はじめに

シンガポールサイバーセキュリティ庁（CSA）は、中国関連のサイバースパイ集団「UNC3886」がシンガポールの通信業界を標的にした大規模なサイバースパイ活動を展開していたことを明らかにしました。CSAによると、シンガポールの主要な通信事業者4社（M1、SIMBA Telecom、Singtel、StarHub）すべてが攻撃の対象となりました。

UNC3886とは

UNC3886は、少なくとも2022年から活動している高度な持続的脅威（APT）グループと評価されています。このグループは、初期アクセスを得るためにエッジデバイスや仮想化技術を悪用することで知られています。2025年7月には、Sygnia社がUNC3886と重複するツールや標的を持つ「Fire Ant」という脅威グループによる長期的なサイバースパイ活動の詳細を公開しており、VMware ESXiやvCenter環境、ネットワークアプライアンスへの侵入が報告されています。

攻撃の詳細と影響

CSAは、UNC3886を「深い能力を持つ」APTと表現しており、通信事業者のシステムへのアクセスを確立するために高度なツールを展開したと述べています。あるケースでは、このグループはゼロデイエクスプロイトを悪用して境界ファイアウォールを迂回し、技術的なデータを窃取しました。別のケースでは、永続的なアクセスを確立し、痕跡を隠蔽するためにルートキットが展開されました。攻撃者によって一部の通信ネットワークやシステム（重要とみなされるものを含む）への不正アクセスがありましたが、サービスを中断するほど重大なものではなかったと評価されています。

シンガポール当局の対応

CSAは、この脅威に対抗し、攻撃者の通信ネットワーク内での動きを制限するために「CYBER GUARDIAN」と名付けられたサイバー作戦を実行しました。当局は、攻撃者によって顧客記録などの個人データが持ち出された証拠はなく、またインターネットサービスが遮断されたこともないと強調しています。サイバー防御担当者は、UNC3886のアクセスポイントを遮断し、標的となった通信事業者における監視能力を強化するなどの対策をすでに実施しています。

元記事: https://thehackernews.com/2026/02/china-linked-unc3886-targets-singapore.html