概要:シンガポールの重要インフラが標的に
2026年2月10日、シンガポールの重要通信インフラが、中国と関連のあるハッカー集団による大規模なサイバー攻撃の標的となっていたことが明らかになりました。シンガポールサイバーセキュリティ庁(CSA)と情報通信開発庁(IMDA)は共同で、「オペレーション・サイバーガーディアン」と名付けられた11ヶ月に及ぶ大規模な対抗作戦の詳細を発表しました。
このキャンペーンは、シンガポールの主要な通信事業者であるシングテル、スターハブ、M1、SIMBAを狙ったもので、背後にはUNC3886という高度な持続的脅威(APT)グループが関与しているとされています。UNC3886は、その高い技術力と中国のサイバー諜報活動との関連性が指摘されており、シンガポールのデジタル経済を支えるネットワークへの侵入を企図していました。
技術的詳細:ゼロデイ攻撃とルートキットの悪用
調査によると、UNC3886は通信事業者の境界ファイアウォールを破るために、ゼロデイ脆弱性を悪用していました。ゼロデイエクスプロイトは、ベンダーに知られていないソフトウェアの脆弱性を突くため、初期侵入を防ぐためのパッチが存在しないことが特徴です。
ネットワークへの侵入後、ハッカーたちは高度なステルス技術を駆使して、数ヶ月にわたり検出を回避しました。彼らは、攻撃者に特権的なアクセスを許可しつつ、標準的なセキュリティツールからの自身の存在を隠蔽する悪意のあるソフトウェアであるルートキットを展開しました。これにより、標準的なセキュリティチェックでは発見が極めて困難な状態でシステム内に潜伏し続けたとされています。
注目すべきは、彼らが単純なフィッシングメールに頼るのではなく、ファイアウォールやルーターといったネットワークの境界に位置する「エッジデバイス」を標的にした点です。
オペレーション・サイバーガーディアンの成果
今回の侵害は、通信事業者によって最初に検出され、シンガポール政府全体の緊急対応を促しました。オペレーション・サイバーガーディアンには、CSA、デジタル・インテリジェンス・サービス(DIS)、国内治安局(ISD)を含む100名以上のサイバー防御担当者が参加し、侵害の封じ込めと攻撃者の動きの分析に注力しました。
UNC3886は少量の技術的なネットワークデータを外部に持ち出しましたが、これはさらなる攻撃のためのシステムマッピングが目的であったとみられています。しかし、この大規模な作戦により、被害は限定的なものにとどまりました。当局は以下の3つの重要な点を確認しています。
- サービス中断なし:インターネットおよび電話サービスの中断は発生しませんでした。
- データ漏洩なし:顧客の個人データや機密記録が盗まれたという証拠はありません。
- アクセス権の剥奪:防御側はセキュリティの抜け穴を閉じ、攻撃者をネットワークから完全に排除しました。
継続する脅威と今後の対策
オペレーション・サイバーガーディアンは成功を収めましたが、当局は脅威がこれで終わったわけではないと警告しています。通信ネットワークは、国家安全保障を損なうことを目的とした国家支援型のアクターにとって、依然として主要な標的です。
デジタル開発・情報大臣のジョセフィン・テオ氏は、防御担当者を称賛しつつも、現状に満足しないよう求めました。CSAは引き続き通信事業者と協力し、共同での脅威ハンティングや侵入テストを実施することで、攻撃者の手口が進化してもシンガポールの防御がそれを上回る速さで進化し続けるよう努めていく方針です。