2026.02.12
UNC3886によるサイバースパイ活動
FortinetとVMwareのゼロデイ脆弱性を悪用し、
シンガポールの通信セクターに侵入
シンガポールのサイバーセキュリティ庁(CSA)とMandiantの調査により、中国との関連が疑われる高度なサイバースパイグループ「UNC3886」が、シンガポールの通信大手4社(Singtel、StarHub、M1、SIMBA Telecom)を標的とした大規模な攻撃を行っていたことが明らかになりました。
この攻撃は約1年間にわたり検出されずに続いており、複数のゼロデイ脆弱性を駆使して、通信インフラへの持続的なアクセスを維持していました。
1. 攻撃の主な特徴
・標的: シンガポールの主要通信事業者(M1, SIMBA, Singtel, StarHub)。
・攻撃グループ: UNC3886(中国に関連するAPTグループ)。APT41(Salt Typhoon)との関連も指摘されています。
・目的: 顧客データへのアクセスやサービスの妨害ではなく、機密性の高い技術的なネットワークデータや認証情報の窃取が主目的。
2. 使用された技術と脆弱性(TTPs)
攻撃者は、以下の製品のゼロデイ脆弱性を組み合わせて初期侵入および横展開を行いました。
・Fortinet (FortiOS): CVE-2022-41328、CVE-2022-42475
・VMware (vCenter/Tools): CVE-2022-22948、CVE-2023-20867、CVE-2023-34048
また、検出を回避するために高度なマルウェアやルートキットを使用しています:
・REPTILE / MEDUSA: プロセスやネットワーク通信を隠蔽するLinux用ルートキット。
・MOPSLED / RIFLESPINE: 暗号化通信やGoogle DriveをC2サーバー(指令サーバー)として利用するカスタムバックドア。
・VMCIバックドア: ESXiホストとゲスト間でコマンドを実行する特殊なツール。
3. 被害状況と影響
・シンガポールの全主要通信事業者が侵入を受けましたが、現時点で顧客データの流出や通信障害は報告されていません。
・しかし、ネットワーク構成や管理インフラに関する詳細な技術情報が盗まれており、さらなる供給網攻撃(サプライチェーン攻撃)や長期的な盗聴の足がかりにされるリスクが懸念されています。
・同様の攻撃手法は、米国、カナダ、ノルウェーなどの通信・重要インフラでも確認されています。
4. 推奨される対策
・パッチ適用: FortinetおよびVMware製品を直ちに最新バージョンへ更新すること。
・監査: REPTILEやMEDUSAなどのルートキット、バックドア化されたSSHやTACACS+バイナリが存在しないか徹底的に調査すること。
・監視強化: GitHub、Google Drive、その他既知のC2サーバーへの不審な通信を監視すること。
解説
このレポートは、国家が関与する攻撃グループがいかに高度な技術(ゼロデイ攻撃やルートキット)を用いて、特定の国の重要インフラに深く潜伏するかを警告しています。特に、仮想化プラットフォーム(VMware)やネットワーク機器(Fortinet)の脆弱性を突くことで、従来のセキュリティソフトの目を盗んで活動する巧妙さが際立っています。