ロシア関連の脅威アクターが、前例のないキャンペーンで分散型の太陽光・風力設備を標的に
ポーランドは、当局が「近年で最も深刻なエネルギーインフラへのサイバー攻撃」と呼ぶ攻撃を防御することに成功し、全国規模の停電を辛うじて回避した。もし停電が発生していれば、厳しい冬の状況下で50万人が暖房を失う可能性があった。2025年12月末に発生したこの高度な攻撃は、重要インフラを狙うサイバー戦の戦術が危険な形で進化していることを示している。
新たな攻撃ベクトルの出現
大規模発電施設や高圧送電網に焦点を当ててきた従来のサイバー攻撃とは異なり、このキャンペーンは、再生可能エネルギー設備—太陽光発電所と風力タービン—を国家電力網に接続する通信システムを特に標的とした。この戦術的転換は、敵対者が重要インフラの混乱を引き起こす手法における大きなエスカレーションを示している。
エネルギー相のミウォシュ・モティカは記者団に対し、「このような攻撃はこれまで経験したことがない。初めて、複数の場所が同時に標的にされた」と語った。協調攻撃は、複数地域にわたり再生可能エネルギー源と配電事業者の間の通信を妨害しようとし、ポーランドの発電能力の約25%を脅かした。
デジタル化相のクシシュトフ・ガフコフスキはラジオインタビューで脅威の深刻さを強調した。「停電まであと一歩だった。デジタルの戦車はすでにここにいる。」同相は、気温が-15°Cを下回るポーランドの厳冬期に民間人の電力を断つことが攻撃の狙いだったと確認した。
帰属と地政学的背景
ポーランド当局は明確な帰属の詳細提供を控えたものの、複数のサイバーセキュリティ専門家と情報評価は、ロシアのGRU軍事情報部、特に悪名高いSandwormグループ(APT44、Seashell Blizzard、Iron Vikingとしても追跡)を指し示している。
ガフコフスキ相は「すべてがロシアの破壊工作を示している」と述べ、攻撃の高度さ、多段階の侵入戦略、そして極端な気象条件と重なったタイミングを挙げた。このキャンペーンには、ウクライナの電力網を混乱させ、2017年のNotPetya流行を含む史上最も破壊的なサイバー攻撃の一部を実行してきたSandwormの特徴が見られた。最近の分析では、Sandwormが戦術を進化させ、高価なゼロデイ悪用から、設定不備のネットワーク境界デバイスを狙う方向へ移行していることが示されている。
2022年2月にウクライナへの全面侵攻が始まって以降、ポーランドに対するロシアのサイバー作戦は劇的に激化している。ポーランドのデジタル化省は、ロシア軍事情報が2025年だけでポーランドを標的とするサイバー作戦に充てる資源を3倍に増やしたと明らかにした。2025年の最初の3四半期に特定された17万件のサイバー事案のうち、相当部分がロシアのアクターに帰属された。これは、欧州と北米でエネルギー、水、輸送分野を含む重要インフラへの攻撃が34%増加したというより広範な傾向とも一致する。
NATO加盟国であり、難民の受け入れ、広範な軍事支援、西側支援の物流拠点としてウクライナの重要な同盟国であるポーランドは、ロシアのハイブリッド戦の主要標的となっている。同様の攻撃は他の欧州諸国も標的にしており、デンマークは最近、重要インフラへの攻撃をロシア国家とつながりのあるアクターに帰属した。同国はまた、ウクライナのエネルギーインフラ支援にも大きく投資しており、ウクライナのフメリニツキー原子力発電所へ電力を輸出するための送電線近代化などを進めている。
技術分析:再生可能エネルギー層を狙う
12月の攻撃は、戦術面での大きな進化を示している。事案を分析したセキュリティ研究者は、いくつかの主要な特徴を特定した。
標的選定:攻撃者は、分散型再生可能エネルギー源の統合を管理する産業制御システム(ICS)およびSCADAプロトコルに特に焦点を当てた。中央集約型の発電ではなく分散資産を狙うことで、敵対者は現代の再生可能エネルギーインフラに内在する複雑でマルチベンダーなアーキテクチャを悪用しようとした。これは、高圧送電と中央集約型発電施設に焦点を当てていたウクライナ電力網への過去の攻撃からの逸脱である。
攻撃手法:このキャンペーンは、系統バランシングに用いられるリアルタイムデータフローを妨害しようとした。ポーランドのエネルギーミックスの約25%を占める再生可能電源の出力について運用者を「盲目化」することで、周波数不安定を引き起こし、それが連鎖してシステム全体の障害へ発展することを狙った。
タイミングと連携:複数波にわたる攻撃は12月末にピークを迎えた。これは通常、休暇シーズンでサイバーセキュリティ要員が減り、インシデント対応能力が遅れがちな時期である。作戦は厳しい寒波とも重なり、人道的影響を最大化した。
