1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. ハッカー集団・脅威アクターに関する動向
  5. 中国系APTグループUNC3886がシンガポール重要インフラへサイバー攻撃

中国系APTグループUNC3886がシンガポール重要インフラへサイバー攻撃

セキュリティニュース

投稿日時: 更新日時:

中国系APTグループUNC3886がシンガポール重要インフラへサイバー攻撃

2025年7月、シンガポール政府は国家規模のサイバー攻撃を受けていることを公表しました。攻撃の背後にいるのは、中国政府と関係があるとされる高度持続的脅威(APT)グループ「UNC3886」です。国内重要インフラに対するこの攻撃は現在も進行中であり、国家安全保障にとって重大な脅威と位置づけられています。

シンガポール政府の警告とCSAの対応

2025年7月18日、シンガポール内務・法務大臣K・シャムガム氏は、UNC3886による国家重要インフラへのサイバー攻撃を公に認めました。

「現在進行形で我が国の重要インフラが攻撃を受けている。これは国家安全保障に関わる深刻な脅威である」と述べ、攻撃の対象が戦略的価値の高い分野であることを強調しました。

シンガポールのサイバーセキュリティ庁(CSA)はUNC3886による活動の存在を確認し、

現在11の重要サービスセクター(例:エネルギー、交通、医療、金融など)に対し監視と封じ込め対策を実施しています。影響を受けた具体的な部門については、作戦上の理由から非公表とされています。

UNC3886とは

UNC3886は、2022年にMandiantによって初めて報告された中国系のAPTグループで、未分類(UNC: Unclassified)ながらも高度なサイバー攻撃能力を持つことで知られています。

このグループは主に以下の特徴を持ちます

  • 対象地域: アジアおよび米国
  • 主な標的: 国防、通信、ITインフラ
  • 手口: ゼロデイ脆弱性の悪用、カスタムマルウェアの展開、正規の管理ツールの流用
  • 目的: 長期的なネットワーク潜伏と戦略情報の収集

Mandiantによると、UNC3886はJuniper、Fortinet、VMwareといったネットワーク機器の脆弱性を狙い、ネットワーク周縁部の監視が行き届きにくい領域を標的とする傾向があります。

なぜJuniper、Fortinet、VMwareが狙われるのか

UNC3886は、以下の3つの理由からネットワークインフラ機器を標的に選んでいます:

  1. 監視対象外:多くのEDRはネットワーク機器を対象としていないため、検知されにくい
  2. アクセス経路の確保:ネットワーク機器は全通信の中継点であり、特権的アクセスが可能
  3. ゼロデイの活用:脆弱性の発見が遅れがちな機器において、攻撃成功率が高い

攻撃の技術的手法:JuniperルーターとTINYSHELLの悪用

Mandiantは2024年に、UNC3886がJuniper Networks製のJunos OSを搭載したルーターに対して、独自のバックドアを仕込んだ攻撃を確認しています。

ゼロデイ脆弱性とプロセスインジェクション

UNC3886はJuniperのEOL(サポート終了)ハードウェアを狙い、Junos OSのVeriexecファイル検証機能を回避して、プロセスインジェクションによって不正コードを実行しました。

このような手法により、攻撃者は正規プロセスを利用して悪意あるコードを注入・実行し、ログや監視をすり抜けながら長期間にわたり潜伏可能となります。

カスタムマルウェア群の展開

Mandiantは、以下のような6種類のTINYSHELLベースのマルウェアを特定しています:

  • appid:アクティブ型バックドア。AES暗号による通信とSOCKSプロキシ機能を持つ。
  • to:appidの別C2サーバ版。
  • irad / lmpad / jdosd / oemd:いずれもパッシブ型で、ICMPパケットによる起動、ログ無効化機能付き。

これらのマルウェアは、それぞれ正規のプロセス名を偽装し、既存のセキュリティ監視をすり抜けることを目的としています。

国家・企業への影響と今後の展望

UNC3886による攻撃は、単なる情報漏えいにとどまらず、国家の経済活動、外交政策、サプライチェーン全体に影響を及ぼす可能性があります。

大臣は「攻撃の影響次第では、ベンダーの信頼性評価や選定にも見直しが必要」と述べており、国家レベルでの技術的・政治的判断に直結する問題とされています。

情報システム部門が講じるべき対策

情報システム部門にとって、以下の対策が喫緊の課題です

  • EOL機器の棚卸とアップグレード計画の推進
  • Juniper/Fortinet/VMware製品のパッチ適用と脆弱性監視
  • ネットワーク機器へのEDRなどの監視機能導入(またはプロキシ・ログ監査)
  • rootや管理アクセス権限の最小化と監査ログ強化
  • カスタムマルウェア(TINYSHELL型)に関するYARAルール導入

参照

https://cloud.google.com/blog/topics/threat-intelligence/china-nexus-espionage-targets-juniper-routers?hl=en

関連記事

中国系スパイグループ「UNC3886」がサポート終了した Juniper ルーターを標的にサイバー攻撃中国系スパイグループ「UNC3886」がサポート終了した Juniper ルーターを標的にサイバー攻撃 ジュニパー、デフォルトの認証情報を使用してセッションスマートルーターを標的としたMirai マルウェア攻撃を警告ジュニパー、デフォルトの認証情報を使用してセッションスマートルーターを標的としたMirai マルウェア攻撃を警告 Fortinetが440GBのデータを窃取される 脅威アクターがサードパーティー経由でハッキングかFortinetが440GBのデータを窃取される 脅威アクターがサードパーティー経由でハッキングか HPEのJuniper Networksを約140億ドル(約2兆230億円)で買収HPE、Juniper Networksを約140億ドル(約2兆230億円)で買収 Fortinetで新たなゼロデイ脆弱性(CVE-2025-24472)Fortinetの新たな脆弱性がゼロデイ攻撃に悪用(CVE-2025-24472) Fortinet、FortiWeb「未認証管理者乗っ取り」ゼロデイ 脆弱性を修正、既にサイバー攻撃への悪用事例あり(CVE-2025-64446)Fortinet、FortiWeb「未認証管理者乗っ取り」ゼロデイ 脆弱性を修正、既にサイバー攻撃への悪用事例あり(CVE-2025-64446) 中国のハッカーがFortinetのゼロデイ脆弱性を悪用し、資格情報を盗む中国のハッカーがFortinetのゼロデイ脆弱性を悪用し、資格情報を盗む FortinetがFortiOSとFortiProxyのゼロデイ攻撃を警告(CVE-2024-55591)FortinetがFortiOSとFortiProxyのゼロデイ攻撃を警告(CVE-2024-55591) CISA、FortiWebのゼロデイ「CVE-2025-58034」をKEVに追加CISA、FortiWebのゼロデイ「CVE-2025-58034」をKEVに追加