Volt Typhoonとは？ わかりやすく解説

ウィキペディア

Volt Typhoon

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2025/08/29 18:12 UTC 版)

Volt Typhoon（ボルト タイフーン、別名: VANGUARD PANDA、BRONZE SILHOUETTE、Redfly、Insidious Taurus、Dev-0391, Storm-0391、UNC3236、VOLTZITE）は、中国を代表してサイバースパイ活動に従事していると報告されている持続的標型攻撃（APT）グループである。少なくとも2021年半ばから活動しており、主にアメリカ合衆国の重要インフラを標的にすることで知られている^[1][2] 。Volt Typhoonはスパイ活動、データ盗難、認証情報の窃取に重点を置いている。^[3]

マイクロソフトによると、このグループは検知を回避するために労力を費やしており、その活動は、将来起こりうる危機において、中国が米国とアジア間の重要インフラである通信インフラを妨害する能力を確保することを優先している^[3] 。米国政府は、このグループの目的が台湾有事に続く可能性のある米軍の動員を遅らせることであると考えている^[4] 。Volt Typhoonは中国人民解放軍サイバー戦略支援部隊によって運営されていると考えられている^[5] 。中国政府は、このグループの存在を否定している^[6]。

名称

Volt Typhoonは現在マイクロソフトによって割り当てられている名称であり、このグループの呼称として最も広く使用されている。このグループは、様々に以下のように呼ばれてきた。^[7]

• Dev-0391（マイクロソフトによる初期名称）
• Storm-0391（マイクロソフトによる初期名称）
• BRONZE SILHOUETTE（デルの子会社であるセキュアワークスによる名称）
• Insidious Taurus（パロアルトネットワークスのUnit 42による名称）
• Redfly（旧シマンテックであるジェン・デジタルによる名称）
• UNC3236（Googleの子会社であるマンディアントによる名称）
• VANGUARD PANDA（クラウドストライクによる名称）
• VOLTZITE（Dragos社による名称）^[8]

手法

ファイブ・アイズの全サイバーセキュリティおよびシギント機関による共同発表によると、Volt Typhoonの中核となる戦術・技術・手順（TTPs）には、Living Off The Land（LotL：環境寄生型）が含まれ、組み込みのネットワーク管理ツールを使用して目的を遂行し、通常のWindowsシステムやネットワーク活動に紛れ込む。この戦術により、ホストへのサードパーティ製アプリケーションの導入時に警告を発するEDRプログラムを回避し、デフォルトのログ設定で捕捉される活動の量を制限する。Volt Typhoonが使用する組み込みツールには、wmic、ntdsutil、netsh、PowerShellなどがある^[9]。

このグループは当初、脆弱な管理者パスワード、工場出荷時のデフォルトログイン、定期的に更新されていないデバイスなどの脆弱性を悪用して、インターネットに接続されたシステムに侵入するマルウェアを使用する^[10] 。標的にアクセスすると、ステルス性を強く重視し、ほぼ完全に環境寄生型攻撃の手法とハンズオンキーボード活動に依存する^[10]。

Volt Typhoonは、侵入後の活動でマルウェアを使用することはほとんどない。代わりに、コマンドライン経由でコマンドを発行し、まずローカルおよびネットワークシステムから認証情報を含むデータを収集し、そのデータをアーカイブファイルにまとめて持ち出しの準備を行い、その後、盗んだ有効な認証情報を使用して持続性を維持する^[3][11] 。これらのコマンドの一部は、オペレーターが何度も調整・反復するため、探索的または実験的なものと見られる。さらに、Volt Typhoonは、ルーター、ファイアウォール、VPNハードウェアなど、侵害したSOHO（小規模オフィス・ホームオフィス）のネットワーク機器を介してトラフィックをルーティングすることで、通常のネットワーク活動に紛れ込もうとする^[12] 。また、オープンソースツールのカスタムバージョンを使用して、プロキシ経由でC&Cサーバチャネルを確立し、さらに潜伏を続けることも確認されている^[3][10]。

多くの点で、Volt Typhoonは従来のボットネットオペレーターと同様に機能し、ルーターやセキュリティカメラなどの脆弱なデバイスを乗っ取り、将来の攻撃を開始するためのシステムとして使用する前に、隠れて足がかりを築く。このような方法で活動することにより、サイバーセキュリティの防御担当者が攻撃元を正確に特定することは困難になる。^[10]

セキュアワークス（デルの一部門）によると、Volt Typhoonがオペレーションズ・セキュリティに関心を持つのは、「（中国の国家支援ハッカーに対する）米国の相次ぐ起訴による当惑と、自らのサイバースパイ活動が公の目に晒されることを避けたいという中国指導部からの圧力の高まりに起因する可能性が高い」という^[13]。