サイバーセキュリティ企業Shieldworkzが公表した技術分析によれば、攻撃者はQUEUESEEDおよびGOSSIPFLOWの亜種を含む高度なマルウェアを展開して標的システムを侵害した。キャンペーンには広範な事前偵察の痕跡があり、数か月にわたる準備と情報収集が示唆される。
ポーランドの防御成功
ポーランドが攻撃を阻止できたことは、同国のサイバー空間防衛部隊(DKWOC)の有効性と、長年にわたる継続的脅威の中で育まれたサイバーレジリエンス・プログラムの成熟度を示している。当局は「12月の攻撃の間、エネルギーインフラ向けサイバーセキュリティシステムは効果的に機能した」と確認した。
ドナルド・トゥスク首相は、迅速に対応した情報機関とサイバーセキュリティチームを称賛し、攻撃の深刻さにもかかわらず重要インフラは侵害されなかったと述べた。政府はその後、この事案を包括的調査のため国内治安庁に付託した。
防御成功は、公民連携の重要性も浮き彫りにした。モティカ相は、攻撃が「コージェネレーション(熱電併給)発電所1か所と多数の個別再生可能エネルギー源」を標的にしたと述べ、複数の事業者と管轄にまたがる協調対応が必要だったとした。
立法対応と将来の備え
攻撃を受け、ポーランドの議員は国家サイバーセキュリティシステム法の成立を加速している。同法は、リスク管理、ITおよびOT(運用技術)システムの保護、インシデント対応プロトコルに関するより厳格な要件を導入する。
トゥスク首相は「私たちはセキュリティシステムの自律性とポーランド化を目指している」と強調し、外国の干渉を助長し得るシステムやデバイスに対抗するため、ポーランドの機関に防御ツールを装備させる政府のコミットメントを示した。
この立法は、加盟国全体の重要インフラ運用者により高いセキュリティ基準を義務付けるNIS2指令要件を含む、EUの広範なサイバーセキュリティ施策とも整合する。
再生可能エネルギーのセキュリティに関する広範な含意
ポーランドへの攻撃は、世界的なエネルギー転換における重大な脆弱性を浮き彫りにする。各国が再生可能エネルギー容量を急速に拡大するにつれ、同時に攻撃対象領域も拡大している。太陽光・風力設備は広大な地理的範囲に分散し、複数の事業者によって管理されるため、敵対者にとって多数の侵入口が生まれる。
セキュリティ専門家は、再生可能エネルギーシステムに内在するサイバーセキュリティ課題について長年警鐘を鳴らしてきた。
IT-OT融合リスク:現代の再生可能エネルギー設備は、運用技術を情報技術ネットワークに接続する高度なデジタル制御システムに依存しており、潜在的な攻撃ベクトルを大幅に拡大する。
サプライチェーンの複雑性:再生可能エネルギー・プロジェクトには通常、複数のサプライヤー、下請け、システム運用者、IoTデバイスが関与し、サプライチェーン全体で侵害の機会が数多く生じる。
レガシーシステムの脆弱性:多くのSCADAおよびICSシステムは、サイバーセキュリティを主要な考慮事項とせず数十年前に設計されており、セキュリティ制御の後付けは技術的にも難しく高コストのままである。最近の事案は、攻撃者がこれらの脆弱性を悪用して、水道システムから発電施設に至るまで重要インフラを侵害する方法を示している。
2025年にエネルギー分野の専門家を対象に行われた調査では、70%が「成功したサイバー攻撃が爆発を含む壊滅的障害を引き起こし得る」ことを懸念していることが明らかになった。同調査では、97%が運用停止を心配し、96%が攻撃が従業員の安全に影響し得ると考えている。2025年第1四半期だけでも重要インフラへの前例のない攻撃が発生し、輸送システム、自治体、医療提供者などが含まれた。
CERT Polskaの2024年年次報告書によれば、ポーランドのエネルギー部門では4,632件のセキュリティインシデントが報告され、ランサムウェア・キャンペーン、APT作戦、データ改ざん、ICS侵入の試みが主要な脅威として挙げられている。
欧州全域における並行する脅威
ポーランドへの攻撃は、欧州の重要インフラに対するサイバー作戦が激化する状況下で発生した。ロシアは、物理攻撃と協調サイバー攻撃の双方でウクライナのエネルギーシステムを攻撃し続け、冬の間に何百万人もの人々が電力、暖房、水を失っている。
2025年11月、ESETの研究者は、Sandwormが新たなデータワイパー型マルウェア(ZerolotおよびStingを含む)を、ウクライナの政府機関およびエネルギー、物流、穀物分野の企業に対して展開したことを記録した。同グループの明白な目的は、体系的な混乱を通じてウクライナ経済を弱体化させることだった。
