Sandwormハッカーズ：IT侵害から重要インフラOT標的へのシフト

悪名高いSandwormグループと関連するサイバー活動の新たな波が、世界の重要インフラ全域で新しい警告を引き起こしている。

セキュリティ研究者は、ロシア政府系の脅威主体が、もはやITネットワークへの浸透だけでなく、実際の混乱が可能になる運用技術（OT）環境への積極的なシフトを行っていると警告している。

この知見は、2025年7月から2026年1月の間に、7つの国の10の産業組織から収集されたテレメトリに基づいている。

研究者は550万件以上のアラートのデータセット内で、29件の確認されたSandworm関連インシデントを識別した。

Nozomi Networksの最近の分析によると、Sandworm（APT44、Seashell Blizzard、Voodoo Bearとしても追跡）は産業制御システム（ICS）への焦点を強化しており、既に侵害された環境を活用して重要な運用へより深く移動している。

初期アクセスはしばしばIT環境で発生するが、攻撃者はエンジニアリングワークステーション、HMI、PLC、RTUなどのフィールドコントローラを含むOTシステムに一貫して拡大している。

LOTL（Living off the Land）は、自動化されたマルウェアではなく、正当なツールとアクセスを使用している人間のオペレータに依存している。

このシフトは重要である。従来のサイバー犯罪者とは異なり、Sandwormは物理的混乱を引き起こすことで知られている。その過去の作戦にはウクライナの電力網攻撃と破壊的なNotPetyaキャンペーンが含まれている。

Sandwormハッカーズ：IT侵害からのシフト

この分析は、いくつかの顕著な運用特性を明らかにしている。

たとえば、あるケースでは、単一の感染システムが405の内部マシンに対して横方向の移動を試みたものがあり、アラートが12倍増加することが引き起こされた。

最も顕著な発見の一つは、Sandwormが引き続きEternalBlue、DoublePulsar、WannaCryなどの古いエクスプロイトチェーンを使用していることである。新しいツールを開発するのではなく、グループはパッチされていないシステムと残存する感染を悪用している。

複数の環境において、研究者はネットワークがSandwormの活動が始まる前に、Cobalt StrikeやMetasploitなどのツールで既に侵害されていたことを観察した。これは、グループが既に「ソフトターゲット」である環境に機会的に侵入していることを示唆している。

発見されると後退することが多いランサムウェアグループとは異なり、Sandwormはその運用を強化する。レポートは多次元的なエスカレーションパターンを強調しており、以下を含む。

複数のケースでは、攻撃者は数百のエンジニアリングワークステーションと数十の産業制御装置を直接標的にしており、運用を混乱させるという意図的な目的を確認している。

Sandwormはその使命により他の脅威主体とは異なる。ランサムウェアグループが経済的利益を求め、ハクティビストが可視性を追求する一方、SandwormはロシアのGRUユニット74455に関連する軍事サイバーサボタージュユニットとして活動している。

そのキャンペーンはしばしば地政学的イベントと一致し、場合によっては物理的軍事行動に先行する。研究者はまた、2025年後期の広範な標的化の減速を指摘し、おそらくポーランドの疑いのある電力網攻撃への資源集中によるものと考えられる。

おそらく最も重要な要点は、Sandwormが洗練されたゼロデイに依存していないということである。代わりに、既知の脆弱性を悪用し、アラートを無視している。

研究内のすべての影響を受けたシステムは、攻撃がエスカレートする前に、数週間または数ヶ月の検出可能な警告兆候を生成していた。

これは、多くのインシデントが基本的なサイバーセキュリティ衛生を通じて防止できたことを意味している。既知の脆弱性のパッチ、「ルーチン」アラートの調査、横方向の移動の制限を含む。

Sandwormがサイバー作戦と物理的混乱の境界線をぼやけ続けるにつれて、重要インフラを管理する組織は早期に行動するための増加する圧力に直面している。この脅威環境では、小さなアラートを無視すると、大規模な結果につながる可能性がある。