🛡 概要
カナダのサイバーセキュリティセンターとFBIは、中国の国家支援ハッキンググループSalt Typhoonがカナダの通信企業を標的にしていることを確認しました。2025年2月に発生した事件では、Salt TyphoonがCVE-2023-20198というCisco IOS XEの脆弱性を悪用し、通信プロバイダーに侵入しました。この脆弱性は、リモートで認証なしに攻撃者が任意のアカウントを作成し、管理者レベルの権限を得ることを可能にします。
🔍 技術詳細
CVE-2023-20198は、2023年10月に最初に公開され、脆弱性がゼロデイとして悪用された事例が報告されています。この脆弱性により、攻撃者は1万台以上のデバイスに侵入することが可能になりました。2025年2月のカナダの通信会社に対する攻撃では、Salt Typhoonの攻撃者が3台のネットワークデバイスにアクセスし、実行中の設定ファイルを取得しました。攻撃者は少なくとも1つのファイルを変更し、GREトンネルを構成してネットワークからのトラフィック収集を可能にしました。
⚠ 影響
この攻撃により、カナダの通信事業者は重大なリスクにさらされています。Salt Typhoonの活動は、通信セクターを超えて他の産業にも広がっており、内部ネットワークから盗まれたデータは、横移動やサプライチェーン攻撃に利用される可能性があります。また、カナダのサイバーセンターは、今後2年間にわたり攻撃が続くことを警告しており、クリティカルな組織はネットワークを保護する必要があります。
🛠 対策
通信サービスプロバイダーは、通話メタデータや加入者の位置データ、SMS内容、政府や政治的通信など、価値のあるデータを扱っているため、国家支援のスパイグループの主要な標的となっています。これらの攻撃は、ネットワークの周辺にあるエッジデバイス、ルーター、ファイアウォール、VPNアプライアンスを標的にし、MSPやクラウドベンダーも間接的に顧客に対する攻撃の対象となります。サイバーセンターは、重要インフラオペレーター向けのエッジデバイスの強化に関するリソースを提供しています。
