【シンガポール】通信4社に未知の脆弱性で侵入、中国系ハッカーを11カ月かけて排除。日本キャリアも標的

📝 シンガポール政府、通信4社へのUNC3886侵入と11カ月の排除作戦を公表

シンガポールのサイバーセキュリティ庁（CSA）と通信メディア開発庁（IMDA）は2026年2月9日、同国内の主要通信事業者4社（Singtel、StarHub、M1、SIMBA Telecom）が中国系の高度持続的脅威（APT）アクター「UNC3886」による長期的なサイバー攻撃の標的となっていたと正式に発表した。

侵入活動は2025年7月18日にシャンムガム国家安全保障担当調整大臣が「重要インフラへの攻撃を検知した」と国会で明らかにした時点ですでに始まっていた。CSAはオペレーションのセキュリティを保つため詳細を伏せたまま、政府機関と民間企業を巻き込んだ大規模な排除作戦「Operation CYBER GUARDIAN」を進めていた。今回の発表でその作戦の全貌が初めて明かされた。

📰 CSA発表：ゼロデイで防火壁を突破、rootkitで長期潜伏した手口

元ネタ：Largest Multi-Agency Cyber Operation Mounted to Counter Threat Posed by APT Actor UNC3886（Cyber Security Agency of Singapore / 2026年2月9日）

UNC3886 had launched a deliberate, targeted, and well-planned campaign against Singapore’s telecommunications sector. All four of Singapore’s major telecommunications operators – M1, SIMBA Telecom, Singtel and StarHub – have been the target of attacks.

CSAの発表で明かされた侵入手口は二段構えだった。一つ目は未知の脆弱性（ゼロデイ）を突いて通信事業者の境界ファイアウォールを破る方法。攻撃者はネットワーク内部に入り込み、ネットワーク構成に関する技術データを少量ながら持ち出すことに成功している。二つ目はrootkitと呼ばれる隠匿型マルウェアを使って長期に潜伏し、痕跡を消しながら管理者権限を維持する方法だ。アンチウイルスソフトでは検知できない領域に潜むため、防御側は通信網全体を網羅的に点検するしかなかった。

「Cyber Guardian作戦」に投入されたのは、CSA、IMDA、戦略情報通信技術センター（CSIT）、デジタル・情報サービス（DIS）、政府テクノロジー庁（GovTech）、内部安全保障局（ISD）の6機関から100人超のサイバー防御要員だ。CSAはこれを「シンガポール史上、これまでに行われたサイバーインシデント対応の中で最大規模」と位置づけている。

🔥 4社全てが狙われた理由は「通信＝社会の神経網」、UNC3886は2022年から続く中国系APT

UNC3886はGoogle傘下のMandiantが2022年に初めて特定した中国系の国家関与型APTグループだ。Juniper Networks製ルーター、Fortinet製ファイアウォール、VMware vCenter／ESXiといったネットワーク機器の脆弱性を狙うのが特徴で、これらの機器は社内のパソコンやサーバーと違ってサイバーセキュリティツールの監視が届きにくい。攻撃者にとっては監視カメラの死角にあたる場所だ。

シンガポールの通信4社が一斉に狙われた背景には、通信ネットワークの構造的な役割がある。通信事業者は単独の企業ではなく、行政・医療・金融・物流・製造・クラウド・認証といったあらゆる業務基盤が依存する社会の神経網。CSAも声明で「テレコムは脅威アクターにとって戦略的な標的で、デジタル経済を支え、機密データを含む膨大な情報を運ぶ役割を担っている」と指摘している。攻撃者は通信網に潜むことで、通信会社そのものではなく、その先にいる利用者（政府、企業、軍事関係者）の情報を盗み出せる立場を確保しようとしたとみられる。

UNC3886の活動範囲は世界的だ。Mandiantの調査では米国とアジア太平洋地域の防衛・テクノロジー・通信業界が中心的な標的で、シンガポールに先立って米国、カナダ、ノルウェーでも同種の手口が観測されている。中国政府が組織的に行っているとされるサイバー諜報活動の一翼を担い、台湾有事を想定した事前配置（prepositioning）の一部とも分析されてきた。

