米国他 中国国家支援のアクターによる世界的なネットワーク侵害への対策：国際的なスパイ活動システムへの供給源 (2025.08.27)

こんにちは、丸山満彦です。

米国、オーストラリア、カナダ、ニュージーランド、英国、チェコ、フィンランド、ドイツ、イタリア、日本、オランダ、ポーランド、スペインが共同で、中華人民共和国（PRC）が支援するサイバー脅威アクターに対する注意喚起をだしていますね...

このタイミングで、このメンバーで報告書というのはどうしてですかね...

 

● CISA

・2025.08.27 Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System

 

Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System	中国国家支援のアクターによる世界的なネットワーク侵害への対策：国際的なスパイ活動システムへの供給源
Alert Code: AA25-239A	Alert Code: AA25-239A
Executive summary	エグゼクティブサマリー
People’s Republic of China (PRC) state-sponsored cyber threat actors are targeting networks globally, including, but not limited to, telecommunications, government, transportation, lodging, and military infrastructure networks. While these actors focus on large backbone routers of major telecommunications providers, as well as provider edge (PE) and customer edge (CE) routers, they also leverage compromised devices and trusted connections to pivot into other networks. These actors often modify routers to maintain persistent, long-term access to networks.	中華人民共和国（PRC）国家支援のサイバー脅威アクターは、通信、政府、運輸、宿泊、軍事インフラネットワークを含む（ただしこれらに限定されない）世界中のネットワークを標的としている。これらのアクターは、主要通信プロバイダの大型バックボーンルーターやプロバイダエッジ（PE）ルーター、カスタマーエッジ（CE）ルーターを標的とする一方、侵害したデバイスや信頼された接続を足掛かりに他のネットワークへ侵入する。また、ネットワークへの持続的かつ長期的なアクセスを維持するため、ルーターを改変することが多い。
This activity partially overlaps with cyber threat actor reporting by the cybersecurity industry—commonly referred to as Salt Typhoon, OPERATOR PANDA, RedMike, UNC5807, and GhostEmperor, among others. The authoring agencies are not adopting a particular commercial naming convention and hereafter refer to those responsible for the cyber threat activity more generically as “Advanced Persistent Threat (APT) actors” throughout this advisory. This cluster of cyber threat activity has been observed in the United States, Australia, Canada, New Zealand, the United Kingdom, and other areas globally.	この活動は、サイバーセキュリティ業界が報告するサイバー脅威アクター（通称：Salt Typhoon、OPERATOR PANDA、RedMike、UNC5807、GhostEmperorなど）と一部重複している。本アドバイザリー作成機関は特定の商業的命名規則を採用せず、本アドバイザリー全体を通じて、当該サイバー脅威活動の責任者をより一般的な呼称「高度持続的脅威（APT）アクター」と表記する。この一連のサイバー脅威活動は、米国、オーストラリア、カナダ、ニュージーランド、英国、およびその他の地域で確認されている。
This Cybersecurity Advisory (CSA) includes observations from various government and industry investigations where the APT actors targeted internal enterprise environments, as well as systems and networks that deliver services directly to customers. This CSA details the tactics, techniques, and procedures (TTPs) leveraged by these APT actors to facilitate detection and threat hunting, and provides mitigation guidance to reduce the risk from these APT actors and their TTPs.	本サイバーセキュリティアドバイザリー（CSA）には、APTアクターが企業内部環境や顧客に直接サービスを提供するシステム・ネットワークを標的とした、政府および業界の様々な調査結果が含まれる。本CSAでは、これらのAPTアクターが用いる戦術・技術・手順（TTP）を詳細に説明し、検知と脅威ハンティングを促進するとともに、APTアクターとそのTTPによるリスクを軽減するための緩和ガイダンスを提供する。
This CSA is being released by the following authoring and co-sealing agencies:	本CSAは、以下の作成機関および共同発行機関によって公開される：
United States National Security Agency (NSA)	米国国家安全保障局
