ポーランド電力網へのサイバー攻撃の概要
2026年1月28日に報じられた情報によると、2025年12月下旬にポーランドの電力網に対して調整されたサイバー攻撃が発生し、国内の約30か所の分散型エネルギー資源(DER)施設に影響を及ぼしました。これには、熱電併給(CHP)施設や風力・太陽光発電の配電システムが含まれます。攻撃者は運用技術(OT)システムを侵害し、一部の「主要な設備を修復不可能なまでに損傷」させましたが、ポーランド全体の電力供給1.2 GW、つまり総供給量の5%にあたる規模の電力中断には至りませんでした。
攻撃の詳細と被害
当初、公開報告では少なくとも12箇所の施設が影響を受けたとされていましたが、重要な産業インフラ(OT)および制御システム(ICS)セキュリティ企業であるDragosの研究者によると、その数は約30箇所に上るとされています。Dragosは、停電が発生しなかったからといってこの事件の重要性が低いと考えるべきではなく、分散型エネルギーシステムの脆弱性に対する警告と捉えるべきだと指摘しています。
攻撃グループ「Electrum」の関与
Dragosは、この攻撃についてロシア系の脅威アクターである「Electrum」の関与を中程度の確信度で指摘しています。Electrumは、Sandworm(APT44)と重複する活動も見られますが、Dragosはこれを別個の活動クラスターとしています。ESETの報告によると、APT44はマルウェア「DynoWiper」を使用してポーランドの電力網に対する破壊的攻撃を試みましたが失敗に終わっています。
Electrumは、過去にもCaddywiperやIndustroyer2といったワイパー型マルウェアをウクライナの電力供給ユニットに対して展開しており、その活動範囲は最近、より多くの国に拡大しているとDragosは述べています。攻撃は、配電およびグリッド通信に関わる公開され脆弱なシステム、リモート端末ユニット(RTU)、ネットワークエッジデバイス、監視・制御システム、およびDER施設内のWindowsベースのマシンを標的としました。
攻撃者の高度な知識と影響
Dragosが影響を受けた施設でのインシデント対応から得た証拠によると、攻撃者はこれらのデバイスの展開方法と運用方法について深い知識と理解を示していました。彼らは複数のサイトで同様のRTUおよびエッジデバイスの構成を繰り返し侵害しています。Electrumは、複数のサイトで通信機器を正常に無効化し、遠隔監視と制御の喪失を引き起こしましたが、ユニットでの発電は中断なく継続されました。
一部のOT/ICSデバイスは無効化され、その構成は回復不可能なまでに破損しましたが、サイト内のWindowsシステムはデータが消去されました。たとえこの攻撃が電力供給の停止に成功していたとしても、比較的狭い標的範囲ではポーランド全国的な大規模停電を引き起こすには至らなかったでしょう。しかし、システムの周波数を著しく不安定化させる可能性があり、Dragosの研究者は、2025年のイベリア半島のグリッド崩壊のように、周波数偏差が連鎖的な障害を引き起こす可能性があると警告しています。
サイバーセキュリティの教訓
この事件は、分散型エネルギーシステムの脆弱性と、サイバー攻撃が国家の重要インフラに与え得る潜在的な影響を浮き彫りにしました。特に冬の深まる時期にこのような攻撃が行われることは、民間人の生命に危険を及ぼす可能性があり、そのタイミングの悪質さが強調されています。重要インフラを標的とした攻撃に対する継続的な警戒と、セキュリティ対策の強化が不可欠であることが改めて示された事例と言えるでしょう。