアメリカ人」を攻撃

268日前原文(theregister.com)

概要

  • 中国のSalt Typhoonサイバー諜報活動 が、米国人の個人情報を大規模に窃取
  • FBI高官によると、ほぼ全ての米国人が被害対象となった可能性
  • 2019年からの長期侵入、米国政府や12カ国と連携して警告
  • 80カ国・200以上の米国組織 が標的、通信大手も含む
  • 中国の他のサイバー攻撃集団 にも警戒が必要

Salt Typhoonによる米国大規模サイバー諜報活動

  • Salt Typhoon は、中国政府支援のサイバースパイ集団
  • 米国内の通信ネットワークに長期間侵入、数百万人分の個人情報を収集
  • FBIサイバー部門副部長Michael Machtinger によると、「ほぼ全米国人が情報窃取の被害に遭った可能性」
  • 機密分野に無関係でも安全ではない」という従来の認識が覆る状況
  • 2019年から活動開始、米当局が発覚したのは2023年秋
  • 米国・12カ国の当局 が警告、被害は通信企業・政府機関だけでなく広範囲に拡大
  • 80カ国以上に被害拡大、米国内では200組織が侵害
  • VerizonやAT&Tなど大手通信会社 も被害組織に含まれる

関与した中国企業とその役割

  • Salt Typhoonに関与した中国企業 として以下が名指し
    • Sichuan Juxinhe Network Technology
    • Beijing Huanyu Tianqiong Information Technology
    • Sichuan Zhixin Ruijie Network Technology
  • これら企業は 中国国家安全省や人民解放軍にサイバー製品・サービスを提供
  • 従来の諜報活動の常識を超えた無差別かつ危険な行為」とFBIは警鐘

被害の詳細と影響範囲

  • Salt Typhoonは 携帯電話ユーザーの位置情報把握、インターネットトラフィック監視、通話内容の傍受 まで実施
  • 被害者には元・現職の大統領や副大統領(例:Donald Trump、JD Vance)も含まれる可能性
  • 100人以上の大統領府関係者や政権幹部も標的
  • 一般市民から高官まで、 無差別かつ広範な情報収集 を実施
  • 特定個人に対しては 通信内容そのものまで傍受

Salt Typhoon以外の中国サイバー攻撃事例

  • Volt Typhoon :老朽化したルーターを感染させてボットネット構築、重要インフラ侵害
    • 破壊的サイバー攻撃の準備段階 と判明
  • Silk Typhoon :10年以上にわたりITやクラウド事業者を標的、政府・企業・教育機関から機密情報窃取

グローバルなサイバー脅威の現状

  • 中国以外にもロシア、イラン、北朝鮮、国内外のサイバー犯罪者やランサムウェア集団 が脅威
  • 攻撃者は今後さらに巧妙化」とFBIは警告
  • サイバーセキュリティの強化、システム更新、老朽機器の排除 の重要性を強調
  • 国家レベルでの継続的な対策強化 の必要性

Hackerたちの意見

CISAの発表は、もっと具体的な内容が含まれてるよ。ここに載ってるよ。https://news.ycombinator.com/item?id=45065458

いや、DogeとMAGAがその機関の30%を削減してくれてよかったよ。今、官僚たちが(メモをチェックしながら)サイバーセキュリティやインフラセキュリティをやる必要なんて全然ないからね。 [1] https://archive.is/20250603190111/https://www.axios.com/2025...

直接リンク: https://www.cisa.gov/news-events/cybersecurity-advisories/aa...

「この無差別な標的攻撃は、FBIやホワイトハウスのセキュリティ担当者が以前に指摘したように、北京のスパイたちが何百万もの携帯電話ユーザーを地理的に特定し、インターネットトラフィックを監視し、場合によっては電話を録音することを可能にした。被害者にはドナルド・トランプ大統領やJD・バンス副大統領が含まれていたと言われている。」うーん…これはかなりの監視能力だね。携帯電話の基地局を使ってると思ってたけど、ウィキペディアのページ[1]によると、サーバーがハッキングされたみたい?AT&Tのサーバーをハッキングしたのかな?余談だけど、こういう場合にデータを盗まれない方法ってあるのかな?VPNだけ使うのがいいかもしれないけど、もし三角測量でデータを取られてるなら、電話を切る以外にできることはないよね?

