Salt Typhoon(ソルトタイフーン)は、中国国家安全省(MSS)に整合した国家支援型サイバー脅威グループです。2019年頃から活動が観測され、世界の通信事業者や防衛隣接ネットワークを長期的に侵害し、通話メタデータ(CDR)・VoIP設定・合法傍受(LI)関連ログ・加入者プロファイルなどを収集してきました。
DomainTools,のレポートではこの集団の攻撃はルータ/VPNゲートウェイ/ファイアウォール等のネットワーク境界機器の脆弱性悪用とファームウェア/ルートキットによる永続化を軸に、疑似民間の請負企業(フロント企業・国家系ベンダ)を用いてオペレーションを外部化・秘匿するのが特徴です。
ソルトタイフーンの概要
ソルトタイフーンが他の中国系アクターと異なる点は、長期的な信号諜報(SIGINT)収集を目的として、世界中の通信インフラを直接標的としていることです。同グループは請負業者(企業)と国家のハイブリッドモデルが明らかになっています。
主要攻撃キャンペーン
米国通信メタデータ窃取(2024):ベライゾンなど大手通信数社でCDR・VoIP構成・LIログを窃取。境界機器CVE悪用と長期潜伏
米州州兵ネットワーク侵入(2024):VPN装置経由でネットワーク図・VPN設定・資格情報・IR手順書を取得。
英国重要インフラ侵害(2023–2024):政府・軍・運輸・通信に横断侵入し、ルーティング情報・測位メタデータ等を収集。
EU域内のルータ乗っ取り(2022–2023):中小ISPのファームウェア改竄/バックドア更新で持続的C2を確保。
i-SOON支援の継続作戦(2019–):偽米国人名+ProtonMailで登録した多数ドメインを運用。
国家と企業の分業構造
運用の支えになっているのが、いわゆるフロント企業や請負企業のエコシステムです。i-SOON(安洵)をはじめ、四川や北京に拠点を置く複数の会社が後方支援を担います。国家機関の指示は見えにくく、外形的には「民間の仕事」に見える。中国のサイバー作戦が外注化と産業化でスケールしている現状が、そのままSalt Typhoon(ソルトタイフーン)の強みになっています。
中国国家安全省(MSS)+請負企業:任務はMSSが付与し、i-SOON(安洵)や四川聚信和(Juxinhe)、北京寰宇天穹(Huanyu Tianqiong)、四川智信锐捷(Zhixin Ruijie)などがドメイン調達、C2基盤運用、ツール提供を担う。
PLA(戦略支援部隊)との技術的重なり:通信インフラ侵害・SIGINT・有事の妨害準備といった任務領域に重複が見られ、平時の諜報と有事の通信劣化オプションの双方を支える二用途(dual-use)能力として位置付く。
使用TTPの要約
初期侵入:公開アプリ/境界機器の脆弱性悪用、盗用アカウント(VPN/SSO/SIP)。
永続化:ファーム/ブート領域改変(Demodex等)、authorized_keys追加。
権限昇格/回避:LOLBIN・PowerShell難読化・ログ改変。
横展開:VPNトンネル悪用、ISP間トラストを踏み台に拡大。
収集・流出:CDR/LI/VoIP構成を選択的に抽出し、HTTPS/DNSで暗号化搬出。
既知悪用CVE例:Cisco IOS XE Web UI(CVE-2023-20198)、Ivanti Connect Secure(CVE-2023-35082)、PAN-OS GlobalProtect(CVE-2024-3400台)。
日本への影響
日本にとっても、これは対岸の火事ではありません。国内の通信事業者はもちろん、データセンター事業者、クラウド接続を請け負うMSP、自治体・大学・病院のネットワーク管理部門まで、境界機器の運用とID管理に共通の弱点があれば、狙い方は同じです。
通話明細や加入者情報という“通信ならでは”の資産は、個人情報保護の観点にとどまらず、捜査・災害対応・企業活動の基盤に直結します。
この記事をシェアする
メールマガジン
最新のセキュリティ情報やセキュリティ対策に関する情報をお届けします。
投稿者:三村
セキュリティ対策Labのダークウェブの調査からセキュリティニュース、セキュリティ対策の執筆まで対応しています。
セキュリティ製品を販売する上場企業でSOC(セキュリティオペレーションセンター)やWebサイトやアプリの脆弱性診断 営業8年、その後一念発起しシステムエンジニアに転職。MDMや人事系のSaaS開発を行う。
WACOCA: People, Life, Style.