米国のサイバーセキュリティ機関であるCISAは、今年初めに複数の大手通信プロバイダーが攻撃を受けた背景に対応するため、ネットワーク防御者向けのガイダンスを発表しました。この攻撃は、中国の脅威グループ「Salt Typhoon」によるもので、AT&T、T-Mobile、Verizon、Lumen Technologiesなどのプロバイダーが標的となりました。 10月下旬にCISAとFBIがこの事案の確認を行い、政府関係者の「プライベートな通信」が侵害され、米国政府の盗聴プラットフォームへのアクセスや顧客の通話記録の窃取が行われたことが明らかになりました。 具体的な侵害時期は不明ですが、この攻撃者らは「数ヶ月以上」にわたりシステムにアクセスしていたという報告があります。これにより、ネットサービスプロバイダーを通じて大量のインターネットトラフィックが盗まれたとされています。 CISAの高官は記者団に対し、「敵が排除されたとは確実には言えない。私たちは彼らが何をしているのか把握しようとしているところであり、その範囲を理解することにも努めている」と語りました。 一方、T-Mobileの最高セキュリティ責任者は、攻撃が接続された有線プロバイダーのネットワークから発生したと述べ、現在はネットワーク内での攻撃者の活動を確認していないと述べています。 これらのハッカー集団は「Earth Estries」、「FamousSparrow」、「Ghost Emperor」などとしても知られ、少なくとも2019年から東南アジア各国の政府機関や通信会社への攻撃を行っています。 NSAは、本日中国の攻撃者が露出した脆弱なサービスやパッチが当てられていないデバイスを標的にしていると報告しました。 CISAはFBI、NSA、国際的なパートナーと共同で発表した勧告の中で、デバイスやネットワークのセキュリティを強化するためのヒントを提供しました。特に、通信インフラを管理するシステム管理者や技術者への視認性を向上させる防御策が含まれ、ネットワークトラフィック、データフロー、ユーザーのアクティビティの詳細な情報を把握できるようにしています。 その他の推奨される対策には、構成変更や管理接続のすべてを記録し、予期しない変化には警告を出すことが含まれており、これによりネットワークの境界付近のデバイスの視認性が向上します。 さらに、T-Mobileが接続された有線プロバイダーを通じて侵害されたことを考慮し、信頼できるパートナーからのトラフィックを監視することも重要です。 NSAのサイバーセキュリティダイレクターであるデイブ・ルーバー氏は、「ネットワークの妥協に対抗するには常に警戒が必要です。システムに目を光らせ、既知の脆弱性を的確に修正し、攻撃者の標的になる前に行動を起こしましょう」と述べました。
