2025年7月18日、シンガポールの主要通信事業者4社(Singtel、StarHub、M1、SIMBA)を標的とする攻撃が検知され、同国の当局と事業者は11カ月超にわたる大規模な対処に踏み切った。シンガポール・サイバーセキュリティ庁(CSA)は2026年2月9日、この作戦を「Operation CYBER GUARDIAN」として公表し、攻撃主体を中国系APTとして追跡されるUNC3886であると明示した。

本稿は、公開情報(一次情報を優先)に基づき、(1) 何が起きたのか、(2) なぜ通信インフラが狙われたのか、(3) 国家レベルのサイバー防衛が「実装」になる条件は何か、を整理する。なお、CSAは現時点で「顧客個人情報のアクセス/流出」や「通信サービスの妨害」を示す証拠はないとしつつ、国家安全保障上の観点から詳細の一部は非公開であり、調査継続中である点も強調している。したがって、断定できない技術詳細は推測として扱わない。

1. 事件概要: 4社同時標的と11カ月超の国家防衛作戦

CSAの公表によれば、侵害は2025年7月18日に「疑わしい活動」として検知され、通信事業者が情報通信メディア開発庁(IMDA)とCSAへ通報した。CSAは、同時期に複数の通信ネットワークが標的となっていた点を重く見て、国家規模の防衛作戦としてOperation CYBER GUARDIANを立ち上げた。

同作戦には、政府機関と産業パートナーを含む6機関以上、100名超のサイバー防衛要員が参加し、11カ月超にわたり調査・封じ込め・駆除・監視の工程を継続した。CSAは、侵入に用いられた手段として「高度なゼロデイ脆弱性」を挙げ、ゼロデイ悪用で通信事業者の境界ファイアウォールを迂回し、ネットワークに侵入した事例があったとしている。また、別の事例ではrootkit等を用いて永続化し、痕跡隠蔽と検知回避を図ったとしている。

2026年2月9日時点の公表では、サービス停止等の影響は確認されていないとされる一方、国家安全保障上の重大性(通信は社会基盤であり、危機時の指揮通信に直結する)を理由に、詳細の一部は公開されていない。ここに「国家レベルの防衛作戦」特有のトレードオフがある。

2. UNC3886の戦術像: 境界突破後に「見えない持続性」を作る

UNC3886は、長期潜伏と高度な運用規律で知られる中国系の脅威クラスタであり、特に「境界機器や仮想化基盤など、運用上の死角になりやすい層」へ寄生することで、検知と駆除を困難化させる傾向が報告されている。Google Cloud(Mandiant)も、UNC3886がネットワーク機器・仮想化技術・認証サービス等を足場にし、被害者環境で高い隠密性を維持する手口を継続的に追跡している。

通信インフラ侵害における要点は、「侵入そのもの」より「侵入後の居座り」である。具体的には次の設計思想である。

  • 境界での初期侵入: CSAはゼロデイ脆弱性の悪用を明言しており、境界防御の一点突破で内部に侵入された可能性が高い。
  • 高権限の横展開: 通信網は運用自動化と高可用性を重視するため、運用者・装置・監視基盤の権限設計が「動くために強い」構造になりやすい。攻撃者はここを狙う。
  • ステルスな永続化: ルートキット等、OSや装置の観測点そのものを欺く技術は、単発の侵害を「持続的な能力」へ変換する。公表情報では詳細非公開だが、通信のような常時運用インフラでは特に致命的である。

重要なのは、これらが単なるTTPの列挙ではなく「防御設計の盲点に最適化された攻撃」である点だ。したがって、防御側も“ツール導入”ではなく“設計原則”の更新が必要になる。

3. Operation CYBER GUARDIANが示した国家サイバー防衛の実装条件

サイバー防衛は、平時は分散し、危機時に統合される。Operation CYBER GUARDIANは、その統合が機能するための前提条件を示す事例である。CSAの説明から読み取れる要点は以下である。

  • 共同インシデント対応の常設化: 単発の支援ではなく、11カ月超の長期作戦として「調査・駆除・再侵入監視」を回し続けた。持続戦に耐える体制がある。
  • 官民の“データ接続”: 通信事業者の検知、IMDA/CSAへの通報、複数機関での解析という流れは、ログ・テレメトリ・フォレンジックの共有設計が存在することを示唆する。
  • 公開と非公開の切り分け: 国家安全保障に関わるため、技術詳細の全面公開は行われない。一方で、攻撃主体(UNC3886)や重大性は明示し、産業全体へ警戒を促す。

国家サイバー防衛の“実装”とは、演習や宣言ではなく、複数組織が同時に「同じタイムライン」「同じ証跡」「同じ優先順位」で動ける状態である。これは、平時の投資(標準化、法制度、訓練、接続性)によってのみ成立する。

