シンガポール政府は、同国の4つの通信事業者を標的としていた、中国と関係があるとされるサイバー脅威グループUNC3886によるサイバー攻撃を阻止した。
「オペレーション・サイバー・ガーディアン」と名付けられた法執行機関の作戦は、2025年夏から2026年初頭にかけて実施されたが、これまで秘密にされていた。
シンガポールのサイバーセキュリティ庁(CSA)は、2026年2月9日に公開した報告書で、何が起きたのかを明らかにした。
シンガポール史上最大のサイバー脅威対策イニシアチブ
2025年7月18日、シンガポールの国家安全保障担当調整大臣であるK・シャンムガム氏は、中国政権と関連があるとされる高度持続的脅威(APT)グループUNC3886が、同国の重要インフラに対してサイバー攻撃を行っていると警告した。
攻撃の詳細は、シンガポールの国家安全保障を守るため、当時は非公表とされた。
最新の報告書でCSAは、4社の通信事業者が侵入を検知し、CSAおよび情報通信メディア開発庁(IMDA)に侵害を通知したと共有した。その後、2つの政府機関は迅速に、6機関にまたがる100人超のサイバー防衛要員からなるタスクフォースを結成し、通信事業者の脅威緩和を支援した。
オペレーション・サイバー・ガーディアンに関与した組織には、CSAとIMDAのほか、戦略情報通信技術センター(CSIT)、デジタル・インテリジェンス・サービス(DIS)、シンガポール政府技術庁(GovTech)、内務保安局(ISD)が含まれていた。
CSAは、オペレーション・サイバー・ガーディアンは11か月にわたって実施され、同国史上最大かつ最長のサイバー脅威対策の取り組みだったと説明した。
UNC3886によるシンガポール通信事業者へのサイバー攻撃の内幕
調査の結果、UNC3886が、M1、SIMBA Telecom、Singtel、StarHubを含むシンガポールの通信企業に対し、意図的で標的を絞った、周到に計画されたキャンペーンを展開していたことが示された。
ある事例では、ハッキンググループがゼロデイ脆弱性の悪用により、標的企業に設置されていた境界ファイアウォールを回避し、被害者のネットワークの一つにアクセスした。また、少量の技術データの持ち出しにも成功しており、脅威アクターの作戦目的を進めるための、ネットワーク関連データである可能性が高い。
別の事例では、UNC3886は rootkitなどの高度なツールを用いて、持続的なアクセスを維持し、痕跡を隠し、検知を回避した。
CSAは「これにより、防御側がアクターの存在を検知することが困難となり、防御側はネットワーク全体にわたる包括的なセキュリティチェックを実施する必要があった」と記した。
法執行の取り組みは成功し、UNC3886の攻撃は「他地域でのサイバー攻撃と同程度の被害には至っていない」とCSAは記した。
脅威アクターは通信事業者のネットワークおよびシステムの一部に不正アクセスできたものの、CSAは、通信サービスを妨害できたこと、または機微情報や個人データがアクセス・持ち出しされたことを示す証拠は見つからなかったとしている。
作戦に参加したサイバー防衛要員はその後、是正措置を実施し、UNC3886の侵入経路を遮断し、標的となった通信事業者における監視能力を拡充した。
しかしCSAは、通信事業者は「UNC3886がネットワークへ再侵入を試みる新たな動きに対して警戒を維持しなければならない」と述べた。
シンガポールのサイバーセキュリティ担当大臣であるジョセフィン・テオ氏は、重要インフラ運用者が果たす重要な役割を強調した。「皆さんの行動、あるいは不作為が、重要インフラと国家安全保障の防護に成功するか失敗するかを左右します。システムの更新と能力強化への投資を継続していただくよう、強くお願いします」と述べた。
翻訳元: https://www.infosecurity-magazine.com/news/singapore-takes-down-china-hackers/