サイバーセキュリティ企業による最近の分析は、Sandwormが2025年に戦術を転換し、脆弱性悪用から離れて、設定不備のネットワーク境界デバイス、特にクラウドプラットフォーム上でホストされるものに焦点を当てていることを示している。この進化は、持続的なアクセスを維持しつつ検知リスクを低減する。
重要インフラ運用者への提言
12月のポーランドへの攻撃は、世界中のエネルギー分野組織に重要な教訓を提供する。
- OT監視の強化:運用技術環境向けに特化した継続的監視を実装し、従来のITセキュリティツールではICSおよびSCADAシステムの保護に不十分であることを認識する。
- ネットワーク分離:重要な制御システムを社内ネットワークから隔離し、ゾーン間に厳格なアクセス制御を実装する。再生可能設備の分散性により特に難しいが不可欠である。
- サプライチェーン・セキュリティ:ベンダーの厳格なリスク管理プログラムを確立し、第三者による制御システムへのアクセスが重大な攻撃ベクトルであることを認識する。
- インシデント対応計画:運用技術の固有要件を考慮したインシデント対応プレイブックを策定し、定期的にテストする。強硬なセキュリティ措置が重要プロセスを妨げる可能性があるためである。
- 脅威インテリジェンスの統合:エネルギー分野に関連する脅威アクターの戦術・技術・手順(TTP)を把握し、能力と意図の双方を示してきたSandwormのようなグループに特に注意を払う。
- 規制遵守:NERC CIP、NISTフレームワーク、IEC 62443、EU NIS2指令要件など進化する標準への準拠を確保し、これらを到達目標ではなく最低限の基準として認識する。
- 第三者アクセス管理:OEMやサービス提供者が保守のために再生可能資産へ頻繁にアクセスすることを踏まえ、多要素認証やセッション監視を含むリモートアクセスの強固な統制を実装する。
戦略上の必須事項
Forescout TechnologiesのCEOでサイバーセキュリティ研究者のバリー・マインツは最近の分析で次のように述べている。「産業制御システムやその他の重要インフラ構成要素向けのソフトウェアや技術を開発する組織は、脅威モデルの中心にAPT44を据えるべきだ。」
ポーランドへの攻撃は、重要インフラに対するサイバー脅威がもはや仮想のシナリオではなく、継続的な運用上の現実であることを痛烈に思い起こさせる。エネルギーシステムのデジタル化が進み、再生可能エネルギーの発電容量に占める割合が増大するにつれ、堅牢なサイバーセキュリティ・プログラムの必要性は一層切迫している。
ポーランドの防御成功は、成熟したサイバーセキュリティ・プログラム、公民連携の協調、そして防御能力への継続的投資によって効果的な保護が達成可能であることを示している。しかし、この「危機一髪」は、成功と壊滅的失敗の間の余裕がいかに薄いかも示した。2025年のより広範な脅威状況は、現在ランサムウェア攻撃の50%が重要インフラ分野を標的としており、前年比34%増であることを明らかにしている。
エネルギー分野のCISOおよびセキュリティチームにとって、メッセージは明確だ。デジタル戦場は従来のITネットワークをはるかに超えて広がっている。発電と配電を守る運用技術には、専門的知見、継続的監視、そして能動的な脅威ハンティングが必要である。失敗のコストは、データ侵害や金銭的損失にとどまらない—現代社会が生存のために依存する基盤インフラそのものを脅かす。
ポーランドがサイバーセキュリティ立法を加速し防御を強化する中、より広いエネルギー分野もこの警告を受け止めなければならない。攻撃者は、進化した戦術と新たな決意を携えて再び戻ってくるだろう。問題は、重要インフラ運用者が備えられているかどうかだけである。
追加リソース
- CERT Polska 2024 Annual Report:ポーランドの重要インフラに影響するセキュリティインシデントの包括的分析
- Mandiant APT44 Technical Profile:Sandwormのツール、戦術、手順の詳細な検証
- ICS-CERT Advisories:産業制御システム向けの最新の脆弱性開示と緩和ガイダンス
- ENISA Report on Energy Sector Cybersecurity:電力インフラ保護に関する欧州の視点
- NERC CIP Standards:大規模電力系統セキュリティに関する北米の規制枠組み