4. 通信インフラ防御の設計原則: 侵害前提で“壊れにくい”通信を作る

通信事業者のネットワークは、国家・経済の基盤であると同時に、攻撃者にとっては「広域監視」「認証の中継」「危機時の混乱誘発」という価値を持つ。したがって、防御は“侵害をゼロにする”ではなく、“侵害されても破局を起こさない”が目的関数となる。実務上の設計原則は次のとおりである。

  • 境界機器のゼロトラスト化: 境界は突破されうる。管理面(管理プレーン)の到達性を最小化し、特権操作は強要素認証・短命クレデンシャル・厳格な承認フローに寄せる。
  • セグメンテーションの再定義: 物理/論理の分離だけでなく、「運用の流れ(自動化、監視、アップデート)」を含めて分離する。運用系が侵害されると、復旧操作自体が攻撃面になる。
  • 可観測性の“独立系”確保: 侵害された装置が出すログは信用できない。別経路のネットワークテレメトリ、外部監査用の検知基盤、改ざん耐性のあるログ保全が必要である。
  • 駆除を前提にした復旧設計: ルートキット級の永続化が疑われる場合、クリーンルーム復旧、イメージ再構築、鍵のローテーションを“作業手順”ではなく“設計要件”として組み込む。
  • 共同対処のためのプロトコル: 事業者単体で完結しない。通報基準、証跡の粒度、機密区分、支援受け入れ手順を事前に揃えることで、危機時の立ち上がりが決まる。

これらは新奇な提案ではないが、今回のように国家が「複数の通信ネットワークが同時に標的」と明言する状況では、机上のベストプラクティスが“現実の制約下で実装されているか”が問われる。

5. 教訓: 事業者・規制当局・重要インフラ利用者が取るべきチェックリスト

Operation CYBER GUARDIANの最大の教訓は、「攻撃が高度である」ことよりも、「重要インフラは“同時多発”として来る」ことである。通信は単体でも重大だが、同時に狙われれば代替経路や相互バックアップも脆くなる。以下は、国内の通信事業者に限らず、重要インフラ全般が採用すべき最小チェックである。

  • 境界機器・仮想化基盤・管理ネットワークを“最優先資産”として脅威モデリングしているか。
  • ゼロデイ前提で、代替検知(ネットワーク観測、挙動監視、改ざん耐性ログ)を持つか。
  • 特権IDの棚卸しと、緊急時の特権操作(break-glass)を監査可能な形で設計しているか。
  • クリーン復旧(再構築・鍵更新・設定の宣言的管理)を演習し、所要時間を計測しているか。
  • 官民連携の接続点(通報、支援要請、情報共有)を“担当者依存”ではなく制度・運用として固定しているか。

今回の公表(2026年2月9日)は、攻撃者に関する技術詳細よりも、国家の防衛作戦を前面に出した。これは、通信インフラの防御が「個社のセキュリティ」ではなく「国家機能の冗長性」であることを示す。日本においても、重要インフラのセキュリティ投資は“コンプライアンス”から“防衛力”へと評価軸を移す必要がある。

FAQ

Operation CYBER GUARDIANとは何か?

シンガポール当局が、主要通信事業者4社に対する同時侵害への対処として実施した国家規模のサイバー防衛作戦である。CSAの公表によれば、6機関以上・100名超が参加し、11カ月超にわたり調査と駆除を行った。

UNC3886とはどのような攻撃者グループか?

中国系APTとして追跡される脅威クラスタである。公開レポートでは、境界機器や仮想化基盤など“運用上の死角”に寄生し、長期潜伏と高い隠密性を維持する傾向が指摘されている。

通信インフラが狙われると何が危険か?

広域の盗聴・監視、認証や運用の中継点の乗っ取り、危機時の指揮通信への干渉など、国家安全保障と経済活動の双方に影響しうる。単発の侵害より、同時多発で標的になる点が特にリスクを増幅させる。

ゼロデイに対して現実的な防御はあるのか?

パッチ前提の防御だけでは不十分である。境界突破を前提に、代替検知(ネットワーク観測、挙動監視、改ざん耐性ログ)と、特権操作の最小化・監査可能性の強化、クリーン復旧を組み合わせて“破局を防ぐ”設計を行う必要がある。

国家サイバー防衛で最も重要な投資は何か?

危機時に組織間が同じタイムラインで動けるための接続性である。通報・証跡共有・機密区分・支援受け入れのプロトコルを平時に整備し、訓練と計測で実装度を上げることが、結果として侵害の被害半径を縮小する。

参考文献