概要:ポーランドの重要インフラへの大規模サイバー攻撃
2025年12月29日、ポーランドにおいて、重要なエネルギーインフラを標的とした協調的なサイバー攻撃が急増しました。30か所以上の風力および太陽光発電所、製造企業1社、そして約50万人の顧客に熱供給を行う大規模な熱電併給プラントが、同期された破壊的な作戦の対象となりました。この攻撃は、極度の冬の気象条件の最中に発生し、エネルギー需要が高い期間にインフラの脆弱性をさらに悪化させました。
攻撃者たちは、物理的な世界における意図的な放火に匹敵する、純粋に破壊的な目的を持っていました。これまでの事例ではほとんど記録されていない、ITシステムと産業制御デバイスの組み合わせを標的としたにもかかわらず、これらの作戦は意図した影響を達成できませんでした。再生可能エネルギー施設でのエネルギー生産は中断されず、高度な技術的試みにもかかわらず、エンドユーザーへの熱供給も維持されました。
再生可能エネルギーインフラが主な標的に
主な攻撃ベクトルは、再生可能エネルギー源と配電系統事業者との間のグリッド接続点として機能する変電所に集中していました。これらの重要な接点にある産業用オートメーションデバイスが攻撃者の焦点となり、遠隔制御および監視を管理するRTU(Remote Terminal Units)、運用状況を視覚化するHMI(Human-Machine Interfaces)、電気システムを保護する保護リレー、そしてシリアルポートサーバーやネットワークスイッチを含む通信インフラが含まれました。
攻撃は、ファームウェアの破損、システムファイルの削除、およびカスタムビルドのワイパーマルウェアの展開を伴いました。RTUの損傷により、変電所と配電系統事業者間の通信が失われ、遠隔制御機能が妨げられましたが、エネルギー生産は稼働し続けました。これは、攻撃が完全に成功しなかったことを示す重要な区別です。
熱電併給プラントへの高度な攻撃
熱電併給プラントに対する協調的な攻撃は、長期にわたるインフラへの侵入や機密性の高い運用データの窃盗を含む、広範な事前準備が明らかになりました。攻撃者は盗まれた資格情報を利用して特権アカウントへのアクセスを獲得し、施設ネットワークシステム全体でのラテラルムーブメントを可能にしました。ネットワーク侵入後、攻撃者は体系的な偵察を行い、12月29日の朝に部分的に自動化された破壊計画を実行しました。
不可逆的なデータ破壊を目的としたワイパーマルウェアの起動は、最終的に組織のEDR(Endpoint Detection and Response)ソフトウェアによってブロックされ、壊滅的な運用上の損傷を防ぐことができました。
製造業への影響と脅威アクターの特定
エネルギー部門で展開されたものと同一のワイパーマルウェアを使用して、無関係の製造企業を標的とした同時作戦が行われました。この日和見的な目的は、統一された戦略的意図ではなく、調整されたタイミングを示唆しており、攻撃者が複数の並行作戦ストリームを維持していたことを示しています。
侵害されたVPSサーバー、ルーターパターン、トラフィック特性、および匿名化インフラを含むインフラ分析は、シスコの「Static Tundra」、CrowdStrikeの「Berserk Bear」、Microsoftの「Ghost Blizzard」、Symantecの「Dragonfly」と指定された活動クラスターとの大きな重複を示しています。この脅威アクターの文書化されたエネルギー部門への焦点と産業デバイス攻撃能力は、観測された方法論と一致していますが、これはこのクラスターからの初めて公に帰属された破壊的キャンペーンとなります。
防御策の強化の重要性
今回の事件は、特に運用上のストレスや極端な環境条件の期間における、重要インフラに対する破壊工作のリスクがエスカレートしていることを浮き彫りにしています。産業制御システムを運用する組織は、EDRの展開、ネットワークセグメンテーション、および認証情報の衛生管理を不可欠な防御策として優先すべきです。