目次
1. 国家支援型サイバー攻撃「Salt Typhoon」とは
2024年後半から2025年にかけて、米国の通信業界を震撼させたのが「Salt Typhoon(ソルト・タイフーン)」と呼ばれるサイバー攻撃キャンペーンです。これは中国政府が支援するハッカー集団による組織的なサイバースパイ活動であり、AT&T、Verizon、T-Mobileなど米国の大手通信事業者のネットワークインフラに深く侵入しました。
被害の深刻さ
Salt Typhoonの攻撃により、多数の米国市民の通話記録メタデータが中国側に流出した可能性があります。米上院情報委員会副委員長のマーク・ウォーナー議員は、この事件を「米国史上最悪の通信インフラ侵害」と評しています。
攻撃の特徴
- 長期潜伏型:2019年から活動を開始し、数年にわたって米国ネットワーク内に潜伏
- 高度な技術:法執行機関向けの合法的な通信傍受システムを悪用
- 国家資源の活用:中国国家安全部(MSS)の支援を受けた組織的活動
2. 米国の対応:制裁と政策議論
財務省による制裁措置
2025年1月17日、米国財務省外国資産管理局(OFAC)は、財務省ネットワークへの侵入に関与したハッカー及びSalt Typhoon関連企業および個人に対して、制裁を発動しました。具体的には、Salt Typhoonへの関与を理由に四川巨信和網絡技術有限公司(Sichuan Juxinhe Network Technology Co., Ltd.)が、財務省ネットワークへの侵入に関与したことが理由で上海を拠点とするサイバー攻撃者の尹可誠(Yin Kecheng)が、制裁対象となりました。
尹可誠は10年以上にわたりサイバー攻撃活動に従事しており、中国国家安全部と密接な関係にあるとされています。彼は財務省ネットワークへの不正侵入にも関与したとして名指しされています。
米国国務省は、国家支援型サイバー攻撃者の特定につながる情報提供者に対して、最大1,000万ドル(約15億円)の報奨金を提示しています。
サイバーセキュリティ規制をめぐる議論
Salt Typhoon事件を受けて導入された通信事業者向けサイバーセキュリティ規制が、2025年11月にFCC(連邦通信委員会)によって撤回されました。この規制は、通信事業者にネットワークセキュリティの強化とリスク管理計画の年次報告を義務付けるものでした。
ワーナー議員は「この規制撤回は、自発的な取り組みだけでは国家支援型の高度な攻撃者を防げないことが明らかになった後に行われた」と批判し、強制力のある基準の必要性を訴えています。
出典:Mark R. Warner – U.S. Senator for Virginia(米上院議員 マーク・R・ワーナー 公式サイト):Warner Responds to FCC Rollback of Salt Typhoon Cybersecurity Rules(2025年11月20日)
https://www.warner.senate.gov/public/index.cfm/2025/11/warner-responds-to-fcc-rollback-of-salt-typhoon-cybersecurity-rules
攻撃的サイバー作戦への転換
2026年1月13日、米国下院国土安全保障委員会サイバーセキュリティ小委員会は「防御だけでは不十分」と題した公聴会を開催しました。アンディ・オーグルス小委員長は「10年以上にわたり防御・情報共有・レジリエンスに投資してきたが、敵対者の行動を変えることはできなかった」と述べ、より積極的な攻撃的サイバー作戦の必要性を強調しました。
3. ランサムウェア攻撃の新潮流:暗号化なき恐喝
ランサムウェア攻撃は従来、被害者のデータを暗号化して身代金を要求するという手法が主流でした。しかし、セキュリティ企業Morphisecのレポート「Ransomware Without Encryption: Why Pure Exfiltration Attacks Are Surging—and Why They’re So Hard to Catch」によると、暗号化を一切行わず、データの窃取と公開脅迫のみで恐喝する「純粋な情報流出型攻撃」が急増しています。
なぜ攻撃者は暗号化をやめたのか
- 検知リスクの低減:暗号化処理はCPU使用率の急上昇やファイル名の変更など、検知されやすい「ノイズ」を発生させる。情報流出のみなら静かに実行可能
- EDRの回避:エンドポイント検知対応(EDR)ツールはマルウェア検知には強いが、データ窃取の検知は弱点
- 交渉力の維持:バックアップからシステムを復旧できても、流出したデータは取り戻せない。規制違反や風評被害を恐れて支払う被害者は多い
- フォレンジックの困難化:攻撃者は数週間〜数カ月潜伏後に脅迫を開始。ログが消去され、何が盗まれたか特定困難
最新の攻撃手法
- Azure Copyの悪用:正規のクラウドサービスを使ってデータを流出させ、通常のバックアップ通信に紛れ込ませる
- 正規ITツールの悪用:RClone、MegaNz、PowerShell、RoboCopyなど、IT管理者が日常的に使うツールを悪用
- ゼロ暗号化・ゼロアラート:不審なプロセス挙動もファイル名変更もなく、セキュリティツールが反応しない
4. AIがもたらすサイバーリスクの新時代
トレンドマイクロの「法人セキュリティ脅威予測2026」では、AIがサイバーリスクの「震源地」になると警告しています。AIは業務効率化の強力なツールである一方、攻撃者にとっても強力な武器となりつつあります。
バイブコーディング(Vibe Coding)のリスク
AIにプロンプトを送信してプログラムを生成する「バイブコーディング」が急速に普及しています。しかし、Veracode社の調査によると、AIが生成したコードの45%がセキュリティ上の問題が含まれていることが判明しています。便利さの裏で、脆弱性を内包したアプリケーションが増加するリスクがあります。
エージェント型AIのリスク
2026年は、自律的に判断・行動する「エージェント型AI」の普及が見込まれています。サプライチェーン調整や返金処理などの業務判断を人間の関与なしで行うAIが増える中、一つのエラーやハルシネーション(AI の誤った出力)がシステム全体に波及するリスクがあります。また、攻撃者に乗っ取られたAIエージェントが正規の権限を使って活動する「内部脅威化」も懸念されています。
