2025年7月23日、米国ワシントン州選出の民主党上院議員マリア・カントウェル(Maria Cantwell)がGoogle傘下のインシデント対応企業Mandiantに対し、AT&TとVerizonのSalt Typhoon関連セキュリティ評価報告書の提出を要求した。
Salt Typhoonは中国政府系ハッカー集団で、2024年に米国通信インフラに侵入し、AT&TとVerizonを含む複数の通信事業者のネットワークを侵害した。両社は2024年12月にネットワークの安全性を主張したが、議会への評価報告書提出は拒否している。カントウェル議員は8月6日までに、Mandiantが両社に実施したすべての報告書・評価書・分析書のコピー、未対応の推奨事項リスト、作業コストと費用の記録の提出を求めている。
2025年1月、トランプ政権はSalt Typhoon調査を実施していたサイバー安全審査委員会(CSRB)を解散させた。専門家はSalt Typhoonが依然として米国ネットワークに潜伏している可能性が高いと警告している。
From: 
Senator to Google: Give us info from telco Salt Typhoon probes
【編集部解説】
Salt Typhoonは単なるサイバー攻撃ではありません。これは中国政府が国家戦略として推進している長期的なサイバー諜報作戦の一環です。2022年から活動を開始し、2024年に発覚したこの作戦は、米国の通信インフラに対する前例のない規模と深刻度を持つ侵害として位置づけられています。
今回の議会による要求は、テクノロジー業界における透明性とアカウンタビリティの新たな局面を示しています。AT&TとVerizonという米国大手の通信事業者が「ネットワークは安全」と主張しながらも、その根拠となるセキュリティ評価報告書の提出を拒否している状況は、企業の危機管理体制と政府監督の限界を浮き彫りにしています。
この事案が示すテクノロジーの脆弱性は深刻です。Salt Typhoonは米国通信インフラのCALEA(Communications Assistance for Law Enforcement Act)システムを悪用し、政府高官の通話記録や位置情報を取得しました。これは、国家安全保障を目的として構築されたシステムが、逆に最大の脅威となるという技術的なパラドックスを示しています。
専門家の間では、Salt Typhoonの完全な除去は技術的に困難、もしくは不可能である可能性が指摘されています。通信ネットワークの複雑性と膨大な規模を考慮すると、数万から数十万のエンドポイントを個別に検証する必要があり、これは現実的ではありません。
この状況は、5G時代における通信インフラのセキュリティ設計に根本的な見直しを迫るものです。従来の境界防御モデルでは対応できない高度な持続的脅威(APT)に対し、ゼロトラストアーキテクチャや暗号化通信の標準化が急務となっています。
規制面では、通信事業者に対するセキュリティ評価の透明性要求が強化される可能性があります。今回のカントウェル議員の要求は、民間企業が保有するサイバーセキュリティ情報の政府アクセス権限について、新たな法的枠組みの必要性を示唆しています。
長期的な視点では、この事案は米中技術覇権争いの新たな段階を象徴しています。Salt Typhoonは2025年7月時点でも活動を継続しており、カナダや他の同盟国の通信インフラにも侵入しています。これは単一国家の問題ではなく、西側諸国全体の技術主権に関わる戦略的課題として捉える必要があります。
【用語解説】
Salt Typhoon(ソルト・タイフーン)
中国政府系のサイバー諜報集団。2022年から2025年現在まで活動を継続している国家支援のAPT(Advanced Persistent Threat)グループである。「living off the land」戦術を用いてPowerShellやWMICなどの正規ツールを悪用し、検知回避を図っている。
CALEA(Communications Assistance for Law Enforcement Act)
米国の法執行機関が通信事業者に対して合法的傍受を要求する際の法的枠組み。Salt Typhoonはこの仕組みを悪用して通話記録や位置情報を取得した。
APT(Advanced Persistent Threat)
高度で持続的な脅威を指すサイバー攻撃の分類。国家や組織が長期間にわたって標的に潜伏し、継続的に情報収集を行う攻撃手法である。
Demodex
Salt Typhoonが使用するWindows kernel-mode rootkit。Kaspersky Labが命名したもので、標的サーバーの遠隔制御を可能にする。
【参考リンク】
Mandiant(外部)
Google傘下のサイバーセキュリティ企業で、インシデント対応や脅威インテリジェンス提供
AT&T(外部)
米国大手通信事業者。1885年設立の老舗で売上高1,223億ドル(2024年度)を記録
Verizon(外部)
米国最大の無線通信事業者で、2024年末時点で加入者数1億4,610万人を持つ通信大手
Google Cloud Security(外部)
Mandiantのサイバー防御ソリューションを統合したGoogleクラウドサービス
米国上院商業科学運輸委員会(外部)
カントウェル議員が筆頭民主党議員を務める通信・サイバーセキュリティ政策担当委員会
【参考記事】
Cantwell Demands Answers from AT&T and Verizon(外部)
カントウェル議員による通信会社への情報提供要求に関する公式発表
Breaking Down Salt Typhoon(外部)
Salt Typhoonの攻撃手法と活動期間に関する詳細な技術分析
【編集部後記】
私たちが当たり前に使っている通信インフラが、実は想像以上に脆弱だったという現実をどう受け止めますか。Salt Typhoonのような国家レベルの攻撃に対し、5Gやクラウド化が進む今、個人や企業はどんな備えができるでしょうか。「完全な安全」が幻想だとすれば、私たちはリスクと利便性のバランスをどう取るべきなのか。皆さんの職場や日常で感じるサイバーセキュリティの課題があれば、ぜひ聞かせてください。一緒に考えていけたらと思います。
