2026年2月9日、シンガポール政府のサイバーセキュリティ庁(CSA)は、同国の主要な電気通信事業者4社を標的とした、中国と関連するサイバー脅威グループUNC3886による大規模なサイバー攻撃を公表しました。この攻撃は、国家の重要インフラを狙ったものであり、その詳細がこれまで秘密にされてきたことから、サイバーセキュリティコミュニティに大きな衝撃を与えています。
報道によると、UNC3886は「高度な持続的脅威(APT)グループ」とされ、その背後には中国政府の存在が指摘されています。彼らは、シンガポールのM1、SIMBA Telecom、Singtel、StarHubといった主要な通信事業者を対象に、周到に計画されたサイバースパイ活動を展開していました。この事態は、国家安全保障に関わる重大な脅威として、シンガポール政府に厳重な対応を促しました。
この攻撃の性質は、単なるデータ窃取に留まらず、国家の通信インフラに対する長期的なアクセスと情報収集を目的とした、戦略的な作戦であったことが示唆されています。CSAは、UNC3886が「意図的で、標的を絞り、綿密に計画されたキャンペーン」を展開したと説明しており、その手口の巧妙さと執拗さが浮き彫りになっています。
当初、2025年7月18日には、シンガポールの国家安全保障調整大臣K. シャンムガム氏が、UNC3886が国の重要インフラに対してサイバー攻撃を行っていると警告していましたが、国家安全保障上の理由から具体的な詳細は伏せられていました。今回のCSAの報告により、その全貌が明らかになり、シンガポールが直面していた脅威の深刻さが改めて認識されています。
「サイバーガーディアン」作戦:国家総力を挙げた防衛戦
UNC3886による脅威に対し、シンガポール政府は「オペレーション・サイバーガーディアン」と名付けられた大規模なサイバー防衛作戦を展開しました。この作戦は、2025年夏から2026年初頭にかけて約11ヶ月間にわたり実施され、同国史上最大かつ最長のサイバー脅威対策となりました。その規模と期間は、攻撃の複雑さと深刻さを物語っています。
作戦には、CSAと情報通信メディア開発庁(IMDA)を中心に、戦略情報通信技術センター(CSIT)、デジタル・インテリジェンス・サービス(DIS)、政府技術庁(GovTech)、国内治安局(ISD)を含む6つの政府機関から、100名を超えるサイバー防衛担当者が結集しました。彼らは、標的となった通信事業者と緊密に連携し、脅威の緩和と排除にあたりました。
この多機関にわたる協力体制は、国家レベルでのサイバー脅威に対するシンガポールの強固なコミットメントを示すものです。政府は、攻撃の詳細を秘密にすることで、国家安全保障を維持しつつ、水面下で徹底した対策を進めていたとされています。この秘密裏の作戦遂行が、被害の拡大を食い止める上で重要な役割を果たしました。
CSAは、この法執行機関による取り組みが成功し、UNC3886の攻撃が「他の場所でのサイバー攻撃のような損害の規模には至らなかった」と評価しています。これは、迅速かつ包括的な対応が功を奏した結果であり、シンガポールのサイバー防衛能力の高さを示す事例と言えるでしょう。
UNC3886の巧妙な手口:ゼロデイとルートキットの悪用
UNC3886は、その「深い能力」を持つ高度な持続的脅威グループとして知られ、シンガポールの通信事業者に対する攻撃において、極めて洗練された技術を駆使しました。調査により、彼らが意図的で標的を絞った、綿密に計画されたキャンペーンを展開していたことが明らかになっています。
攻撃の手口の一つとして、ハッキンググループはゼロデイエクスプロイトを悪用し、標的企業の境界ファイアウォールを迂回してネットワークへの初期アクセスを獲得しました。このゼロデイ脆弱性の具体的な詳細は公表されていませんが、未知の脆弱性を突くことで、既存のセキュリティ対策を突破する高度な能力を示しています。これにより、少量の技術データ、おそらくネットワーク関連のデータを外部に持ち出すことに成功しました。
さらに、UNC3886は、検出を回避し、ネットワーク内で長期的なアクセスを維持するために、ルートキットのような高度なツールを展開しました。ルートキットは、システムの深部に潜伏し、その存在を隠蔽することで、サイバー防衛担当者による発見を困難にします。CSAは、「これにより、サイバー防衛担当者がアクターの存在を検出することが困難になり、ネットワーク全体で包括的なセキュリティチェックを実施する必要があった」と述べています。
