2025年7月、シンガポール政府が衝撃的な発表を行いました。中国政府との関連が疑われる高度持続的脅威(APT)グループ「UNC3886」による、国家重要インフラへの大規模サイバー攻撃が現在進行中であることを公式に認めたのです。
現役のCSIRT(Computer Security Incident Response Team)として数々のサイバー攻撃事案を調査してきた私が、今回の事件の深刻さと、企業・個人が今すぐ取るべき対策について詳しく解説します。
UNC3886とは何者か?国家支援型攻撃集団の正体
UNC3886は、2022年にセキュリティ企業Mandiantによって初めて報告された中国系のAPTグループです。「UNC」は「Unclassified(未分類)」の略で、まだ詳細が完全に解明されていない高度な攻撃集団であることを意味します。
このグループの特徴は以下の通りです:
- 国家支援型の可能性:中国政府との関連が強く疑われている
- 高度な技術力:ゼロデイ脆弱性やファームウェアレベルでの攻撃を実行
- 長期潜伏:数年間にわたって検出されずに活動を継続
- インフラ狙い:ネットワーク機器やルーターなどのインフラを標的とする
私がこれまでのフォレンジック調査で見てきた国家支援型攻撃の中でも、UNC3886の手口は特に巧妙で、検出が非常に困難です。
シンガポール攻撃の全貌|11の重要セクターが標的に
2025年7月18日、シンガポールのK・シャムガム内務・法務大臣が攻撃を公式に認めました。現在、以下のような重要インフラが攻撃対象となっています:
- エネルギーセクター(電力・ガス)
- 交通システム
- 医療機関
- 金融機関
- 通信インフラ
- 水道システム
- その他戦略的重要施設
シンガポールのサイバーセキュリティ庁(CSA)は現在も封じ込め作業を継続していますが、攻撃は完全に阻止されておらず、国家安全保障上の深刻な脅威として位置づけられています。
UNC3886の攻撃手法|なぜネットワーク機器を狙うのか
フォレンジック調査の現場で私が見てきた経験から言えば、UNC3886がネットワーク機器を狙う理由は明確です:
1. 監視の盲点を突く
多くの企業では、エンドポイント(PC・サーバー)のセキュリティには注力していますが、ルーターやファイアウォールなどのネットワーク機器の監視は手薄になりがちです。
2. 管理者権限の取得
ネットワーク機器を制御できれば、ネットワーク全体のトラフィックを監視・操作できるため、攻撃者にとって非常に価値が高い標的です。
3. 検出の困難性
ファームウェアレベルでの改ざんは、通常のセキュリティソフトでは検出が困難で、長期間の潜伏が可能になります。
実際の攻撃事例|Juniperルーターへのバックドア攻撃
Mandiantの報告によると、UNC3886は2024年にJuniper Networks製のJunos OSを搭載したルーターに対して、独自のバックドアを仕込んだ攻撃を実行しました。
攻撃の流れ
- EOL機器の選定:サポート終了したハードウェアを標的に選択
- Veriexec回避:Junos OSのファイル検証機能を迂回
- プロセスインジェクション:正規プロセスに悪意あるコードを注入
- TINYSHELLマルウェア展開:6種類の専用マルウェアを配置
私が過去に調査した類似事例では、このような攻撃を受けた企業は平均して18ヶ月間気づかずに被害を受け続けていました。被害額は中小企業でも数千万円、大企業では数億円に上ることも珍しくありません。
TINYSHELLマルウェアファミリーの脅威
UNC3886が使用する主要なマルウェアツール群:
- STEELHOUND:初期侵入用のバックドア
- BLOODHOUND:横展開と情報収集
- GREYHOUND:データ窃取専用
- REDHOUND:長期潜伏用
- BLUEHOUND:通信暗号化
- GOLDHOUND:証拠隠滅用
これらのマルウェアは正規のプロセス名を偽装し、既存のセキュリティ監視をすり抜けることを目的として設計されています。
企業が今すぐ実施すべき対策
