シンガポールは、当局が同国史上最大のサイバー防衛作戦と説明する取り組みの中で、中国と関係があると疑われる諜報グループを国内の通信ネットワークから排除するのに、ほぼ1年を費やした。
シンガポール・サイバーセキュリティ庁(CSA)は、APT(高度持続的脅威)「UNC3886」が主要4社すべての通信事業者のネットワークに潜伏していたと述べ、政府・軍・情報機関・産業界から100人超が参加する、11カ月に及ぶデジタル上の「立ち退き」作戦が行われたという。「オペレーション・サイバー・ガーディアン」と名付けられたこの一斉駆除では、国家機関と通信事業者のエンジニアが協力し、国の電話とデータの回線を稼働させたまま侵入者を排除した。
「ここ数カ月にわたる調査により、UNC3886がシンガポールの通信セクターに対して、意図的で標的を絞った、周到に計画されたキャンペーンを開始していたことが示されています」とCSAは述べた。
当局は北京を名指しで非難することは避けたが、UNC3886は長年、中国の国家と足並みをそろえたサイバー諜報活動と関連付けられてきた。このグループは、ユーザー端末への派手な侵入を避け、代わりにネットワーク基盤の地味だが多くを語る部分に忍び込み、トラフィックが静かに流れ、ほとんど誰も注意を払っていない場所に潜む傾向がある。
シンガポールの説明によれば、攻撃者は未知の欠陥を利用して境界防御をすり抜け、その後、通信システムの深部に潜んだまま隠れ続けられるカスタムのルートキットを用いて足場を固めた。当局は悪用された脆弱性を明らかにしなかったが、UNC3886は以前、FortiGateファイアウォール、VMware ESXi、VMware vCenter Serverのエンドポイントにおけるゼロデイ脆弱性を悪用していたことが確認されている。
調査当局は、この作戦の狙いは顧客記録の窃取や注目を集めかねない障害の発生ではなく、長期的な情報収集を支える可能性のある技術的なネットワーク情報を吸い上げることにあったとみている。
この手口は、近年の通信事業者を狙った諜報キャンペーンを追ってきた人にはおなじみだろう。この作戦は、2024年に発覚した中国支援の「Salt Typhoon」諜報キャンペーンと強い類似性があり、同様のインフラ層の手口を用いて複数国の通信事業者を標的にし、データや通信トラフィックを密かに監視していた。
こうしたアクセスが可能になるため、通信事業者の侵害は平均的なハッキングよりも大きな警鐘を鳴らしがちだ。通信事業者は政府通信、企業データ、消費者トラフィックの交差点に位置しており、ネットワークの把握、流れの監視、あるいは将来の情報作戦の布石を打とうとする国家にとって魅力的な標的となる。
シンガポールは、オペレーション・サイバー・ガーディアンを「これまでに実施した最大の協調的サイバーインシデント対応」と説明した。駆除作業には、侵害された機器の特定、攻撃者の侵入経路の遮断、脆弱性の修正、そして侵入者が単に戻ってくるのを防ぐための監視強化が含まれた。
シンガポールは、通信ネットワークが今後も主要な標的であり続けると警告し、事業者に対して高度な攻撃者がすでに防御を探っている前提で備えるよう促した。 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/02/10/singapore_telco_espionage/