サイバーセキュリティ研究者のライアン・シャーストビトフによると、「発見されると姿を消す攻撃者とは異なり、この敵は発覚するとさらに深く潜り込む」という^[14]。

主な活動

アメリカ海軍への攻撃

米国政府は、米国の重要インフラや軍事能力に関する情報を収集するために設計された活動を米国本土およびグアムのシステム上で繰り返し検出しているが、マイクロソフトと関係機関は、これらの攻撃が将来の米国の重要インフラへの攻撃の準備である可能性があると述べている^[3]。

Singtelへの侵害

2024年6月、シングテルがVolt Typhoonによって侵害された^[15] 2。024年11月のブルームバーグニュースによる報道を受け、シングテルは脅威からマルウェアを「根絶した」と回答した^[16]。

各国の反応

2024年1月、FBIは、米国内の被害者ルーターからマルウェアを削除し、再感染を防ぐための措置を講じる裁判所認可の作戦を実行することで、Volt Typhoonの活動を妨害したと発表した^[17]。

2025年3月、アメリカ合衆国下院国土安全保障委員会は、アメリカ合衆国国土安全保障省に対し、このハッキングに対する連邦政府の対応に関する文書を提出するよう要請した^[18]。

2025年7月、シンガポールの国家安全保障調整大臣であるK・シャンムガムは、シンガポールの重要インフラを攻撃していたAPTとしてUNC3886を名指しした^[19][20] 。シンガポールのサイバーセキュリティ庁は、UNC3886が検出されて以来、その活動を調査していた^[19]

中国の反応。

中国政府はVolt Typhoonへの関与を否定し、Volt Typhoonは米国の諜報機関による偽情報キャンペーンであると、国営メディアである新華社および中国の国家コンピュータウイルス緊急対応センター（CVERC）を通じて述べた^[6]。

米当局者らは、2024年の会合で中国側が行った発言を、中国がVolt Typhoonに関与していることの「暗黙の承認」と解釈した^[21] 。ウォール・ストリート・ジャーナルは、会合に詳しい元米当局者の話として、中国当局者の発言は「間接的でやや曖昧だったが、室内にいた米国代表団のほとんどは、それを暗黙の承認であり、台湾に関する米国への警告と解釈した」と報じた^[21]。

中国大使館はシンガポールの主張を「根拠のない中傷であり非難」であるとし、「中国はあらゆる形態のサイバー攻撃に断固として反対し、取り締まっている」と反論した^[22]。