United States Cybersecurity and Infrastructure Security Agency (CISA)	米国サイバーセキュリティ・インフラセキュリティ庁
United States Federal Bureau of Investigation (FBI)	米国連邦捜査局
United States Department of Defense Cyber Crime Center (DC3)	米国国防総省サイバー犯罪センター
Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC)	オーストラリア信号局オーストラリアサイバーセキュリティセンター）
Canadian Centre for Cyber Security (Cyber Centre)	カナダサイバーセキュリティセンター
Canadian Security Intelligence Service (CSIS)	カナダ保安情報局
New Zealand National Cyber Security Centre (NCSC-NZ)	ニュージーランド国家サイバーセキュリティセンター
United Kingdom National Cyber Security Centre (NCSC-UK)	英国国家サイバーセキュリティセンター
Czech Republic National Cyber and Information Security Agency (NÚKIB) - Národní úřad pro kybernetickou a informační bezpečnost	チェコ共和国国家サイバー・情報セキュリティ庁
Finnish Security and Intelligence Service (SUPO) - Suojelupoliisi	フィンランド保安情報局（SUPO）
Germany Federal Intelligence Service (BND) - Bundesnachrichtendienst	ドイツ連邦情報局（BND）
Germany Federal Office for the Protection of the Constitution (BfV) -   Bundesamt für Verfassungsschutz	ドイツ連邦憲法擁護庁（BfV）
Germany Federal Office for Information Security (BSI) - Bundesamt für Sicherheit in der Informationstechnik	ドイツ連邦情報技術保安庁（BSI）
Italian External Intelligence and Security Agency (AISE) - Agenzia Informazioni e Sicurezza Esterna	イタリア対外情報保安庁（AISE）
Italian Internal Intelligence and Security Agency (AISI) - Agenzia Informazioni e Sicurezza Interna	イタリア国内情報保安庁（AISI）
Japan National Cyber Office (NCO) - 国家サイバー統括室	日本国家サイバー統括室（NCO）
Japan National Police Agency (NPA) - 警察庁	日本国家警察庁（NPA）
Netherlands Defence Intelligence and Security Service (MIVD) - Militaire Inlichtingen- en Veiligheidsdienst	オランダ国防情報保安局（MIVD）
Netherlands General Intelligence and Security Service (AIVD) - Algemene Inlichtingen- en Veiligheidsdienst	オランダ総合情報保安局（AIVD）
Polish Military Counterintelligence Service (SKW) - Służba Kontrwywiadu Wojskowego	ポーランド軍事対諜報局（SKW）
Polish Foreign Intelligence Agency (AW) - Agencja Wywiadu	ポーランド対外情報局（AW）
Spain National Intelligence Centre (CNI) - Centro Nacional de Inteligencia	スペイン国家情報センター（CNI）
The authoring agencies strongly urge network defenders to hunt for malicious activity and to apply the mitigations in this CSA to reduce the threat of Chinese state-sponsored and other malicious cyber activity.	作成機関は、ネットワーク防御担当者に、悪意のある活動を追跡し、本CSAに記載された緩和を適用して、中国国家が支援するその他の悪意のあるサイバー活動の脅威を軽減するよう強く促す。
Any mitigation or eviction measures listed within are subject to change as new information becomes available and ongoing coordinated operations dictate. Network defenders should ensure any actions taken in response to the CSA are compliant with local laws and regulations within the jurisdictions within which they operate.	記載されている緩和策や排除策は、新たな情報の入手や継続的な協調作戦の進展に伴い変更される可能性がある。ネットワーク防御担当者は、CSAへの対応として実施するあらゆる措置が、活動する管轄区域内の現地法規制に準拠していることを確認すべきである。
Background	背景
