EUと英国、ポーランド電力網へのサイバー攻撃をロシアのスパイの犯行と正式に断定

英国とEUは、2025年12月に発生したポーランド電力網へのサイバー攻撃をロシア連邦保安庁(FSB)の犯行と正式に断定し、重要インフラ関連組織に対して緊急の対策を求めています。

英外務・英連邦・開発省(FCDO)は、FSBのセンター16部門が実行したとされるこの攻撃について、「欧州全域に混乱をまき散らそうとするロシア国家の無責任な試みを示すもう一つの事例」だと指摘しました。

ポーランドのミロシュ・モティカ・エネルギー相は1月、同国の電力網が攻撃を受けたことを確認しました。同相によると、専門家らは攻撃者が再生可能エネルギー設備と電力配電事業者の間の通信を妨害しようとした疑いがあるとみています。

攻撃自体は最終的に失敗に終わりましたが、当初からロシアの関与が疑われていました。

攻撃者は破壊的なマルウェア「DynoWiper」の展開を試みており、これはロシア国家の支援を受けた攻撃活動でよく見られる手口です。Mandiantは以前、2023年にウクライナで発生した大規模停電について、SandwormによるCaddyWiperマルウェアの展開が原因だったと指摘しています。また英国家サイバーセキュリティセンター(NCSC)とその同盟国は、ロシアによるウクライナ侵攻開始時の2022年に発生したWhisperGateワイパー攻撃についても、同じ軍事情報機関の部隊が犯人であるとしています。

The Registerが当時報じたように、FCDOはこのポーランドへの攻撃について、真冬に最大50万人のポーランド国民が停電に見舞われる可能性があったと指摘しており、人命に関わりかねないサイバー攻撃だったといえます。

本誌はNCSCに対し、今回のポーランドのエネルギー関連攻撃をロシアのFSBの犯行と断定した根拠となる証拠について詳しい情報提供を求めましたが、作戦上の事項についてはコメントを控えるとの回答でした。

行動を起こすべき時

英NCSCは月曜日、ロシアの最新の攻撃手法における動向を明らかにした技術勧告を共同執筆・公開し、特にリスクが高い組織に対して推奨される緩和策の適用を強く求めています。

同勧告では、通信、防衛産業基盤、エネルギー、金融サービス、政府サービス・施設(特に州・地方レベルの組織)、医療・公衆衛生の各分野の組織が、センター16によるサイバー攻撃のリスクが最も高いとしています。

両情報機関が推奨する最も重要な緩和策は、SNMPv1およびSNMPv2を無効化し、代わりに強力な認証とデータ暗号化を備えたauthPriv付きのSNMPv3を採用すること、そしてすべてのデバイスでCisco Smart Installを無効化することです。

センター16がよく用いる手口は、SNMPv1/2で応答するデバイスをスキャンすることです。これらのデバイスはデフォルトまたは推測されやすいコミュニティ文字列に対応していることが多く、ルーターなどのネットワーク機器への不正アクセスに悪用されるケースが一般的です。この手法については、NCSCなどが4月に別途警告を出しています。 

攻撃者はSNMPアクセスを悪用してデバイスの設定データを取得し、自らの管理下にあるサーバーに転送することができ、これが後の永続的なアクセス確保につながる可能性があります。

今回の勧告で説明されている主な手口はSNMPスキャンですが、Smart Installが有効化されているものを含め、Cisco製デバイスの悪用についても取り上げられています。

この文書に目を通す防御担当者は、センター16と他のロシア関連脅威グループとの間で戦術・技術・手順(TTP)に重複が見られることに気づくはずだと、両情報機関は記しています。

NCSCの国家レジリエンス部門責任者であるジョナサン・エリソン氏は次のように述べています。「NCSCは国際的なパートナーとともに、あらゆる脆弱性を執拗に突こうとするロシアのサイバー攻撃者による高度なツールや連携した攻撃活動を繰り返し暴いてきました。

