シンガポールの通信ネットワークは、UNC3886として知られる中国系ハッカー(高度持続的脅威:APT)グループから重大なサイバー脅威に直面した。
この国家と関連する攻撃者は、M1、SIMBA Telecom、Singtel、StarHubの主要4社すべてを標的に、ネットワーク境界にあるルーターやファイアウォールなどのエッジデバイスに焦点を当てた攻撃キャンペーンを展開した。
この攻撃は、2025年7月18日にK・シャンムガム国家安全保障担当調整大臣によって初めて公に指摘され、最先端のツールを用いて侵入し、潜伏し続けた。
UNC3886のようなAPTは、高度な手口で防御を辛抱強く探るエリート級のハッカーである。
彼らが狙ったのは、インターネットトラフィックを処理し中核システムを接続する、通信ネットワークの「玄関口」であるエッジデバイスだ。ある重要な侵害では、ハッカーは境界ファイアウォールに存在したゼロデイ脆弱性(それまで未知だった欠陥)を悪用した。
これにより、エッジ防御をすり抜けて通信事業者のネットワークに侵入し、主にネットワーク図など、さらなる攻撃に役立つ少量の技術データを盗み出した。
エッジデバイスはオンライン上に露出しており、数百万人分のデータフローを管理するため、格好の標的となる。通信事業者は通話、インターネット、5G信号のルーティングにそれらを依存している。侵入後、UNC3886はルートキット(デバイスのOS深部に潜み自己を隠す悪意あるソフトウェア)を展開した。
ルートキットはシステムファイルを書き換え、アンチウイルスのスキャンを妨害し、ログを消去するため、検知が困難になる。防御側はフォレンジックツールでネットワーク全体を精査し、デバイス設定、ログ、トラフィックパターンを確認して侵害の兆候を探さざるを得なかった。
氏名や通話記録などの顧客データには触れられず、サービスも稼働を維持した。しかし、この侵害は、エッジデバイスがより深いハッキングの足掛かりとなり得て、障害の発生や国家規模の通信トラフィックの盗聴といったリスクを招くことを示した。
通信事業者はまず不審な活動を検知し、規制当局であるサイバーセキュリティ庁(CSA)および情報通信メディア開発庁(IMDA)に通報した。
これを受けて「オペレーション CYBER GUARDIAN」が開始され、シンガポール史上最大規模のサイバー対応となった。
11か月にわたり、CSA、IMDA、戦略情報通信技術センター(CSIT)、デジタル・インテリジェンス・サービス(DIS)、GovTech、内部保安局(ISD)から100人超の専門家が通信事業者と協力した。
目的は、ハッカーの封じ込め、脆弱箇所の修正、防御力の強化である。彼らはエッジデバイスを通じたUNC3886の侵入経路を特定し、盗まれた認証情報を無効化し、修正を展開した。
手法には、感染したルーターの隔離、共同のスレットハント(潜伏する敵を見つけるための能動的スキャン)、ペネトレーションテスト(弱点を見つけるための模擬攻撃)が含まれた。
監視は、異常なデータ流出などの兆候をリアルタイムで検知するAI駆動ツールにより、エッジトラフィックの監視を拡大した。
是正措置により侵入口は閉じられ、通信事業者はエッジのファームウェア、多要素認証、そして検証なしにいかなるデバイスも他を完全には信頼しないゼロトラストモデルを強化した。
この官民連携は、役割分担、迅速な対応、エコシステム全体での訓練という、シンガポールのサイバー・ドクトリンを体現している。
ジョセフィン・テオ大臣は最近のイベントで防御側を称賛し、インフラ所有者に対しUNC3886のような脅威に対抗するため「システムとスキルをアップグレードする」よう促した。
通信事業者はシンガポールのデジタル経済を支え、機微な通信フローを運んでいる。全面的な侵害が起きれば、安全保障や経済を麻痺させかねない。
UNC3886は再び攻撃を試みる可能性があり、そのためCSAとIMDAは、脅威インテリジェンスの共有、能力訓練、エコシステム施策といった能動的防御を推進している。通信事業者は現在、定期的なハントとテストを実施している。
テオ大臣が述べたように戦いは続いており、最前線での行動が、国家が高度な敵に勝つか負けるかを左右する。
翻訳元: https://cyberpress.org/chinese-hackers-target-edge/