Vectra AIプラットフォーム
リスクを低減し、攻撃を阻止し、セキュリティ態勢を強化するAI駆動型プラットフォーム
Vectra AI vs その他のすべて
比較ガイド
セキュリティ運用のユースケース
最新のアタックハブ
産業
セキュリティ運用のユースケース
すべてのユースケースを見る
Salt Typhoon 中国国家安全部(MSS)が運営する、中国政府が支援する高度な持続的脅威(APT)Salt Typhoon 。 少なくとも2019年から活動を開始したこのグループは、近年の歴史において最も重大なサイバー諜報活動の一部を実行しており、80カ国以上にわたる米国の通信事業者、政府機関、重要インフラを侵害してきた。FBIはこれを米国史上最も重大な諜報侵害の一つと位置付けている(FBI、2025年8月)。
この脅威ブリーフィングでは、Salt Typhoon 、攻撃ライフサイクル全体を通じてどのように活動しているか、どのようなツールや マルウェア をどのように展開するか、そして防御側がその活動を検知・封じ込めるために知っておくべき事項について解説します。本ブリーフィングでは、MITRE ATT&CKマッピングされた同グループの戦術・技術・手順(TTPs)を網羅し、彼らが使用する具体的な「リビング・オフ・ザ・ランド(LOTL)」コマンドを分析するとともに、振る舞い ガイダンスを提供します。SOCアナリスト、脅威ハンター、セキュリティアーキテクト、およびCISOは、Salt Typhoon 国家系APTグループに対する防御を強化するための実用的なインテリジェンスを得ることができます。
Salt Typhoon 中国国家安全部と関連があるとされる高度な持続的脅威(APT)グループSalt Typhoon 、世界中の通信事業者、政府機関、重要インフラを対象とした長期的なサイバー諜報活動を専門としている。このグループは、Earth Estries(トレンドマイクロ)、GhostEmperor(カスペルスキー)、FamousSparrow(ESET)、UNC2286(マンディアント)としても追跡されている。
ネットワークに侵入し、データを抽出してから立ち去るという、多くのスパイ活動主体とは異なり、Salt Typhoon 「持続性」Salt Typhoon 。このグループは、発見されるまでの数ヶ月から数年もの間、侵害した環境内へのアクセスを維持し続けていることが確認されている。 少なくとも1件の確認事例では、Salt Typhoon 通信ネットワークへのアクセスを3年間にわたりSalt Typhoon (Cisco, 2025)。情報収集と、将来の危機発生時にサービスを妨害する能力を兼ね備えたこの二重の姿勢は、台湾をめぐる潜在的な対立への備えを含む、中国(PRC)のより広範な戦略的目標と合致している。
Salt Typhoon標的選定は、2020年以降、著しく変化してきた。初期の攻撃キャンペーンは、東南アジアやアフリカの政府機関、ホテル、テクノロジー企業を主な標的としていた。2024年までに、同グループは米国の通信インフラへと積極的に活動を拡大し、AT&T、Verizon、T-Mobile、Lumen、Charter Communicationsを含む少なくとも9社の大手通信事業者を侵害した(ウォール・ストリート・ジャーナル、2024年)。 国際的には、被害者は20カ国以上にわたり、通信事業者、コンサルティング会社、防衛関連企業、化学企業、運輸事業者、非営利団体などに及んでいる(トレンドマイクロ、2024年)。
以下の表は、主要なセキュリティベンダーにおけるSalt Typhoon名称の対応関係を示したものです。情報源によって同じキャンペーンが異なる名称で記載されることがあるため、脅威ハンターがインテリジェンスレポートを照合する際に役立ちます。
2023年から2026年にかけて、Salt Typhoon活動範囲は劇的に拡大し、地域限定のスパイ活動から、これまでに公表された中で最も地理的に広範囲に及ぶAPT活動の一つへと発展した。FBIは2025年8月、同グループが80カ国にわたる200以上の組織を侵害したことを確認した(FBI, 2025)。以下の年表は、その主な経緯をまとめたものである。
ノルウェーが侵害事実を確認。FBIは脅威が「依然として継続中」と表明。シンガポールは国内の通信事業者4社すべてが侵害を受けたことを確認。カントウェル上院議員がAT&TおよびベライゾンのCEOの証言を要求。
その標的は通信業界をはるかに超えている。Salt Typhoon 、テクノロジー企業、コンサルティング会社、化学メーカー、防衛関連企業、運輸事業者、非営利団体などをSalt Typhoon (Trend Micro, 2024)。同グループの運営体制からは、地域や業種ごとに複数の独立したチームが存在することがうかがえる。
Salt Typhoon 初期侵入のために既知の脆弱性を悪用し、カスタム マルウェア を展開し、検知を回避しながら横方向への移動を行うために「リビング・オフ・ザ・ランド(LOTL)」手法を多用する、体系化された多段階の攻撃シーケンスに従います。このグループの特徴は忍耐力にあり、キャンペーンは数ヶ月にわたり展開され、攻撃者は作戦上の必要性に応じて段階的に追加のツールを展開していきます。
Salt Typhoon 一般公開されているサーバー、ネットワーク機器、およびVPN製品の既知の脆弱性を悪用して侵入します。悪用が確認されている脆弱性には、以下のものが含まれます:
Salt Typhoon リモートコード実行Salt Typhoon 、このグループは暗号化されたPowerShellスクリプトを展開し、Demodexルートキット、SnappyBee、GhostSpider、HemiGate、Crowdoor、MASOL RAT、Cobalt Strike などのバックドアをインストールします。この初期段階であっても、Windowsに組み込まれたツールがフォレンジック上の痕跡を最小限に抑えています:
PowerShellの実行バイパス:
powershell -ex bypass -c "<decryption_key>"
レジストリの永続化:
