アクロニス、シンガポールにおける4大通信事業者への侵入活動に潜む危険性について公式ブログで紹介
アクロニス・ジャパンは3月16日に、「UNC3886によるシンガポール四大ISP侵入が示したもの」と題した調査ブログを公開した。
通信インフラが狙われた理由
同ブログでは、シンガポール当局が2月に公表した、APTグループ「UNC3886」によるシンガポール国内の通信セクターに対する、意図的かつ継続的な侵入活動について取り上げている。
侵入の標的となったのは、シンガポールの4大通信事業者であるSingtel、StarHub、M1、SIMBAで、当局は同件への対応として11カ月以上にわたる大規模な共同対応「Operation CYBER GUARDIAN」を実施して、100人超の防衛側人員を投入した。
アクロニス・ジャパンは、この侵入活動が単なる「通信会社を狙った」ものではないと指摘する。インターネット接続、法人ネットワーク、各種サービス間の接続性といった、社会の神経網を担う通信事業者への侵入は、単なる一企業への侵害ではなく、広範な情報流通の基盤そのものに足場を築こうとする動きと捉えるべき、と訴える。
シンガポール当局によれば、「UNC3886」はある事例でゼロデイ脆弱性を悪用して通信事業者の境界ファイアウォールを突破し、別の事例ではrootkitに類する高度なステルス技術を用いて長期潜伏と痕跡隠蔽を図っていたという。この事例から、「UNC3886」は一般的な端末感染を繰り返すタイプではなく、ネットワークの出入口や、機器の設定・認証・監視を担う管理系の領域のような、「見えにくいが極めて重要な層」を狙っていることがうかがえる。
こういった特徴は、Mandiantが2025年に公開した「UNC3886」の分析内容とも重なる。同社は、「UNC3886」を中国系と関連があるスパイ活動グループとみなしており、Juniperルーターへのカスタムバックドア展開、ログやフォレンジック痕跡の改ざん、正規認証情報の悪用、長期的な潜伏を重視する傾向を報告している。
これらを踏まえて同ブログでは、今回のシンガポールにおける事案は単発の偶発的侵入ではなく、「UNC3886」が以前から示してきた戦術の延長線上にあると予測する。中国側は「UNC3886」への関与を否定しているものの、少なくとも「UNC3886」によるシンガポールの通信事業者への侵入活動は、「国家級の継続的脅威」として扱うべきと述べた。
日本においても、行政、医療、金融、物流、製造、クラウド接続、認証連携といった多くの業務基盤が、通信事業者やその周辺ネットワークに依存している。そのため、仮に同種の侵入が国内の大手通信事業者や関連する基盤で発生した場合、表面的には大規模障害が起きていなくても、閉域網やVPNの不安定化、クラウド接続の遅延、重要システムの管理情報流出、さらには将来の妨害に向けた足場化といった形で、社会全体に段階的に影響が広がる可能性を指摘する。
今回のシンガポールにおける事例を受けて、同ブログではルーター、ファイアウォール、VPN、vCenter、ESXi、認証基盤、管理サーバーをTier-0資産として扱い、管理系ネットワークの分離、特権IDの厳格管理、MFA、設定変更の監査、SyslogやNetFlowを含む監視強化、構成差分の検知、資格情報や証明書の迅速なローテーション、侵入後を前提とした脅威ハンティングを進めることを求めている。
あわせて、パッチ適用だけでは不十分であり、長期潜伏やrootkitが疑われる場合には、調査・封じ込めとともに、信頼できる状態からの再構築までを視野に入れる必要性を指摘した。
