昨年末にポーランドで数十万人への電力供給が危うく途絶えかけた大規模なサイバー攻撃は、電力網を標的にすることで知られるロシア関連のハッキング集団「サンドワーム」によって実行されたとみられることが、研究者の分析で明らかになった。
12月下旬の攻撃では、「DynoWiper」と名付けられたデータ消去型マルウェアが使用されたと、サイバーセキュリティ企業ESETのアナリストが述べた。ワイパーは重要なファイルを破壊し、システムを使用不能にすることを目的としている。
ESETは報告書で「我々が分析したサンドワームによる過去の多数のワイパー活動と強い重なりがあることから、本攻撃はロシア寄りのサンドワームAPTによるものだと中程度の確度で判断する」と記し、攻撃によって実際に成功した妨害が生じた事例は把握していないと付け加えた。
ポーランド当局は1月上旬、停電を引き起こす前にこの事案を阻止したと発表したが、成功していれば最大で50万人に電力供給が途絶えていた可能性があると警告した。
米国のサイバーセキュリティ記者キム・ゼッターへのコメントで、ESETはポーランドへの未遂攻撃は「前例のないもの」だと述べ、同国を標的とした過去のサイバー事案は「性質や意図の面で」破壊的ではなかったと指摘した。
攻撃の時期にも象徴的な意味があった。研究者によれば、この事案はサンドワームが2015年12月にウクライナの電力網に対して行ったサイバー攻撃――マルウェアによって引き起こされた初めて確認された大規模停電――からほぼちょうど10年後に発生しており、当時は約23万人が停電に見舞われた。
この事案を「ここ数年で最大のエネルギーインフラへの攻撃」と呼んだポーランドのエネルギー相ミウォシュ・モティカは、ハッカーが太陽光発電所や風力タービンなどの再生可能エネルギー設備と、国内の広い地域にわたる配電事業者との間の通信を標的にしたと述べた。
大規模発電所や送電網に焦点を当てた従来のサイバー事案とは異なり、今回の攻撃は多数の小規模電源を同時に狙ったように見える。モティカによれば、ポーランドはこれまでこの種の攻撃を経験していないが、再び起こると見込んでいるという。
デジタル化相のクシシュトフ・ガフコフスキは、この事案が「停電寸前」まで迫っていたとし、組織的な破壊工作キャンペーンの兆候があると述べた。ESETが調査結果を公表する前から、同氏はロシアの関与が疑われると指摘していた。ロシアはこの帰属判断についてコメントしていないが、これまでも同様の非難を否定してきた。
研究者がロシア軍情報機関との関連を指摘しているサンドワームは、少なくとも2013年から活動しており、モスクワによる最も注目度の高い破壊的サイバー攻撃のいくつかに関与している。ウクライナ戦争に関連するサイバー作戦でも中心的役割を果たしており、キーウによれば、2024年にはウクライナのエネルギー施設約20カ所に対する攻撃も含まれているという。
翻訳元: https://therecord.media/russia-eset-sandworm-poland-hack
