ポーランドのエネルギーシステムにサイバー攻撃
2025年12月下旬、ポーランドの電力網に対するサイバー攻撃が発生し、ロシア国家支援のハッキンググループSandworm(UAC-0113、APT44、Seashell Blizzardとも追跡)が関与していることが明らかになりました。この攻撃では、DynoWiperと呼ばれる新たな破壊的なデータ消去マルウェアの展開が試みられました。
Sandwormの背景と狙われたインフラ
Sandwormは2009年から活動しているロシアの国家グループで、ロシア軍参謀本部情報総局(GRU)の軍事部隊74455の一部であると考えられています。彼らは破壊的かつ妨害的な攻撃で知られており、約10年前にはウクライナのエネルギー網を標的としたデータ消去攻撃で約23万人の停電を引き起こしました。
ESETによると、今回のポーランドへの攻撃は12月29日から30日にかけて行われ、データワイパー「DynoWiper」が使用されました。このマルウェアは実行されるとファイルシステムを繰り返し削除し、最終的にオペレーティングシステムを使用不能にし、バックアップからの復元や再インストールが必要になります。
ポーランド当局はプレス声明で、攻撃が二つの熱電併給プラントと、風力タービンや太陽光発電所などの再生可能エネルギーを制御する管理システムを標的としたと発表しました。ポーランドのドナルド・トゥスク首相は記者会見で、「これらの攻撃はロシアの機関と直接関係のあるグループによって準備されたものであると、すべてが示唆している」と述べました。
DynoWiperの技術的詳細と今後の対策
ESETはDynoWiperに関する多くの技術的詳細を公開していませんが、アンチウイルス企業がこれをWin32/KillFiles.NMOとして検出し、SHA-1ハッシュが4EC3C90846AF6B79EE1A5188EEFA3FD21F6D4CF6であると述べています。BleepingComputerは、このワイパーのサンプルをVirusTotal、Triage、Any.Runなどのマルウェア提出サイトで見つけることができていません。
攻撃者がポーランドのシステムにどのくらいの期間滞在していたか、またどのように侵入されたかは不明ですが、Team Cymruのシニア脅威インテリジェンスアドバイザーであるウィル・トーマス氏(別名BushidoToken)は、防御側に対し、マイクロソフトが2025年2月に公開したSandwormに関するレポートを参照することを推奨しています。
Sandwormによる最近の活動
Sandwormは、2025年6月と9月にもウクライナの教育機関、政府、穀物セクターに対する破壊的なデータ消去攻撃に関与していました。MCP(Model Context Protocol)がLLMとツール、データを接続する標準となるにつれて、セキュリティチームはこれらの新しいサービスを安全に保つために迅速に動いています。