ポーランド電力網攻撃の概要とCISAの警告
2025年12月にポーランドのエネルギー網を標的としたサイバー攻撃は、重要インフラ事業者に対し、「安全でないエッジデバイス」がもたらすリスクについて改めて警鐘を鳴らしています。サイバーセキュリティ・インフラセキュリティ庁(CISA)は、この攻撃事例を受けて、運用技術(OT)および産業用制御システム(ICS)を標的とするサイバー脅威に対する防御の強化を強く促しています。
攻撃の詳細と脆弱性の悪用
CISAの警告によると、今回の攻撃は、多要素認証(MFA)が設定されていないインターネットに公開されたFortiGateセキュリティデバイスへのログインから始まりました。攻撃者は再利用されたパスワードを使用して侵入し、その後、デフォルトのログイン認証情報が残された複数のOT制御デバイスへアクセスしました。一部のケースでは、デバイスのファームウェアを変更する権限が悪用され、デバイスのオペレーティングコードが破壊されました。また、重要なシステムファイルの削除やファイアウォールルールの再構成も行われました。
被害を受けたポーランドの風力発電所および太陽光発電所では、Hitachi、Mikronika、Moxaといった複数の企業のOT制御デバイスが使用されていましたが、全てのデバイスでデフォルトパスワードが利用されていたことが判明しています。この結果、「施設と配電システムオペレーター間の監視および制御の喪失」「HMI(ヒューマンマシンインターフェース)データの破壊」「OTデバイスのシステムファームウェアの破損」といった被害が発生しました。発電システムは稼働を続けましたが、意図された方法での監視・制御が不可能になりました。
この攻撃について、ポーランドはロシア政府のハッカー集団「Berserk Bear」(FSB傘下)によるものと見ており、ESETはロシア軍情報機関GRUの部隊「Sandworm」が関与したと指摘しています。
CISAが提示する主要な教訓と勧告
CISAは、今回のインシデントから得られる教訓として、以下の点を挙げています。
- エッジデバイスの脆弱性が依然として存在すること。
- デフォルトパスワードの危険性。
- OTデバイスにおけるファームウェア検証の必要性。
同機関は、重要インフラ事業者に対し、デフォルトパスワードを直ちに変更し、将来的にインテグレーターやOTサプライヤーにパスワード変更の徹底を義務付けるよう警告しています。また、エネルギー省のサイバーセキュリティ・エネルギーセキュリティ・緊急対応局(CESER)と共に、ポーランドの勧告、OTセキュリティに関する最近の米国ファクトシート、エネルギー省のサイバー脅威勧告をレビューするよう促しています。
英国の国家サイバーセキュリティセンター(NCSC)のジョンソン・エリソン氏も、「このようなインシデントはサイバー脅威の深刻さを示しており、強力なサイバー防御と回復力の必要性を浮き彫りにしている」と述べ、英国の重要国家インフラ(CNI)事業者に対し、直ちに行動を起こすよう呼びかけています。