CSIRTとしての経験から、以下の対策を強く推奨します:
即座に実施すべき対策
1. ネットワーク機器の棚卸しと脆弱性チェック
- 全てのルーター・スイッチ・ファイアウォールのインベントリ作成
- EOL(サポート終了)機器の特定と交換計画策定
- ファームウェアバージョンの確認と最新化
2. Webサイト脆弱性診断の実施
多くの企業が見落としがちですが、Webアプリケーションの脆弱性は攻撃者の主要な侵入経路の一つです。Webサイト脆弱性診断サービス
により、定期的な診断を実施することで、攻撃者の侵入を防ぐことができます。
3. エンドポイント保護の強化
個人・企業を問わず、アンチウイルスソフト
は必須です。特に、ランサムウェアやAPT攻撃に対応した高度な検出機能を持つソリューションを選択しましょう。
4. リモートアクセス時のセキュリティ強化
テレワークが常態化した現在、VPN
の使用は企業セキュリティの基本となっています。特に重要情報を扱う業務では、企業グレードのVPNサービスの導入が不可欠です。
中長期的な対策
1. ネットワーク監視体制の構築
- SIEM(Security Information and Event Management)の導入
- ネットワークトラフィックの異常検知
- 24時間体制でのログ監視
2. インシデント対応体制の整備
- CSIRT体制の構築
- インシデント対応手順書の策定
- 定期的な訓練の実施
3. サプライチェーン・リスク管理
- 取引先のセキュリティレベル評価
- 第三者リスク評価の実施
- 契約におけるセキュリティ条項の強化
個人ができるセキュリティ対策
国家レベルの攻撃と聞くと「個人には関係ない」と思われがちですが、実際にはAPTグループは個人も標的にします。私が調査した事例では、企業の重要人物の個人アカウントから侵入されたケースも多数あります。
基本的な個人向け対策
- 信頼できるアンチウイルスソフト
の導入:個人デバイスの保護は企業セキュリティの基盤です - VPN
の使用:公共Wi-Fi使用時や重要な通信時には必須
- パスワード管理の徹底:複雑なパスワードの使用と多要素認証の設定
- ソフトウェアの定期更新:OS、アプリケーション、ファームウェアの最新化
シンガポール事件が示唆する今後の脅威動向
今回のシンガポール攻撃は、以下のような重要な示唆を含んでいます:
1. 国家インフラへの直接攻撃の常態化
従来は機密情報の窃取が主目的でしたが、今後は重要インフラの機能停止や破壊を目的とした攻撃が増加すると予想されます。
2. サプライチェーン攻撃の高度化
信頼できるベンダーの製品であっても、攻撃者によって改ざんされるリスクが現実となっています。
3. 検出困難な攻撃手法の進化
ファームウェアレベルでの攻撃は、従来のセキュリティソリューションでは検出が困難で、新たな対策が求められています。
まとめ|今こそ包括的なセキュリティ対策を
UNC3886によるシンガポール攻撃は、現代のサイバー脅威がいかに高度化・複雑化しているかを如実に示しています。国家支援型攻撃集団の脅威は、もはや大企業や政府機関だけの問題ではなく、中小企業や個人にも直接的な影響を与える可能性があります。
現役CSIRTとしての経験から言えば、「完璧なセキュリティ」は存在しません。しかし、適切な対策を講じることで、攻撃のリスクを大幅に軽減し、被害を最小限に抑えることは可能です。
特に重要なのは:
– アンチウイルスソフト
による基本的な保護
– VPN
を活用したセキュアな通信
– Webサイト脆弱性診断サービス
による定期的なリスク評価
これらの対策を組み合わせることで、UNC3886のような高度な攻撃集団に対しても一定の防御力を確保できます。
サイバーセキュリティは「やられてから対策する」では遅すぎます。今回のシンガポール事件を他人事とせず、今すぐできる対策から始めることをお勧めします。
一次情報または関連リンク
Google Cloud – China Nexus Espionage Targets Juniper Routers