reg add "HKCU\...\CurrentVersion\Run" /v "<n>" /t REG_SZ /d "<path>" /fSalt Typhoon 、ネイティブユーティリティを使用してActive Directory環境をSalt Typhoon :
cmd /c "net group 'domain admins' /domain"
wmicプロセス名、プロセスID、コマンドラインを取得する。防御回避は連続的なプロセスであり、個別の段階に分かれるものではありません。その手法には、現地リソースを活用した実行、正規のアンチウイルスソフトウェア(Norton、Bkav、IObit)を介したDLLのサイドローディング、PowerShellのダウングレード攻撃、スクリプトの暗号化、ログの消去、およびカーネルモードのルートキット(Demodex)などが含まれます。
資格情報の収集には、Mimikatz、SnappyBee、キーロガー、およびKerberos攻撃が使用されます。権限昇格には、Cobalt Strike、ルートキット、および侵害された環境内での脆弱性の悪用が利用されます。
Salt Typhoon 、Windowsの管理ツールSalt Typhoon 、ネットワーク経由でペイロードをコピーし、実行します:
copy \\<target_ip>\C$\Windows\Temp\payload.bat
wmic /node:<target_ip> process call create "cmd /c ...\payload.bat"
最も注目すべきコマンドは、持続性、横方向の移動、権限昇格、および防御回避を1つの操作に統合したものです:
sc \\<target_ip> create VGAuthtools type= own start= auto
binpath= "C:\...\installutil.exe C:\...\マルウェア.exe"持続的なC2通信には、Cobalt Strike 、Demodex、および専用インフラと正規のサービス(AnonFiles、File.io、GitHub、Gmail、LightNode VPS)を組み合わせたデュアルチャネル方式が使用されています。
Salt Typhoon 、継続的な情報収集のために恒常的なアクセス権Salt Typhoon 、地政学的危機発生時にサービス停止を引き起こす可能性のある態勢を整えている。通信分野における作戦では、これにはCALEA(通信傍受法)に基づく盗聴システムへのアクセスや、政府高官の通信の監視などが含まれていた。
以下の表は、Salt Typhoon確認済みのMITRE ATT&CK マッピングしたものであり、脅威ハンターが検知ルールを構築し、キルチェーンの網羅性を検証するのに役立ちます。記載内容は、2025年9月の共同アドバイザリ(CISA AA25-239A)および複数のベンダーレポートに基づくTTPを反映しています。
Salt Typhoon Volt Typhoon 中国政府Volt Typhoon 、それぞれの戦略的目標は異なります。これらの違いを理解することは、防御側が検知戦略の優先順位を決定する上で役立ちます。
防御側にとって、どちらのグループも同じ検知の死角を突いてきます。それは、一見正常に見えるコマンドを実行する正当なシステムツールです。いずれかを阻止するには、アイデンティティ、ネットワーク、クラウドの各レイヤーにわたるアクティビティを関連付けて分析する「振る舞い が必要です。
Salt Typhoon「現地調達型」の手法により、シグネチャベースの検知やエンドポイントのみの監視では、その存在をほぼ検知できなくなります。これを検知するには、ネットワークトラフィック、IDの挙動、クラウド上の活動など、攻撃対象領域全体にわたる振る舞い 相互に関連付ける必要があります。
Vectra AI 、既知のインジケーターではなく攻撃者の行動パターンに焦点を当て、環境全体にわたるアクションの展開を分析することで、Salt Typhoon活動を検知します。Typhoon型の攻撃が発生した際、本プラットフォームは以下のような検知結果を提示します:
これらのシグナルはAIエージェントによって相関分析され、攻撃の全容を動的な攻撃グラフを通じて自動的に分類・優先順位付け・可視化するため、防御担当者は攻撃が進行する前に適切な対応をとることができます。
Salt Typhoon 防御には、エクスプロイトを利用した初期アクセス、ローカルリソースを活用した実行、IDの悪用、および長期的な潜伏に対処する多層的なアプローチSalt Typhoon 。これらの推奨事項は、CISA/NSA/FBIの共同アドバイザリ(AA25-239A)および観測された攻撃キャンペーンの挙動に基づいています。
積極的にパッチを適用し、エッジデバイスへの対応を優先してください。 Salt Typhoon初期侵入は、VPNアプライアンス、ファイアウォール、ルーターの既知のCVEを常に悪用しています。FBIは2026年2月、基本的な設定ミスが侵入の足がかりとなっていることを強調しました。
ハイブリッド環境全体にネットワーク検知・対応機能を展開します。 Salt Typhoon ルーターやスイッチでは、EDRエージェント を実行することはできません。NDRは、横方向の移動、IDの異常、および暗号化されたC2チャネルに関する可視性を提供します。
ID関連の動作を継続的に監視します。 ドメイン管理者の列挙に関する異常、予期せぬ権限昇格、不審なKerberosの動作、およびサービスアカウントの不正使用に注意を払ってください 。
ネットワークのセグメンテーションとzero trustを導入する。 重要なインフラをセグメント化し、最小権限のアクセス原則を徹底することで、横方向の移動経路を制限する 。
MITRE ATT&CK を活用して、積極的に調査を行ってください。 不審なPowerShellの実行、リモートでのサービス作成、WMICによるリモート実行、DLLのサイドローディング、および不審なレジストリの変更がないか確認してください 。
すべての通信をエンドツーエンドで暗号化する。FBIは 、通信網への不正アクセスを受けて、エンドツーエンド暗号化されたメッセージングの利用を推奨した。
