セキュリティ研究者によると、ロシアの軍事情報機関は冬の到来直後、ワイパーマルウェアを用いてポーランドの電力網の混乱を試みた。
使用された破壊的なワイパーマルウェアに加え、他の戦術・技術・手順(TTP)も踏まえると、「我々が分析した過去の多数のSandwormによるワイパー活動と強い重なりがあるため、中程度の確信度で、この攻撃をロシア寄りのSandworm APTによるものと判断する」と、サイバーセキュリティ企業Esetの研究者は金曜日に述べた。
「この攻撃の結果として、実際に混乱が成功したという事例は把握していない」と彼らは述べた。彼らは、攻撃で使用されたWindowsを標的にデータを消去するマルウェアを「DynoWiper」と命名した。
Sandwormは、ロシア連邦軍参謀本部情報総局(GRU)の部隊74455の一般的な追跡名であり、繰り返し西側の重要インフラを標的にしてきたことを含むサイバー破壊工作で知られている。このロシア軍事情報グループはAPT44およびFrozenBarentsとしても追跡されている。
攻撃は2025年12月29日と2025年12月30日に発生したと、ポーランドのドナルド・トゥスク首相が1月15日の記者会見で明らかにした。この会見は、政府閣僚、治安機関の長、そして電力網の防護も担う事業者が参加した非公開の説明会の後に行われた。攻撃は、2つの熱電併給発電所に加え、風力タービンや太陽光発電所など再生可能エネルギー源で生成されたエネルギーを管理するためのシステムを標的とした。
トゥスク氏は、同国の防御が持ちこたえたことで、混乱の試みは失敗したと述べた。「送電網や、システム全体の安全を左右するあらゆるものを意味する重要インフラが、いかなる時点でも脅かされることはなかった」と彼は述べた。「あらゆる兆候が、これらの攻撃がロシアの機関と直接つながるグループによって準備されたことを示している」とトゥスク氏は語った。
サイバー攻撃に関する捜査は現在も継続中だ。この協調攻撃は、ウクライナの電力網に対するSandwormの攻撃から10周年に重なった。同攻撃は、マルウェアによって引き起こされた史上初の大規模停電をもたらした。2015年12月のその攻撃では、3つの地域配電会社の約22万5,000人の顧客が数時間にわたり停電に見舞われた。
NATO加盟国に対する今回の攻撃は、2022年2月に開始されたロシアのウクライナ征服戦争を背景に発生した。この戦争は現在、主として膠着した消耗戦となっている。
「これは間違いなくさらなるエスカレーションの一歩であり、ロシアおよびウクライナに隣接するすべての国のエネルギー部門が真剣に受け止めるべき脅威だ」と、Team Cymruの上級脅威インテリジェンス顧問ウィル・トーマス氏は述べた。
攻撃を受け、ポーランド政府は、すべての防御の見直しに加え、遅延している「国家サイバーセキュリティ認証制度法」の最終化を進めていると述べた。この法律は、重要分野の対象範囲を拡大しサイバーセキュリティ強化を目的とするEUのネットワーク・情報セキュリティ指令2(NIS2)を実施するものだ。
政府は、この法律により国内のエネルギー事業者が、ITおよび運用技術(OT)システムの双方についてサイバーセキュリティを強化し、より洗練されたリスク管理とインシデント対応の実務を導入することが求められると強調した。
政府は最近、この法律を2025年末までに制定すると約束したものの、予算や通知をめぐる争いにより一部で足止めされている(参照:European States Spin Wheels on Cybersecurity Directive)。
その間も、ロシアはサイバー攻撃を用いてNATO同盟国のレッドラインを探り続けていると、Team Cymruのトーマス氏は述べた。
「これは、ロシアがこれまで実際には踏み込んでこなかった領域に踏み込み、NATO同盟国のエネルギー部門に対して破壊的攻撃を試みていることを示している。今回は阻止されたが、次のポーランド、あるいは英国、フィンランド、ルーマニアへの攻撃はどうなるのか。私には、危険な新たな脅威環境へ向かっているように思える」と彼は述べた。
モスクワによるワイパーマルウェアの使用は進化を続けている。2015年12月のウクライナに対する攻撃の分析で、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、ロシアの攻撃者が正規のリモートアクセス認証情報を入手し、それを用いて遮断器を遠隔で作動させたようだと報告した。具体的には、「OSレベルの既存のリモート管理ツール、または仮想プライベートネットワーク(VPN)接続を介した遠隔産業制御システム(ICS)クライアントソフトウェアのいずれかを使用して」行われたという。
ロシアのハッカーは2022年初頭、軍事および民生システムを標的とするワイパーマルウェアの集中攻撃を開始したが、その後、保有する兵器庫を使い果たしたように見えた。
その後、侵攻が消耗戦へと転じるにつれ、ロシアのハッカーはサイバースパイ活動に重点を移したように見えたが、Esetは昨年11月、2025年の最初の数カ月にウクライナの標的に対するSandwormのワイパー攻撃の再燃を観測したと報告している(参照:Russia’s Destructive Wiper Attacks on Ukraine Rise Again)。
ロシアは、アブダビでウクライナおよび米国と侵攻終結に向けた三者交渉に臨む一方で、ウクライナに対する物理的攻撃(エネルギーインフラを含む)を継続している。
週末、ロシア軍はドローンとミサイルによる攻撃でキーウとハルキウの都市を激しく攻撃し、真冬のさなか数千棟の集合住宅が暖房・水道・電力のない状態が続く中、推定120万人に影響が及んだと、The Guardianが報じた。
日曜日、リトアニアの首都ビリニュスで、1863年にポーランドとリトアニアで起きた対ロシア帝政の蜂起を記念する式典で演説したポーランドのカロル・ナヴロツキ大統領は、ロシアのウラジーミル・プーチン大統領がロシアの長年の帝国主義的野心を復活させようとしていることを非難した。「暴君は恐怖と忘却に依存する」と彼は述べた。
「当時問われた『戦う価値はあったのか』という問いは、過去のものではない」と彼は、リトアニアとウクライナの大統領も出席していた聴衆に語った。
翻訳元: https://www.databreachtoday.com/wiper-malware-targeting-polands-power-grid-tied-to-moscow-a-30596
