ポーランドの熱電供給発電所(CHP)や風力発電などの再生可能エネルギーシステムに対するサイバー攻撃が昨年末にあり、同国では安全保障上の問題としてドナルド・トゥスク首相が関係閣僚と相次ぎ会談するなど対応に追われている。トゥスク首相はポーランドがこの攻撃を阻止して同国のエネルギーシステムに影響を与えなかったことを明らかにするとともに「攻撃はロシアの諜報機関と関係のあるグループによって計画された」と述べてロシアを非難している。
首相「攻撃を阻止」、電力供給には影響せず
複数の報道によると、2025年12月29日と30日にポーランドの2つの熱電供給発電所(CHP)を含む複数の施設と風力タービンや太陽光発電などの再生可能エネルギーによって発電された電力を管理するシステムに対してサイバー攻撃が行われた。ポーランドはこの攻撃を阻止しエネルギーシステムへの影響はなかったが、冬期を狙ったエネルギー供給源へのサイバー攻撃は国民生活に直結する国家安全保障上の問題として深刻に受け止められ、ドナルド・トゥスク首相は追加的なサイバーセキュリティ保護策を準備していることを明らかにしている。
CHPは天然ガスなどの燃料を使って発電するとともに排熱を給湯や冷暖房、蒸気などに再利用するもので、地域暖房(DH)が普及しているポーランドでは、特に大都市圏の地域暖房網の熱の供給源としてCHPが利用されており、ポーランドの全発電量の約20%がCHPによるとのデータもある。また、ポーランドでは再生可能エネルギーとCHPを組み合わせたエネルギーセクターへの変革が進められており、報道によると2025年6月のポーランドの総発電量に占める再生可能エネルギー発電の割合は44.1%に達し、初めて石炭火力発電(43.7%)を上回った。ポーランドは従来の石炭中心のエネルギー政策からロシア産エネルギーからの脱却とEUの脱炭素政策を背景に再生可能エネルギーへの転換を国策として進めており、よってCHPや再生可能エネルギーシステムへのサイバー攻撃はエネルギー安全保障上、極めて重大な問題として受け止められている。
破壊的な攻撃‥デバイスのログ解析も困難
ポーランドのCERTであるCERT.Polskaの報告書によると、2025年12月29日の攻撃は午前と午後に複数の風力発電所と太陽光発電所、民間製造業者、50万世帯に熱を供給するCHPプラントに対して行われた。大晦日を目前にひかえてポーランドは寒気と暴風雪に見舞われていた。ポーランドの少なくとも30の風力発電、太陽光発電所が攻撃を受け、発電所間の通信が途絶え、配電網の管理・運用に影響があったが、電力の安定的な供給に影響を与えることはなかった。しかし、システムに影響が及ぶリスクはあったとしている。
CERT.Polska によると、影響を受けた各施設にはVPNコンセントレータとファイアウォールの機能を有するFortiGateデバイスが設置されていて、いずれの場合もVPNインターフェースはインターネットへの接続を許可し、多要素認証なく定義されたアカウントへの認証を許可していた。攻撃は破壊的で侵害されたデバイスのログを回復して解析することは困難だという。また、これらデバイスの一部は過去の特定の期間に脆弱性を有していたことが判明したという。攻撃者はデバイスの管理者権限をもっていたと考えられ、分析したすべてのデバイスが攻撃当日に工場出荷時の状態にシステムがリセットされていたという。これはシステムの復旧を妨害するためで、また攻撃者の痕跡を消す意図もあるとCERT.Polskaは指摘している。
攻撃は少なくとも部分的に自動化されていた。機器と中央監視システムをつなぐRTUコントローラーの損傷により変電所と企業や住宅に電力を届ける配電網との通信が失われてリモート制御に影響が出たが進行中の発電に影響はなかった。RTUコントローラーの多くはHitachi RTU560コントローラーが使われていて、「Default」という名前のアカウントを含むデフォルトのアカウント情報が使われていた。権限があればFortiGateデバイスからもアクセスできるウェブインターフェイスが公開されていたという。攻撃は「Default」アカウントを使用してウェブインターフェイスにログインすることで実行されたとCERT.Polskaは述べている。Hitachi RTU560のほかにもMikronika RTU、Hitachi Relion650v1.1IED、Moxa Nportシリアルデバイスサーバーなどが侵害されたという。
昨年3~5月から内偵や情報窃取が行われていた
CERT.Polskaによると12月29日にCHPに対して行われた攻撃では、内部ネットワーク内に保存されているデータをワイパーマルウェアによって不可逆的に破壊する意図があり、攻撃に先立ちCHPインフラへの長期的な侵入と機密情報の窃取が行われていたという。攻撃者の最初の活動は2025年3月から5月の間で、2025年後半には偵察、信用調査、個人情報の窃取やデータへのアクセス等の活動が認められた。攻撃者は複数のアカウントを使用してアクセス、Torノードに加え海外からのIPアドレスも使用して接続していた。
CERT.Polskaによると攻撃で使われたインフラはStatic Tundra(Cisco)、Berserk Bear(CrowdStrike)、Ghost Blizzard(マイクロソフト)、Dragonfly(シマンテック)などと呼ばれる脅威アクターが使用するインフラと共通しているという。この脅威アクターはロシア国家が支援しているとされている。また、この攻撃ではDynoWiperとLazyWiperという2つのワイパーマルウェアが使われているという。スロバキアを拠点とするサイバーセキュリティ企業のESETによると、DynoWiperは2025年11月にウクライナの金融機関に展開されたZOV Wiperと類似しており、ESETによるとZOV WiperはSandwormに帰属しており、Dyno Wiperについても中程度の信頼度でSandwormに帰属しているとしている。一方、CERT.Polskaは「ワークステーション上でDynoWiperを実行するために使用されるPowerShellスクリプトはSandwormクラスターにリンクされたツールと同じ手法を使用していますが、ソースコードには類似性がない」などとしてSandwormの関与には否定的な見方をしている。
Sandwormはロシアの国家を背景としたサイバー脅威で、2015年から2016年にかけてウクライナのエネルギー企業を標的にした攻撃や、2017年にはPetyaランサムウェアに偽装したワイパー、NotPetyaによる攻撃を行ったとされ、さらに2018年に開催された平昌冬季オリンピックでのワイパー攻撃への関与が指摘されている。ESETは今回の攻撃とこれまでのSandwormの活動に重複が見られることや、標的もSandwormの標的と一致していること、Sandworm がBlackEnergy や GreyEnergy マルウェア ファミリを使用してポーランドのエネルギー企業を標的にサイバースパイ活動をしてきた経緯などを踏まえて今回の攻撃にもSandwormが関与している可能性を指摘している。しかし、一方でこれまでのSandwormのポーランドに対する活動はサイバースパイ活動に限定されていたとし、破壊的な攻撃が仕掛けられた今回の攻撃は、従来と相違があるとも指摘している。
【出典】
https://www.gov.pl/web/primeminister/poland-stops-cyberattacks-on-energy-infrastructure
https://europe.nna.jp/news/show/2812727
https://cert.pl/en/posts/2026/01/incident-report-energy-sector-2025/
https://www.welivesecurity.com/en/eset-research/dynowiper-update-technical-analysis-attribution/