🌏 現地報道の論調：政府×民間100人連携を評価、日本報道は技術詳細に集中

シンガポール現地メディアの論調は、攻撃そのものへの恐怖感よりも、政府と民間が一体で攻撃者を排除しきった点を評価する方向に寄っている。テオ・ジョセフィン デジタル開発・情報相は会見で防御要員に直接謝意を伝え、重要インフラ事業者に向けて「あなた方の行動、あるいは行動しないことが、重要インフラと国家安全保障を守れるかどうかを決める」と異例の強い言葉で投資継続を訴えた。被害が「他国の事例ほど深刻にはならなかった」点が政府の自己評価の核になっている。

4通信事業者は連名の声明で「DDoSやマルウェアによる攻撃を日常的に受けており、多層防御の仕組みで対応している」と述べた。シンガポール政府が「公的部門と民間部門の連携が国のサイバー防御ドクトリン」と説明したことを通信業界側が裏書きする構図になっている。

一方、日経・ITmedia・BCN（Yahooニュース）など日本語の報道は、政府×民間の連携よりも、UNC3886の技術的な手口（ゼロデイ悪用、rootkit潜伏、Juniper／Fortinet／VMware標的）の解説に重心を置いている。シンガポールでは「我々はこう守った」というガバナンスの物語として消費され、日本では「日本も同じ機器を使っている」という防御視点での消費になっている、と読める。

🇯🇵 NTT・KDDI・SoftBankが立つVMware/Fortinet/Juniperは同じ標的構造

日本の通信事業者にとって、この事件は他人事ではない。UNC3886が狙うネットワーク機器（VMware vCenter／ESXi、Fortinet FortiOS、Juniper Junos OS）は、日本のNTTドコモ・KDDI・SoftBank・楽天モバイルといった主要キャリアの基盤にも広く採用されている。Mandiantが「米国とアジア太平洋・日本（APJ）地域」を標的範囲として明言している以上、日本の通信網がすでにスキャンや探索の対象になっていると想定したほうがいい。

国内のセキュリティ事業者からは具体的な警鐘が出ている。アクロニス・ジャパンは2026年に公開した分析で「UNC3886によるシンガポール四大ISP侵入が示したもの」として、ネットワーク機器の境界に依存した防御の限界を指摘した。トレンドマイクロも国内向けに「UNC3886の戦術の再調査と防御策の検討」を公開し、ゼロデイ対応と仮想化基盤の継続監視を求めている。

制度面では、内閣サイバーセキュリティセンター（NISC）が能動的サイバー防御の枠組み整備を進めており、2025年に成立した法律で重要インフラ事業者への情報提供は強化された。ただ、Cyber Guardian作戦のような「11カ月にわたる多省庁横断の現場排除作戦」を日本で同じ規模で実施できる体制かは未知数だ。シンガポールはサイバー対応を国家ドクトリンとして明文化しているが、日本の重要インフラ防衛は所管省庁・事業者ごとに分散している。

🏁 11カ月という時間が示す現実：APTは検知できても排除に長くかかる

Cyber Guardian作戦が突きつけた最大の教訓は、APTは検知が困難なだけでなく、検知してからも完全に追い出すまでに長い時間と多くの人員を要するという現実だ。シンガポール政府は侵入を2025年7月の時点で把握していたが、排除を発表できたのは2026年2月、11カ月後。100人超の専門家を6機関から動員してもこの期間がかかった。

CSAは発表の末尾で「攻撃は終わっておらず、UNC3886が再侵入を試みる可能性に備える必要がある」と明言している。Cyber Guardian作戦の終了は防御の完了ではなく、新たな監視フェーズの始まりだ。重要インフラを抱える日本の通信・金融・行政にとっても、検知から排除までの時間軸を11カ月単位で見積もる前提に立てているか、組織体制・予算・要員の三方向で問い直す必要がある。

サイバーセキュリティ 組織を脅威から守る戦略・人材・インテリジェンス