~通信事業者への侵入ではなく、国家の情報基盤そのものを狙う攻撃として見るべき理由~
著者:杉山 吉寿 — アクロニス・ジャパン 脅威リサーチユニット(TRU)ソリューションズアーキテクト
2026年2月、シンガポール当局は、APTグループ「UNC3886」が同国の通信セクターに対して、意図的かつ継続的な侵入活動を行っていたことを公表しました。標的となったのは、Singtel、StarHub、M1、SIMBAという四大通信事業者です。当局は本件への対応として、11カ月以上にわたる大規模な共同対応「Operation CYBER GUARDIAN」を実施し、100人を超える防衛側人員を投入したと説明しています。これだけでも、本件が通常のサイバーインシデントとは性質の異なる、国家レベルで重大と判断された事案であったことが分かります。
まず強調したいのは、この攻撃が単に「通信会社を狙った」ものではないという点です。通信事業者は、インターネット接続、法人ネットワーク、各種サービス間の接続性など、いわば社会の神経網です。ここへの侵入は、単なる一企業への侵害ではなく、広範な情報流通の基盤そのものに足場を築こうとする動きと捉えるべきです。シンガポール当局も、通信事業者はデジタル経済を支え、大量の情報を運ぶ戦略的標的であると明言しています。
攻撃手法にも重要な示唆があります。シンガポール当局によれば、UNC3886はある事例でゼロデイ脆弱性を悪用して通信事業者の境界ファイアウォールを突破し、別の事例ではrootkitに類する高度なステルス技術を用いて長期潜伏と痕跡隠蔽を図っていました。ここから読み取れるのは、この攻撃者が一般的な端末感染を繰り返すタイプではなく、ネットワークの出入口や、機器の設定・認証・監視を担う管理系の領域のような、「見えにくいが極めて重要な層」を狙っているということです。派手に壊すのではなく、静かに入り、長く残り、必要な時に使える状態を維持する。そうした意図が明確に表れています。
この特徴は、Mandiantが2025年に公開したUNC3886の分析内容とも重なります。同社はUNC3886を中国系と関連があるスパイ活動グループと評価し、Juniperルーターへのカスタムバックドア展開、ログやフォレンジック痕跡の改ざん、正規認証情報の悪用、そして長期的な潜伏を重視する傾向を報告しています。つまり今回のシンガポール事案は、単発の偶発的侵入ではなく、このグループが以前から示してきた戦術の延長線上にあると考えるのが自然です。なお、中国側は関与を否定しており、属性判断は慎重であるべきですが、少なくとも「国家級の継続的脅威」として扱うべき性質である点は揺らぎません。
今回の発表で特に見落としてはならないのは、「少量の技術データが持ち出された」という点です。個人情報や顧客情報の大量流出が確認されていないからといって、影響が小さいと評価するのは危険です。技術データには、ネットワーク構成、機器情報、設定、管理経路、監視方法など、次の侵入や横展開に役立つ情報が含まれます。言い換えれば、金庫の中身ではなく、建物の設計図と警備体制を持ち出されたようなものです。短期的には静かでも、中長期的には次の攻撃精度を大きく高めるリスクがあります。
では、これを日本に置き換えるとどう見えるでしょうか。日本においても、通信は単独の業界ではありません。行政、医療、金融、物流、製造、クラウド接続、認証連携など、多くの業務基盤が通信事業者やその周辺ネットワークに依存しています。そのため、仮に同種の侵入が国内の大手通信事業者や関連する基盤で発生した場合、表面的には大規模障害が起きていなくても、閉域網やVPNの不安定化、クラウド接続の遅延、重要システムの管理情報流出、さらには将来の妨害に向けた足場化などの形で、社会全体に段階的に影響が広がる可能性があります。日本政府も重要インフラ防護において分野横断の相互依存性を重視しており、通信分野の侵害が通信分野だけにとどまらないことは明らかです。
今後の脅威トレンドとしても、本件は重要な示唆を与えています。APTは今後さらに、端末よりもルーター、ファイアウォール、VPN装置、仮想化基盤、認証基盤、運用管理サーバーといった「監視の薄い層」を狙う傾向を強めるでしょう。特に、EDRが入りにくいネットワーク機器やアプライアンスは、攻撃者にとって魅力的な足場になりやすい領域です。従来の「端末を守る」という発想だけでは、この種の脅威に対して防御の視界が不十分です。
そのため、対策も発想を一段引き上げる必要があります。ルーター、FW、VPN、vCenter、ESXi、認証基盤、管理サーバーをTier-0資産として扱い、管理系ネットワークの分離、特権IDの厳格管理、MFA、設定変更の監査、SyslogやNetFlowを含む監視強化、構成差分の検知、資格情報や証明書の迅速なローテーション、そして侵入後を前提とした脅威ハンティングを進めるべきです。パッチ適用だけでは不十分であり、長期潜伏やrootkitが疑われる場合には、調査・封じ込めに加え、信頼できる状態からの再構築まで視野に入れる必要があります。シンガポール当局が、アクセス経路の遮断、監視拡張、共同ハンティング、継続的な防御強化を進めているのは、その現実を踏まえているからです。
今回のUNC3886事案が示しているのは、通信インフラへの侵入は「事故」ではなく「布石」だということです。そしてその布石は、目立たず、静かで、後から効いてきます。だからこそ、防御側も端末中心の見方から離れ、ネットワーク基盤や管理機能まで含めて可視化し、官民・事業者横断で守る視点を持たなければなりません。通信は目立たない存在ですが、社会にとっては血流そのものです。その血流の設計図を読まれることを前提に備えることが、これからの防御には求められます。
Acronis について
Acronis は、2003 年にシンガポールで設立されたスイスの企業で、世界 15ヵ国にオフィスを構え、50ヵ国以上で従業員を雇用しています。Acronis Cyber Protect Cloud は、150の国の26の言語で提供されており、21,000を超えるサービスプロバイダーがこれを使って、750,000 以上の企業を保護しています。
