FCCがSalt Typhoon後の通信セキュリティ規則を撤廃—ガバナンスの空白が国家支援型侵入の再発リスクを押し上げます

今日の深掘りポイント

• 何が起きたか: 米FCCが、Salt Typhoonのスパイ活動を受けて導入した通信向けサイバーセキュリティ規則を撤廃しました。業界の自発的対策を理由に挙げた判断ですが、次の侵害時に「どの水準をもって十分とみなすか」の測定軸が消え、アカウンタビリティの空白が生まれます。
• なぜ重要か: Salt/Volt Typhoon系の脅威は「ローノイズでの事前潜伏」を志向するため、強制的なベースラインがない環境では、攻撃者に有利な時間が生まれやすい構造です。小規模キャリアほどガバナンス・実装能力の格差が顕在化します。
• 地政学的含意: 通信は有事の初動抑止や世論戦の基盤です。国家レベルの防御標準が後退すると、PRC系アクターの事前配置・攪乱のコストが相対的に下がる可能性があります（推測）。
• 現場の読み替え: 「ルール撤廃＝即リスク上昇」ではなく、「第三者検証の不在」が中長期の検出・是正サイクルを弱体化させることが本質です。行動可能性は中程度ですが、測定指標を自社で定義・契約に織り込むことで、実効性を担保できます。
• すぐにやるべきこと: OAM（運用・保守）ネットワークのゼロトラスト化、ベンダー/下請けのリモートアクセス抑制、生活型TTP（Living-off-the-Land）に特化したハント運用の常設化、対向事業者とのセキュリティ付帯条項の更新です。

はじめに

米連邦通信委員会（FCC）が、Salt Typhoonのスパイ活動を受けて導入した通信向けのサイバーセキュリティ規則を撤廃しました。報道によれば、通信事業者が自発的にリスクに対処しているという判断が根拠とされる一方、次の侵害が生じた際に「基準未整備ゆえに責任追及や是正措置が空文化する」懸念が指摘されています。The Registerの報道が一次情報の起点です。

Salt Typhoonに関連する脅威は、Five Eyesや米CISAが「Volt Typhoon」として警告してきた一連の活動と性質が重なります。これらは在来型マルウェアよりも管理ツールの悪用や正規アカウントの乗っ取りを多用し、検知の遅延を狙う戦術が特徴です。CISAの共同勧告は、米国の重要インフラに対する「目立たない事前配置」への警戒を促してきました。CISA共同勧告（AA23-144A）を参照ください。

本稿では、規則撤廃がセキュリティ・ガバナンスとオペレーションに生むギャップを分解し、MITRE ATT&CKに基づく脅威シナリオ、そして即応可能な実務アクションを提示します。

深掘り詳細

事実関係（確認できる一次情報）

• FCCの判断: Salt Typhoon事案後に導入した通信向けのサイバー規則を撤廃。理由として「事業者の自発的対策の進展」を挙げる一方、反対意見や将来の侵害時の評価基準の不在が懸念点として報じられています。The Register
• 脅威の性質: CISAらは、中国支援とされるアクターによる「Living-off-the-Land（LoL）」戦術、正規アカウントの悪用、ネットワーク機器・SOHOルータの踏み台化などを含む長期潜伏を警告しています。CISA AA23-144A
• 業界構造: 規則撤廃は、規模が小さい通信事業者にとって、投資・人材面でのベースライン維持が相対的に難しくなる可能性があると報じられています。The Register

インサイト（政策と運用のギャップ）

• ベースラインの「第三者性」が失われる問題です。成熟した大手はNIST CSF 2.0やCISAのCross-Sector Performance Goals（CPG）に準拠した内製ガバナンスへ移行できますが、小規模事業者は「自発的取組」の名の下で後回しにしがちです。結果として、脆弱な対向キャリアや下請け経由の侵入面が拡大します。規則ではなくとも、共同運用・相互接続・ローミング・保守委託の契約に「検証可能な最低要件」を埋め込むことが、規制の空白を補う現実解になります。
• LoL戦術主体の脅威は「署名での検知」をすり抜けます。規則の有無より、運用上の測定と監査の質（観測点・相関・テレメトリの保持期間）が勝負を分けます。規則撤廃が直ちに侵入増へ直結するわけではありませんが、検出遅延と是正力低下という「時間の不利」を招きやすいです。
• 地政学的には「制度で縛る」から「市場と契約で担保する」への軌道修正に見えます（推測）。有事における通信の可用性・信頼性は抑止の一部であり、国家が規範設定を後退させるシグナルは、対抗側のコスト計算に影響する可能性があります（推測）。

メトリクスの読み解き（総合考察）

報道に付随する指標は、再発可能性の高さと即時性が示唆される一方で、現場のアクション化は中程度という含意に見えます。これは、技術的な手当（ゼロトラスト化、ログ整備、ハンティング）自体は実行可能でも、「標準の不在」が投資優先度や第三者検証の格付けを鈍らせるためです。よって、組織内メトリクスを「結果指標（アウトカム）」に寄せることが重要です。例として以下が有効です。

• OAMネットワークに対する不審なPowerShell/WMI横移動のMTTD/MTTR
• ベンダー経由の特権ログオン比率とJIT/PAM適用率
• 管理平面（コアルータ/OLT/5GC）への設定変更の多重承認率と変更から完全ロールバックまでの所要時間
• 動的ASN（家庭系回線）宛の管理系トラフィック検知の週次発生率