セキュリティ企業Sygniaは、2025年7月に「Fire Ant」と追跡する脅威クラスターによる長期的なサイバースパイ活動の詳細を公開しており、そのツールや標的の重複がUNC3886と共通していると指摘しています。UNC3886は、少なくとも2022年から活動していると評価されており、VMware ESXiやvCenter環境、ネットワークアプライアンス、さらにはJuniperルーターなどのエッジデバイスや仮想化技術を初期アクセスに利用することが知られています。
標的となった通信大手:M1からStarHubまでの全容
今回のサイバー攻撃の標的となったのは、シンガポールを代表する通信事業者であるM1、SIMBA Telecom、Singtel、そしてStarHubの4社全てでした。これらの企業は、シンガポールのデジタル経済と社会生活を支える基幹インフラであり、そのネットワークへの侵入は国家安全保障上、極めて重大な意味を持ちます。
UNC3886は、これらの通信事業者のネットワークおよびシステムの一部に不正アクセスすることに成功しました。CSAの報告によると、一部の重要システムの限定的な部分にまで到達したケースもあったとされています。しかし、政府の迅速な対応と通信事業者の協力により、最悪の事態は回避されました。
幸いにも、今回の攻撃によって通信サービスが中断されたり、顧客の個人情報や機密データがアクセスまたは外部に流出したという証拠は発見されていません。CSAは、「現時点では、顧客記録のような機密または個人データがアクセスまたは外部に流出したという証拠はない」と明言しており、サービスの中断も確認されていないと強調しています。
通信インフラは、国家の安全保障と経済的安定にとって不可欠な高価値の標的であり、国家支援型グループを含む高度な脅威アクターにとって常に狙われやすい存在です。過去には、2024年に中国と関連するVolt TyphoonグループがSingtelに侵入したとBloombergが報じた事例もあり、シンガポールの通信セクターが継続的に高度な脅威に晒されている実態が浮き彫りになっています。
謎に包まれた脅威アクターUNC3886のプロファイル
UNC3886は、その「高度に規律され、ステルス性の高い」国家支援型脅威アクターとして、サイバーセキュリティ業界で広く認識されています。少なくとも2022年以降活動しているとされ、その攻撃は特定の地域や産業に限定されず、世界中の戦略的組織を標的としています。
Googleは、UNC3886がJuniperルーターを含むネットワークインフラにカスタムバックドアを展開するキャンペーンに関与していると警告しています。また、FortinetやVMwareのシステム侵害にも関連付けられており、防衛、政府、テクノロジー、通信といった多岐にわたる組織がその標的となっています。これらの情報は、UNC3886が特定のベンダーの脆弱性を悪用する専門知識を持っていることを示唆しています。
Sygniaが追跡する「Fire Ant」とのツールや標的の重複は、UNC3886が複数の名称で知られる、あるいは関連するグループと協力関係にある可能性を示唆しています。彼らの手口は、エッジデバイスや仮想化技術を初期アクセスに利用するなど、高度な技術的知見に基づいています。これは、従来の防御策では見過ごされがちな領域を狙う、洗練された戦略を持っていることを意味します。
UNC3886の主な動機は、サイバースパイ活動による情報収集であると広く分析されています。彼らは、標的のネットワークに長期的に潜伏し、機密性の高い技術データや戦略的情報を窃取することを目的としています。今回のシンガポール通信事業者への攻撃も、この広範なサイバースパイ活動の一環として位置づけられるでしょう。
国家安全保障への影響と今後の警戒態勢
シンガポールの通信インフラに対するUNC3886の攻撃は、国家安全保障にとって極めて重要な意味を持ちます。通信ネットワークは、現代社会のあらゆる側面を支える生命線であり、その安定性と完全性が脅かされることは、経済活動、公共サービス、そして防衛能力に直接的な影響を及ぼします。