脚注

1. ^ “中国のハッカーがアメリカの通信ネットワークの深部に侵入”. エコノミスト. (2024年12月12日). ISSN 0013-0613. https://www.economist.com/china/2024/12/12/chinese-hackers-are-deep-inside-americas-telecoms-networks 2025年8月29日閲覧。 
2. ^ Manson, Katrina (2025年1月3日). “グアムで露呈した中国ハッキングに対する米国の最悪の恐怖” (英語). ブルームバーグニュース. オリジナルの2025年1月3日時点におけるアーカイブ。. https://archive.today/20250103160458/https://www.bloomberg.com/news/features/2025-01-03/chinese-cyber-hackers-terrify-us-intelligence-after-infiltrating-guam 2025年8月29日閲覧。 
3. ^ ^{a b c d e} “Volt Typhoonは環境寄生型攻撃の手法で米国の重要インフラを標的に” (英語). マイクロソフト (2023年5月24日). 2024年1月17日時点のオリジナルよりアーカイブ。2025年8月29日閲覧。
4. ^ Antoniuk, Daryna (2024年8月27日). “中国のVolt TyphoonがVersaのゼロデイ脆弱性を利用して米国のインターネットプロバイダーを標的にしたと報じられる”. オリジナルの2024年9月17日時点におけるアーカイブ。. https://web.archive.org/web/20240917222211/https://therecord.media/versa-zero-day-volt-typhoon-china 2025年8月29日閲覧。 
5. ^ Martin, Ciaran (2025年3月20日). “サイバー空間のタイフーン” (英語). 王立防衛安全保障研究所. 2025年8月29日閲覧。
6. ^ ^{a b} Martin, Alexander (2024年7月11日). “中国のサイバー機関、Volt Typhoonの研究に米国が干渉しているとの「虚偽で根拠のない」主張で非難される”. Recorded Future. オリジナルの2024年10月9日時点におけるアーカイブ。. https://web.archive.org/web/20241009000821/https://therecord.media/china-cyber-agency-claims-us-interference-volt-typhoon-research 2025年8月29日閲覧。 
7. ^ “Volt Typhoon (Threat Actor)”. フラウンホーファー研究機構. 2025年8月29日閲覧。
8. ^ Hanrahan, Josh (2024年2月13日). “米国の重要システムを標的とするVOLTZITEのスパイ活動” (英語). Dragos. 2024年9月26日時点のオリジナルよりアーカイブ。2025年8月29日閲覧。
9. ^ “中華人民共和国の国家支援サイバー攻撃者、検知回避のために環境寄生型攻撃を実施” (英語). サイバーセキュリティ・社会基盤安全保障庁 (2023年5月24日). 2025年8月29日閲覧。
10. ^ ^{a b c d} Forno, Richard (2024年4月1日). “Volt Typhoonとは何か？ サイバーセキュリティ専門家が解説する、米国の重要インフラを狙う中国のハッカーたち” (英語). メリーランド大学ボルティモア校. 2024年7月14日時点のオリジナルよりアーカイブ。2025年8月29日閲覧。
11. ^ “Volt Typhoon: 重要インフラを標的とする中国の国家支援攻撃者” (英語). Secure Blink (2023年6月5日). 2024年3月1日時点のオリジナルよりアーカイブ。2025年8月29日閲覧。
12. ^ “Volt Typhoon, BRONZE SILHOUETTE, Group G1017”. MITREコーポレーション (2024年3月28日). 2024年9月17日時点のオリジナルよりアーカイブ。2025年8月29日閲覧。
13. ^ Pearson, James; Satter, Raphael (2024年4月19日). “FBIが「壊滅的な打撃」を与えかねないと警告する中国のハッキンググループ、Volt Typhoonとは何か？”. ロイター. https://www.reuters.com/technology/what-is-volt-typhoon-alleged-china-backed-hacking-group-2023-05-25/ 2025年8月29日閲覧。 
14. ^ Sabin, Sam (2024年11月12日). “高まる中国のVolt Typhoonの脅威”. アクシオス. https://www.axios.com/2024/11/12/rising-threat-of-china-s-volt-typhoon-codebook 2025年8月29日閲覧。 
15. ^ Robertson, Jordan; Manson, Katrina (2024年11月5日). “中国のグループが通信攻撃でSingtelをハッキングしたとして非難される” (英語). ブルームバーグニュース. https://www.bloomberg.com/news/articles/2024-11-05/chinese-group-accused-of-hacking-singtel-in-telecom-attacks 2025年8月29日閲覧。 
16. ^ “Singtel、中国のハッキンググループによるものとされるマルウェアを検出し「根絶」” (英語). (2024年11月5日). オリジナルの2024年11月6日時点におけるアーカイブ。. https://web.archive.org/web/20241106013124/https://www.channelnewsasia.com/singapore/singtel-malware-chinese-hacking-group-volt-typhoon-4724931 2025年8月29日閲覧。 
17. ^ “米国政府、中華人民共和国が重要インフラのハッキングを隠蔽するために使用したボットネットを妨害” (英語). アメリカ合衆国司法省 (2024年1月31日). 2024年10月7日時点のオリジナルよりアーカイブ。2025年8月29日閲覧。
18. ^ “米国下院委員会、中国の通信ハッキングに関する記録を要求”. ロイター. (2025年3月17日). https://www.reuters.com/world/us/us-house-committee-seeks-record-chinese-telecom-hacking-2025-03-17/ 2025年8月29日閲覧。 
19. ^ ^{a b} Devaraj, Samuel (2025年7月18日). “シンガポールは重要インフラに対する進行中のサイバー攻撃に積極的に対処している：シャンムガム氏” (英語). CNA. 2025年8月29日閲覧。
20. ^ Iau, Jean (2025年7月21日). “シンガポールはなぜサイバー脅威グループUNC3886を名指ししたのか、そしてそれは中国と関係があるのか？” (英語). サウスチャイナ・モーニング・ポスト. 2025年8月29日閲覧。
21. ^ ^{a b} Volz, Dustin (2025年4月10日). “秘密会談で中国、米インフラハッキングへの関与を認める” (英語). https://www.wsj.com/politics/national-security/in-secret-meeting-china-acknowledged-role-in-u-s-infrastructure-hacks-c5ab37cb 2025年8月29日閲覧。 
22. ^ “中国、シンガポールの重要インフラ攻撃で非難されたスパイグループとの関連を否定” (英語). Reuters. (2025年7月21日). https://www.reuters.com/world/china/china-denies-link-espionage-group-accused-attacking-singapore-critical-2025-07-21/ 2025年8月29日閲覧。