これらは規制の有無に依存せず、社内で改善サイクルを回せる設計です。

脅威シナリオと影響

以下はMITRE ATT&CKに沿って想定する仮説シナリオです（シナリオであり、断定ではありません）。

• シナリオ1: OAMネットワークへの事前潜伏と障害誘発

  • 初期侵入: サプライヤ/下請けのVPN/Jumpサーバ経由のValid Accounts悪用（T1078）
  • 実行/横移動: PowerShell（T1059.001）、WMI（T1047）、Remote Services（T1021）
  • 永続化/防御回避: スケジュールタスク（T1053）、ログ抑止（T1562）
  • 発見/影響: ネットワーク機器の設定変更を通じた限定的DoSやトラフィック迂回（T1498, T1565.001）
  • 影響: 有事の際のコアルート切替遅延、地域的輻輳、緊急通報ルーティングの品質低下

• シナリオ2: CDR/位置情報メタデータの静穏な取得

  • 初期侵入: 業務端末へのスピアフィッシング後の認証情報搾取（T1566, T1003）
  • 機微データ探索/収集: データベース探索（T1087/T1039相当）、ETL環境への横移動
  • 流通: 住宅系プロキシやSOHOルータ踏み台を使った低帯域C2（T1090, T1105）
  • 影響: 継続的な動態把握、摘発回避に寄与する匿名化経路の確保

• シナリオ3: SOHOルータ群の踏み台化を介したキャリア網への偵察

  • 初期侵入: 既知脆弱性のエクスプロイト/デフォルトクレデンシャル（T1190, T1110）
  • 偵察/横移動: 管理インタフェースへのパススルー、SNMP/Netconfの探索（T1046）
  • 影響: 監視の視認性低下、ログ希薄帯の経由による追跡困難化

CISAの共同勧告は、上記のようなLoL戦術およびSOHO機器悪用を継続的に警告しています。CISA AA23-144A

セキュリティ担当者のアクション

• ガバナンスと契約

  • 対向キャリア、ローミング、ピアリング、保守委託の各契約にセキュリティ付帯条項を追加し、NIST CSF 2.0準拠とCISA CPGの達成証跡（監査報告/ペネトレ結果/是正計画）を義務づけます。NIST CSF 2.0、CISA CPG
  • リモート運用の境界制御（ソースASN制限、住宅系回線の禁止、JIT/PAM必須、強制録画）を契約に明文化します。

• OAMネットワークの強化

  • 管理平面の分離（Out-of-Band + SDN分離）と双方向フィルタ（Allowlist/東西遮断）を徹底します。
  • 構成変更は多重承認＋即時テレメトリ検証＋自動ロールバックを標準化します。
  • ベンダー境界の跳躍検知（境界越えのRDP/SMB/WinRMの相関）をルール化します。

• 検知・ハンティング（LoL特化）

  • PowerShellのEncodedCommand、WMI経由プロセス起動、各種管理ツール（esentutl、rundll32、schtasksなど）の異常連鎖を継続ハントします（T1059.001, T1047, LoLBins系）。
  • 監査ポリシーの最小集合: 4688/4689（プロセス作成/終了）、4624/4625（ログオン）、4672（特権付与）、4776（NTLM）、4688にParent/CommandLineを必須化。ネットワークはNetFlow + DNSログを管理系と突合します。
  • 宛先ASNが住宅系・動的プールのC2/プロキシ検知を週次でレビューします（CISAが指摘するSOHO悪用の回避策）。

• アクセス管理

  • すべての管理者操作をJIT/PAM化し、物理鍵/スマートカード/ハードウェアFIDOの2要素を必須化します。特権セッションは記録とコマンド監査を標準化します。
  • サービスアカウントのキーローテーションを自動化し、スコープ縮小と使用状況可視化を行います（T1078対策）。

• レジリエンス演習と測定

  • 「事前潜伏前提」のインシデント演習を四半期実施し、管理平面のKill Switch（信頼できる最小経路への切替、即時ログ採取）を秒単位で検証します。
  • 先述のアウトカム指標（MTTD/MTTR、特権ログオン比率、設定変更の承認率/ロールバック時間）をKPIに昇格し、経営レベルでレビューします。

• 小規模キャリアへの配慮

  • MSSP/MDRの共同調達、セクタ横断のテレメトリ共有を推進し、規模の経済で検知品質を引き上げます。相互監査/レッドチームの共同実施も有効です。

• 日本の組織への波及配慮

  • 米国の規制が緩む局面では、相互接続や海外拠点を経由したリスクが相対的に上がります。国際回線、海底ケーブル陸揚げ、グローバルMNO/MVNO接続の契約再点検を優先度高で実施します。
  • 国内では、総務省/NICT系のフレームワークに加え、NIST CSF 2.0/ CISA CPGの対訳マッピングを用意し、海外対向にも通用する第三者性を確保します。

参考情報

• The Register: FCC rescinds Salt Typhoon-era telecom cybersecurity rules（2025-11-24）: https://www.theregister.com/2025/11/24/fcc_salt_typhoon_rules/
• CISA共同勧告（AA23-144A）PRC State-Sponsored Actor Living off the Land: https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-144a
• NIST Cybersecurity Framework 2.0: https://www.nist.gov/cyberframework
• CISA Cross-Sector Cybersecurity Performance Goals: https://www.cisa.gov/resources-tools/resources/cpg
• MITRE ATT&CK（Enterprise）: https://attack.mitre.org/