まるでGDPRがデータブローカーや販売業界の最悪の部分を排除するための良いことのようだね。誰かが投稿した詳細なレポートによると、これはソースでハッキングされたみたいだけど、多くのデータは合法的にオープンな、あまりグレーじゃない市場で買える。あるジャーナリストが位置データのセットの一つを買って、それを使って情報機関の職員を特定できることを示したんだ(もし誰かがほぼ毎日その機関のサイトにいて、たまに別の場所にも行くなら…その「匿名」のユーザーがよくいる場所は、情報機関の職員の家の可能性が高い)。もし業界が誰にでも売ってなければ、簡単にハッキングされる場所に置いておくことはないだろうね。

被害者にはドナルド・トランプ大統領とJD・バンス副大統領が含まれていたらしい。記者がちょっとお茶目にアンゲラ・メルケルからの引用を取ろうとしてくれたらよかったのに。

「これが本当に強調しているのは、中国がこれらの代理人を通じて行っていることが、実際には無謀で制約がないということだ。これは、我々がスパイ活動の分野で見ている規範から大きく外れている。」彼が言ってる「規範」って何のこと?

うん、スパイにルールブックがあるなんて知らなかったよ。唯一のルールは「何でもあり、でも捕まるな」だと思ってた。でも、もしかしたら俺が無知なのかも。

アメリカの情報コミュニティがPRISMやUpstreamなどで世界中の通信を吸い上げてることを考えると、「規範」は「今までこれをできたのはアメリカだけ」ってことだと思う。今や中国も同じ土俵で競争できることを示したね。

彼が言ってるのは、アメリカ政府だけがアメリカ市民に対して違法な大規模監視を行うことが許されているという規範のことだよ。中国人たちは自分たちが何様だと思ってるんだ??

彼の頭の中にあるやつは、柔らかくて曲線的で、内部の物質と同じくらい柔軟なんだ。

無差別な標的化。この記事の段落の最後で明確にされていて、リードインの一部でもある。「一般の人々の中には、もしあなたが中国が伝統的なスパイ活動に興味を持つような敏感な分野で働いていなければ、安全だ、標的にはされないだろうという考えがある」と、FBIサイバー部門の副助監督が、木曜日のインタビューで言った。「Salt Typhoonから見て取れるように、もはや誰もがその前提を持つことはできない。」

これが、我々の通信インフラ全体に政府のバックドアを強制的に設置した結果だよ。こんな重要なインフラがちゃんと守られてなかったなんて信じられない。でも、OPMのハッキングやCIAの「ドロップサイト」の実装が失敗した後は、政府のサイバー無能さにはもう驚かないよ。

電話番号を完全にやめたくなってきた。セキュリティが本当に悪いし、電話番号は社会保障番号と同じくらい身分証明に使われるけど、持っている必要はないからね。

一流の国家支援のアクターはバックドアなんて必要ない。彼らのスキル、リソース、そして粘り強さがあれば、ほぼどんなシステムにも侵入できる。これを強制的なバックドアに帰着させるのは、サイバー耐性を向上させてより良い攻撃を構築する必要があるという事実から目を逸らさせるだけだ。中国が作り出したシステムに対抗するためにアメリカが何をできるかについてのアトランティック・カウンシルの最近の論文を読むと、西側が中国に対してどれだけミスマッチなのかがわかるよ。論文はこちら: https://www.atlanticcouncil.org/wp-content/uploads/2025/06/C...

コンピュータは100%安全にはなれないよ。特に国家が物理的にハードウェアにアクセスするのが簡単な時、どれだけのゼロを費やすかの問題なんだ。

これに関して、他に政府以外の情報源ってあるの?絶対に起こったと思うけど、この政権の嘘が多すぎて、信頼できる第三者の情報があればもっと安心できるんだけど。できれば、今のリーダーたちのヒステリックな党派性から離れた人がいいな。否定してるわけじゃないけど、この政権の人たちからは何も信じるのは無理だと思う。繰り返しになるけど、彼らは明らかに嘘をつく歴史が長いからね。典型的な政治家の半分の真実じゃなくて、私たちに直接嘘をついてくるんだ。

Verizonが特定の政治家をターゲットにしたって言ってるよ。https://www.verizon.com/about/salt-typhoon-matter-update

ちょっとしたエピソードだけど、オーストラリアのサイバーセキュリティの友達がいて、数ヶ月前に彼が言ってたのは、中国はほぼアメリカのほとんどのデータを手に入れてるってこと。

セキュリティコミュニティは、合法的なアクセスを簡単に自動化することが悪い人たちがネットワークに侵入することを保証すると警告していた。そして今、中国がCALEAを制限されたシステムを使ってアメリカのネットワーク全体を吸い上げている。予想通りだね。「スパイ活動の範囲外で」とか言ってるけど、笑っちゃうよ。NSAがGoogleのバックボーンを傍受してたのを忘れたの?Room 641A?MAINWAY?ポインデクスターとTIA?パランティア?NSAは昔は防御と攻撃をやってたけど、今は完全に攻撃に移行してる。アメリカだけが攻撃できるなんて本当に信じてた人いるの?バカだね。

