シンガポール主要通信4社が中国サイバースパイの標的に
2026年2月9日、シンガポールの主要通信サービスプロバイダー4社、Singtel、StarHub、M1、Simbaが、中国を拠点とする脅威アクター「UNC3886」によるサイバー攻撃を受けていたことが明らかになりました。この攻撃は昨年少なくとも一度発生しており、限定的なシステムアクセスを許したものの、サービスの中断や顧客データの盗難は確認されていません。
ゼロデイ脆弱性と高度な手口
シンガポールサイバーセキュリティ庁(CSA)の調査によると、UNC3886は「意図的かつ標的を絞った、周到に計画されたキャンペーン」を展開していました。攻撃者はゼロデイエクスプロイトを悪用して通信事業者の境界ファイアウォールを迂回し、偵察目的で技術データを窃取しました。また、別の侵入では、ステルス性を維持し長期的な永続化を目的としてルートキットを使用していたことも判明しています。
迅速な対応と被害の限定化
2025年7月にこれらの侵入が発覚した際、シンガポール政府は「オペレーション・サイバーガーディアン」を発動し、対応にあたりました。CSAと情報通信メディア開発庁(IMDA)は、通信事業者からの報告を受け、6つの政府機関から100人以上の調査官を動員。迅速な対応により、アクセスポイントの閉鎖、監視体制の強化が行われ、銀行、運輸、医療といった他の重要インフラセクターへの波及が阻止されました。デジタル開発情報大臣のジョセフィン・テオ氏は、「これまでのところ、UNC3886による攻撃は、他地域のサイバー攻撃ほどの被害をもたらしていません」と述べ、サイバー防御の重要性を強調しました。
UNC3886の背景と過去の活動
UNC3886は、Mandiantの研究者によって2023年から追跡されている脅威アクターで、政府機関、通信、テクノロジー企業を標的にしています。彼らは過去にFortiGateファイアウォール(CVE-2022-41328)、VMware ESXi(CVE-2023-20867)、VMware vCenter Server(CVE-2023-34048)のゼロデイ脆弱性を悪用したことが確認されています。
- 2024年後半には、中国と関連する「Salt Typhoon」として知られるハッカーが、米国の複数のブロードバンドプロバイダーを侵害し、法的なネットワーク盗聴システムの情報にアクセスしたことが報じられました。
- 2025年半ばには、カナダ政府も同じ脅威グループによる、Cisco IOS XEの脆弱性を悪用した通信事業者への侵入を発表しています。
シンガポールのケースでは、具体的にどのゼロデイ脆弱性が悪用されたかは公表されていませんが、UNC3886がその高度な攻撃能力を継続的に進化させていることが示されています。