【ITニュース解説】45 Previously Unreported Domains Expose Longstanding Salt Typhoon Cyber Espionage
2025年09月09日に「The Hacker News」が公開したITニュース「45 Previously Unreported Domains Expose Longstanding Salt Typhoon Cyber Espionage」について初心者にもわかりやすいように丁寧に解説しています。
ITニュース概要
中国関連の攻撃グループ「Salt Typhoon」がサイバースパイ活動で使用した、未報告のドメイン45個が発見された。一部は2020年から存在しており、同グループが長期間にわたり活動を続けていたことが裏付けられた。
ITニュース解説
サイバーセキュリティの世界では、攻撃者が誰にも気づかれずに長期間にわたって活動を続けることがある。最近、あるセキュリティ企業の調査により、特定の攻撃者グループが少なくとも4年以上前から活動していたことを示す新たな証拠が発見された。このニュースは、私たちが日々利用しているシステムを守る上で、攻撃者の巧妙な手口を理解することの重要性を改めて示している。
今回注目されているのは、「Salt Typhoon」という名前で知られる、中国を拠点に活動しているとみられるサイバー攻撃者グループである。このグループは「UNC4841」という別名でも呼ばれており、主に政府機関や重要インフラ企業などを標的に、情報を盗み出す「サイバースパイ活動」を行っていると考えられている。彼らのような高度な技術を持つ攻撃者グループは、目的を達成するために非常に計画的かつ執拗に攻撃を仕掛けてくる。今回の発見の鍵となったのは「ドメイン」である。ドメインとは、「example.com」のような、インターネット上の住所にあたる文字列のことだ。ウェブサイトの閲覧やメールの送受信に不可欠なものだが、サイバー攻撃者はこれを悪用する。具体的には、攻撃の司令塔となる「C2サーバー(コマンド&コントロールサーバー)」と通信するために独自のドメインを使用する。攻撃者は、標的の組織に侵入させてコンピューターウイルス(マルウェア)に感染させた後、このC2サーバーからマルウェアに命令を送ったり、盗み出した情報を受け取ったりする。つまり、この悪意のあるドメインを特定し、通信を遮断することができれば、攻撃者の活動を無力化できる可能性があるのだ。
セキュリティ企業「Silent Push」の研究者たちは、脅威ハンティングと呼ばれる手法を用いて、これまで知られていなかった45個のドメインを発見した。脅威ハンティングとは、単に攻撃を待つのではなく、自社のネットワーク内にすでに潜んでいるかもしれない脅威の痕跡を積極的に探し出す活動のことである。調査の結果、これらのドメインがSalt Typhoonの攻撃インフラの一部として利用されていたことが判明した。特に重要なのは、これらのドメインがいつ登録されたかという点である。最も古いものは2020年5月に登録されていた。これは、2024年に観測されて話題となったSalt Typhoonによる一連の攻撃が、彼らの活動の始まりではなかったことを明確に示している。実際には、その少なくとも4年も前から、彼らは水面下で着々と攻撃の準備を進めていたのだ。攻撃者は、攻撃を実行するかなり前にドメインを取得し、すぐには使わずに寝かせておくことがある。これは「ドメインエイジング」と呼ばれる手法で、新しく登録されたばかりのドメインはセキュリティ製品によって不審だと判断されやすいため、長期間保有することで正規のドメインであるかのように見せかけ、検知システムを回避する狙いがある。45個もの未報告ドメインが一度に発見されたという事実は、Salt Typhoonが非常に大規模で、周到な準備のもとに長期間活動を続けてきた高度な攻撃者グループであることを物語っている。
このニュースは、これからシステムエンジニアとして企業のITインフラを守る立場になる人々にとって、多くの重要な教訓を含んでいる。第一に、サイバー攻撃は、ある日突然始まるのではなく、見えないところで静かに進行しているという現実だ。攻撃者は、侵入の足がかりを作るために、何年もかけてインフラを構築し、標的を調査する。私たちが目にするのは、攻撃が最終段階に入って被害が表面化した後であることが多いのだ。第二に、ログの重要性である。サーバーやネットワーク機器が記録する通信ログには、誰が、いつ、どこにアクセスしたかという情報が詰まっている。今回発見されたような悪意のあるドメインのリスト(脅威インテリジェンスと呼ばれる)を入手し、自社の過去のログと照合することで、すでに内部のコンピューターが攻撃者のC2サーバーと通信していなかったかを確認できる。もし通信の痕跡が見つかれば、被害が拡大する前に対処することが可能になる。第三に、脅威インテリジェンスを活用した防御の重要性だ。Silent Pushのようなセキュリティ企業は、調査で発見した攻撃者のドメインやIPアドレスといった情報を公開することがある。システムエンジニアは、こうした最新の情報を常に入手し、ファイアウォールや侵入検知システムなどのセキュリティ機器に設定を反映させることで、既知の脅威からの通信を未然に防ぐことができる。最後に、これらの対策は単独では機能しづらく、複数の防御策を組み合わせる「多層防御」の考え方が不可欠であるということだ。ネットワークの出入り口での監視、個々のコンピューターの保護、そして不審な活動を検知するためのログ分析など、様々な角度からシステム全体を守る体制を構築することが求められる。
今回明らかになった45個のドメインは、Salt Typhoonという攻撃者グループの長年にわたる活動の氷山の一角に過ぎないかもしれない。彼らのような高度な攻撃者は、常に防御側の対策を分析し、それをかいくぐるための新たな手口を開発し続けている。システムエンジニアを目指す上で、単にシステムを構築する技術だけでなく、こうしたサイバー攻撃の最新動向を学び、攻撃者の視点を理解することが、真に安全なシステムを実現するために不可欠なスキルとなるだろう。