で、実際の侵害のポイントは何だったの? CALEAをサポートするソフトウェアベンダーだったのかな? 俺の推測では、多くのキャリアが使ってる一般的なMD(ミディエーター装置)ベンダーが狙われたんじゃないかと思うけど、これは俺の憶測ね。 他の人のために説明すると、これらのMD装置を作ってるソフトウェアベンダーは少数で、フローのキャプチャ(盗聴リクエスト)を開始したり、pcapの証拠保全を管理したりする役割を持ってる。 MDは通常、ルーターやスイッチにSNMPポーリングを送って(r)spanポートを開始し、MD装置が全データを吸い上げて保存するんだ。 で、俺が気になってるのは、MDが乗っ取られたのか、もし一つのメーカーだったらどうなのかってことなんだけど、これらの報告にはあまり技術的な情報が見当たらないんだよね。 興味がある人のために「LI」に関するコンテキストをこちらに: https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9...

この馬鹿げたことは、権力者たちが外国の脅威よりも自国民を恐れているという考えで説明できるかもしれない。

... 道徳的優越感を持った馬鹿たち。彼らは自分たちの攻撃作戦を忘れてないし、知らなかったわけでもないし、気にもしなかったんだ。

私の意見では、本当の「バカ」(あなたの言葉)は、中国製のSoC(最新のESP32やLinkStarなど)や、中国製のBIOS/EFI/UEFI(Zimaなど)を搭載したマザーボードを使っている人たちだと思う。最近の「インフルエンサー」たちが「ラズベリーパイの代替品」と見なしているものにね。例えば「Moonbounce」についてのウェブサイトを引用しても、今のビジネスにはリスクについて明らかに怒り狂ったり、非合理的になったりする世代の人たちがいる。彼らは自分たちがやっていることが国にとって損失であることを知りながら、頭を砂に突っ込んでいる。たとえこの取り組みがVOLTの一部でなくても、中国の法律に従って、すべての企業は共産党の管理を受け、要求されることを実行しなければならないということには変わりない。最悪なのは、例えばDiscordでこの事実を公に指摘すると、彼らは否定すらせず、「向こうもやってる」と真面目に返してくることだ。(確かにそうだけど、私たちの側は今、囚人の臓器を売ってはいない。)さあ、もうそのWi-Fi対応のモバイルバッテリーやHEPA/ACユニットを同じ目で見られなくなると思うよ(あるいは、最近のAIの回答で「一部の中国製スクーターにはGPSトラッカーやヘルメットに統合されたマイクが付いているものがあり、他のものはアフターマーケットのソリューションでカスタマイズできる。『マイク付き中国製スクーター』という単一のモデルは存在しないが、この説明に合う複数の製品やアプローチがある。」)。みんな、会話型のLLMオウムAIや車のダッシュボードが常に聞いている(あるいは見ている)ことを心配しているけど、今私たちが直面している最も深刻な脅威ではないよ。

もちろん、アメリカ政府がやることといったら、監視をさらに強化するだけだよね。

ワシントン州に住んでるんだけど、ここは侵害報告と通知が義務付けられてるんだ。これに関して何も見たことがないんだけど、何か理由ある? 一般的に遵守が低いのかな? テルコは州の規制を無視できるほど大きいと思ってるの?

Salt Typhoonについての議論は、2024年に広く知られるようになったにもかかわらず、今なおアクティブで制御されていない事件であるという異常な事実から始めるべきだと思う。普通、私たちは事後分析の中で学んだ教訓について話すことに慣れているけど、この特定の事例はまだ分析されていない。私たちは今も攻撃を受けていて、データは引き続き危険にさらされている。

私は3G GGSNノードの合法的傍受仕様を書いたことがある。だから、今のシステムについての知識は古いかもしれないことを念頭に置いてほしい。仕様は電話機器の既存の仕様から派生したものだ。合法的傍受の面白いところは、ネットワーク管理から隠されることになっていた点だ。傍受はネットワークオペレーターにはログされない。傍受に使われているノードは、傍受が行われていることを示す兆候を全く出さない。確か当時の標準では、監視対象が知らない状態で、トラフィックの最大3%を傍受できるようにすることになっていたが、キャリアもそれを知らない状態だった。法執行機関は、自分たちの施設でLIコンソールを使って傍受を指示していた。だから、合法的傍受が特にハッキングしやすいわけではなく、一度侵害されると、その悪用を検出するのが特に難しいということだ。誰かが侵害が始まった時期や、どのくらい続いたのかを確実に知っているかは疑問だね。