サイバーセキュリティ担当大臣のジョセフィン・テオ氏は、重要インフラ事業者に対し、「皆様の行動、あるいは不作為が、我々が重要インフラと国家安全保障を保護できるか否かを決定する」と強調し、システムのアップグレードと能力向上への継続的な投資を強く促しました。この発言は、官民連携によるサイバー防衛の重要性を改めて浮き彫りにしています。
今回の作戦「サイバーガーディアン」は、UNC3886のアクセスポイントを閉鎖し、標的となった通信事業者における監視能力を強化するなどの対策を講じることで、脅威を緩和することに成功しました。しかし、CSAは、通信事業者が「UNC3886によるネットワーク再侵入の新たな試みに対して警戒を怠らないこと」を求めており、脅威が完全に排除されたわけではないことを示唆しています。
国家支援型のアクターは、一度標的としたシステムへの再侵入を試みることが多く、その執拗な性質は常に警戒を必要とします。シンガポール政府は、今回の経験を教訓に、今後も通信インフラの防衛を最優先事項として位置づけ、継続的な投資と国際的な協力体制の強化を通じて、国家のサイバーレジリエンスを高めていく方針です。
サイバー防衛の最前線:多層的な対策と国際協力の重要性
UNC3886のような高度な脅威アクターに対抗するためには、単一の防御策に頼るのではなく、多層的かつ包括的なアプローチが不可欠であることが、今回の事例から改めて示されました。ゼロデイエクスプロイトやルートキットといった高度なツールを駆使する攻撃者に対しては、従来の境界防御だけでは不十分であり、より深いレベルでの検出と対応能力が求められます。
サイバー防衛担当者たちは、UNC3886がその痕跡を隠蔽し、検出を回避するために用いた高度なツールにより、アクターの存在を特定する上で大きな課題に直面しました。これに対処するためには、ネットワーク全体にわたる包括的なセキュリティチェックと、異常を早期に発見するための強化された監視体制が不可欠となります。今回の作戦では、これらの対策が迅速に実施され、攻撃者の動きを制限することに成功しました。
シンガポール政府は、今回の事件を受けて、通信事業者に対し、システムのアップグレードとサイバー防衛能力の継続的な強化を強く推奨しています。これには、最新の脅威インテリジェンスの活用、従業員のセキュリティ意識向上トレーニング、そしてインシデント発生時の迅速な対応計画の策定と実践が含まれるでしょう。重要インフラの保護は、技術的な側面だけでなく、組織全体の文化とプロセスに根ざした取り組みが不可欠です。
今回の事例は、国家レベルのサイバー脅威がもはや遠い国の話ではなく、現実の脅威として存在することを浮き彫りにしました。シンガポールが示した、政府機関と民間企業が一体となった大規模な防衛作戦は、同様の脅威に直面する他の国々にとっても貴重な教訓となるでしょう。国際的な情報共有と協力体制の強化が、今後ますます重要になると考えられます。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Singapore Takes Down Chinese Hackers Targeting Telco Networks - https://www.infosecurity-magazine.com/news/singapore-takes-down-china-hackers/
- -China-Linked UNC3886 Targets Singapore Telecom Sector in Cyber Espionage Campaign - https://thehackernews.com/2026/02/china-linked-unc3886-targets-singapore.html
- -Singapore says China-linked hackers targeted telecom providers in major spying campaign | The Record from Recorded Future News - https://therecord.media/singapore-attributes-telecoms-hacks-unc3886