The APT actors have been performing malicious operations globally since at least 2021. These operations have been linked to multiple China-based entities, including at least Sichuan Juxinhe Network Technology Co. Ltd. (四川聚信和网络科技有限公司), Beijing Huanyu Tianqiong Information Technology Co., Ltd. (北京寰宇天穹信息技术有限公司), and Sichuan Zhixin Ruijie Network Technology Co., Ltd. (四川智信锐捷网络科技有限公司). These companies provide cyber-related products and services to China’s intelligence services, including multiple units in the People’s Liberation Army and Ministry of State Security. The data stolen through this activity against foreign telecommunications and Internet service providers (ISPs), as well as intrusions in the lodging and transportation sectors, ultimately can provide Chinese intelligence services with the capability to identify and track their targets’ communications and movements around the world.	このAPT攻撃グループは、少なくとも2021年以降、世界規模で悪意のある活動を展開している。これらの活動は、少なくとも四川聚信和網絡科技有限公司（四川Juxinhe Network Technology Co. Ltd.）、北京寰宇天穹信息技術有限公司（Beijing Huanyu Tianqiong Information Technology Co., Ltd.）、四川智信锐捷網絡科技有限公司（四川Zhixin Ruijie Network Technology Co., Ltd.）を含む複数の中国系事業体と関連付けられている。これらの企業は、中国人民解放軍や国家安全部の複数の部門を含む中国の諜報機関にサイバー関連製品・サービスを提供している。外国の通信事業者やインターネットサービスプロバイダー（ISP）に対する本活動で盗まれたデータ、および宿泊・運輸分野への侵入は、最終的に中国の諜報機関に、世界中の標的のコミュニケーションや移動を識別・追跡する能力を与える可能性がある。
For more information on PRC state-sponsored malicious cyber activity, see CISA’s People's Republic of China Cyber Threat Overview and Advisories webpage.	中華人民共和国による国家支援の悪意あるサイバー活動に関する詳細は、CISAの「中華人民共和国サイバー脅威概要およびアドバイザリ」ウェブページを参照のこと。
Download the PDF version of this report:	本報告書のPDF版をダウンロード：
CSA COUNTERING CHINA STATE ACTORS COMPROMISE OF NETWORKS(PDF, 1.20 MB )	CSA 中国国家機関のネットワーク侵害への対策 (PDF, 1.20 MB )
For a downloadable list of IOCs, visit:	IOCのダウンロード可能なリストはこちら：
AA25-239A Countering Chinese State Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System(JSON, 81.14 KB )	AA25-239A 中国国家支援アクターによる世界規模のネットワーク侵害対策（グローバル諜報システムへの情報供給目的）（JSON, 81.14 KB）
AA25-239A Countering Chinese State Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System(XML, 66.50 KB )	AA25-239A 中国国家支援アクターによる世界規模のネットワーク侵害対策（グローバル諜報システムへの情報供給目的）（XML, 66.50 KB）
Cybersecurity Industry Tracking	サイバーセキュリティ業界の追跡状況
The cybersecurity industry provides overlapping cyber threat intelligence, indicators of compromise (IOCs), and mitigation recommendations related to this Chinese state-sponsored cyber activity. While not all encompassing, the following are the most notable threat group names related to this activity and commonly used within the cybersecurity community:	サイバーセキュリティ業界は、この中国国家支援サイバー活動に関連するサイバー脅威インテリジェンス、侵害の指標（IOC）、および緩和推奨事項を重複してプロバイダしている。網羅的ではないが、この活動に関連しサイバーセキュリティコミュニティで一般的に使用される最も注目すべき脅威グループ名は以下の通りだ：
Salt Typhoon,	Salt Typhoon、
OPERATOR PANDA,	OPERATOR PANDA、
RedMike,	RedMike、
UNC5807, and	UNC5807、
GhostEmperor.	GhostEmperor
Note: Cybersecurity companies have different methods of tracking and attributing cyber actors, and this may not be a 1:1 correlation to the authoring agencies’ understanding for all activity related to these groupings.	注：サイバーセキュリティ企業はサイバーアクターの追跡・帰属手法が異なり、これらのグループに関連する全活動について、作成機関の見解と1対1で対応するとは限らない。

 

・[PDF]