AI技術悪用
攻撃者はAIを使って窃取データを分析し、被害組織にとって最も重要な資産を特定するようになっています。画像・音声・動画などの非テキストデータもAIで解析可能となり、より狙いを絞った圧力をかけることが可能になっています。さらに、RaaS(ランサムウェア・アズ・ア・サービス)グループの中には、AI による自動化交渉エージェントを身代金交渉に試験導入する動きも報告されています。
5. 企業が今すぐ取るべき5つの対策
これらの脅威に対して、企業はどのような対策を講じるべきでしょうか。最新のセキュリティレポートやベストプラクティスから、優先度の高い5つの対策を紹介します。
①多要素認証(MFA)の徹底
Salt Typhoon事件では、特権アカウントに多要素認証が設定されていなかったことが侵入を許す一因となりました。すべての重要システムと管理者アカウントにMFAを必須とし、認証情報の使い回しを禁止することが基本中の基本です。
②アウトバウンドデータフローの監視強化
暗号化なきランサムウェア攻撃に対抗するには、データが外部に流出する経路を監視することが重要です。特にクラウドサービスや正規のファイル同期ツール経由の不審な大量データ転送を検知できる体制を構築しましょう。
③AI利用のガバナンス確立
業務でAIツールを活用する場合は、そのリスクも認識する必要があります。AI が生成したコードのセキュリティレビュー、AI エージェントのアクセス権限管理、AI ツールのサプライチェーンリスク評価などのガバナンス体制を整備しましょう。
④検知から予防へのシフト
正規ツールを悪用する攻撃や、暗号化を行わない攻撃は従来のEDRでは検知が困難です。攻撃者が足場を築く前に防ぐ「プリエンプティブ(予防的)サイバー防御」の考え方を取り入れ、ゼロトラストアーキテクチャの導入を検討しましょう。
⑤インシデント対応計画の見直し
データ流出型攻撃では、攻撃者の主張を検証することが重要です。脅迫を受けた際に、何が本当に盗まれたのかを調査できる体制を整え、フォレンジック能力を強化しましょう。また、法的対応の準備も重要です。
まとめ
サイバー脅威は、国家支援型の高度な攻撃、暗号化しない新型ランサムウェア、AI の悪用という3つの大きな潮流が顕在化しています。
Salt Typhoonに代表される国家支援型攻撃は、もはや米国だけの問題ではありません。同様のAPTグループは日本の重要インフラや企業も標的にしています。また、ランサムウェアの進化やAI の悪用は、技術的に高度な対策だけでなく、組織のガバナンスやリスク管理体制の強化も求めています。
トレンドマイクロが指摘するように、セキュリティはもはや固定的な目標ではなく、脅威環境に合わせて絶えず進化させるべき要素です。本記事で紹介した最新動向を踏まえ、自組織のセキュリティ態勢を見直すきっかけとしていただければ幸いです。
参考・出典
本記事は、以下の資料を基に作成しました。
- Mark R. Warner – U.S. Senator for Virginia(米上院議員 マーク・R・ワーナー 公式サイト):Warner Responds to FCC Rollback of Salt Typhoon Cybersecurity Rules(2025年11月20日)(アクセス日:2026年1月22日)
https://www.warner.senate.gov/public/index.cfm/2025/11/warner-responds-to-fcc-rollback-of-salt-typhoon-cybersecurity-rules - U.S. Department of the Treasury(米財務省):Treasury Sanctions Company Associated with Salt Typhoon and Hacker Associated with Treasury Compromise(2025年1月17日)(アクセス日:2026年1月22日)
https://home.treasury.gov/news/press-releases/jy2792 - United States House Committee on Homeland Security(米下院国土安全保障委員会):“Defense Alone is Not Sufficient”: Subcommittee Chairman Ogles Opens Hearing on Strengthening America’s Approach to Offensive Cyber Operations(2026年1月13日)(アクセス日:2026年1月22日)
https://homeland.house.gov/2026/01/13/defense-alone-is-not-sufficient-subcommittee-chairman-ogles-opens-hearing-on-strengthening-americas-approach-to-offensive-cyber-operations/ - トレンドマイクロ株式会社(Trend Micro):2026年の法人セキュリティ脅威予測レポートの概要を解説~サイバーリスクの震源地「AI」の今後を知る(2025年12月25日)(アクセス日:2026年1月22日)
https://www.trendmicro.com/ja_jp/jp-security/25/l/expertview-20251225-01.html - Morphisec:Ransomware Without Encryption: Why Pure Exfiltration Attacks Are Surging—and Why They’re So Hard to Catch(2026年1月1日)(アクセス日:2026年1月22日)
https://www.morphisec.com/blog/ransomware-without-encryption-why-pure-exfiltration-attacks-are-surging-and-why-theyre-so-hard-to-catch/
AI利用について
本記事はAIツールの支援を受けて作成されております。 内容は人間によって確認および編集しておりますが、詳細につきましてはこちらをご確認ください。
