中国のSalt Typhoonがカナダ企業をCiscoの脆弱性経由でハッキング：当局が明かす（CVE-2023-20198）

佐々山 Tacos

2025.10.17

中国のSalt Typhoonがカナダのテレコム企業をCiscoの脆弱性経由でハッキング：カナダ当局が明かす（CVE-2023-20198）

BleepingComputer – June 23, 2025

米国の複数電気通信事業者への攻撃で知られる中国の国家支援型ハッキンググループ「Salt Typhoon」は今年2月、カナダの電気通信事業者をも標的にしていたという。カナダのサイバーセキュリティセンターと米FBIが認めている。

Salt Typhoonは遅くとも2019年から活動する中国のAPTグループで、Earth Estries、GhostEmperor、UNC2286、FamousSparrowとも呼ばれる。昨年10月以降、ベライゾンやAT&Tなど米国のテレコム事業者を中心に多数の組織を侵害したことが話題になり、その際カナダの当局も自国の重要組織が標的になっており、実際の侵害行為は確認されていないものの偵察が行われているとしてセキュリティの強化を呼びかけていた。

しかしこの注意喚起にもかかわらず、一部のサービスプロバイダーは求められた対策を講じていなかったものと思われ、そのうち少なくとも1社の電気通信事業者のネットワークデバイス3台が実際に侵害されたという。またこの2025年2月中旬の攻撃では、Cisco IOS XEの重大な脆弱性CVE-2023-20198が悪用された旨が報告されている。攻撃者はこの悪用により、3台すべてのデバイスから稼働中の設定ファイルを取得し、少なくとも1つのファイルを細工してGREトンネルの設定を行い、ネットワークからのトラフィック収集を可能にしていたとされる。

CVE-2023-20198はCVSSスコア10.0の重大な脆弱性で、認証されていないリモートの攻撃者による任意アカウントの作成および管理者レベルの権限の取得を可能にするもの。2023年10月に開示された古い脆弱性だが、当時の時点ですでに、ゼロデイとして悪用されていたことが明かされていた。つまり、脆弱性開示および悪用事実の発覚から攻撃発生までおよそ1年4か月の期間、カナダの当該組織はパッチを適用していなかったことになる。

またカナダのサイバーセキュリティセンターのブレティンには、別個の調査や外部からの情報に基づいた評価として、Salt Typhoonが関与している可能性の高い活動は、電気通信セクターのみならずその他さまざまな業界の組織にも拡大しているとみられる旨が記されている。同センターは、カナダ組織に対する攻撃が今後2年間にかけて「ほぼ確実に続く」との見解を示し、重要組織に対してネットワークを保護するよう注意喚起した。