「本日の共同勧告は、国際的なセキュリティコミュニティによる決定的かつ実行可能な指針を示すものであり、ネットワーク防御担当者はこれを実施することで、ロシアの情報機関による攻撃から身を守り、英国の重要インフラを保護することができます。

「特に英国の重要なネットワークを預かるすべての組織に対し、これらの推奨対策を直ちに導入するよう強く呼びかけます。それにより、侵害のリスクを低減できます」

新たな制裁

英国とEUは、GRU(ロシア連邦軍参謀本部情報総局)の関係者、サイバー犯罪者、ハクティビストを含む多数のロシア人・団体を、それぞれの制裁対象リストに新たに追加しました。

親クレムリン系メディア「Rybar」の関係者も、ウクライナに関する虚偽の言説や欧州の選挙への干渉疑惑を理由に制裁対象に加えられました。

今回最も注目される指定対象は、サイバー・ハイブリッド作戦を指揮したとされるヴャチェスラフ・スタフェエフ氏、イワン・セニン氏、イワン・カシャネンコ氏の3人のGRU幹部です。3人はまた、サイバー犯罪者や「IMPULS」という企業と連携し、ロシア全土の大学や士官学校からサイバーセキュリティ専門家を勧誘していた疑いも持たれています。

イヴェット・クーパー英外相は次のように述べています。「今回の制裁は、ロシア国家の侵略行為を支えるサイバー犯罪ネットワークの核心を突くものであり、英国とEUはロシアがこうした代理組織の利用の陰に隠れることはできないという明確なメッセージを送っています。 

「犯罪者を使嗾して企業を狙わせることから、真冬にポーランドのエネルギー網を攻撃することまで、ロシア国家は欧州の安全保障を損なおうとする試みにおいて、新たな底なしの状態に陥っています。  

「英国はパートナー諸国とともに、こうした行為を今後も非難し続け、レジリエンスを強化し、ロシア国家がもたらすハイブリッド脅威に対応していきます。これによってウクライナへの支援を後退させることはありません」

サイバー犯罪経済において重要な役割を果たす主要な情報窃取マルウェアの一つ、Lumma Stealerの運営者とされる3人に対しても制裁が科されました。

英国家犯罪対策庁(NCA)のデータによると、英国だけでも半年間で少なくとも2,100人の被害者が感染していたことが確認されています。英国は、ロシア国家がLumma Stealerを利用して盗んだ認証情報を収集し、世界各地の標的に対するサイバースパイ活動を展開していたことを確認しています。

月曜日に発表された24件の制裁により、ロシアの戦争遂行を支援した役割を理由に指定された個人・団体は3,400を超えました。

カメラも忘れずに

今回の国際的な連携警告と制裁措置は、オランダ当局がロシアのスパイ部隊がインターネット接続カメラを標的に軍事物流ルートに関する情報を収集していると独自に警告を発してから、わずか数日後に出されたものです。

オランダ当局の別の勧告では、少なくとも1つのロシアの情報機関がオランダを含むNATO加盟国を標的とした活動を展開しており、IPカメラの映像を利用して軍事物流ルートや物資輸送の追跡、橋や道路といったインフラのマッピングを行っていると警告しています。

オランダの情報機関はさらに、ロシアが画像認識ソフトウェアを用いて軍用車両、輸送ルート、ウクライナ向け物資の輸送、ウクライナ兵の所在地を検知していると付け加えています。

同勧告はまた、オランダの情報機関の分析によれば、ロシアによる侵害されたIPカメラとその映像の利用は最近になって組織的に増加しており、同国の常套手段の一部として定着しつつあると述べています。

デフォルトパスワードの悪用が、ロシアのスパイがカメラへのアクセスを得る最も一般的な手口だとされていますが、最新のセキュリティアップデートが適用されることはめったになく、推測可能なパスワードが通用しない場合に悪用できる脆弱性が残されたままになっているといいます。 ®

翻訳元: https://www.theregister.com/security/2026/07/13/uk-eu-officially-pin-poland-energy-cyberattack-on-russia/5270458

ソース: theregister.com