サンドワームのDynoWiperマルウェア、ポーランド電力網への大規模サイバー攻撃を阻止

2025年12月下旬、ポーランドのエネルギーインフラは、ロシアの国家支援型脅威アクター「サンドワーム」によるサイバー攻撃の標的となった。ポーランドのエネルギー大臣ミウォシュ・モティカ氏は、この攻撃を「ポーランドの電力システムに対する最大規模のサイバー攻撃」と表現。新たな**破壊型マルウェア「DynoWiper」**が使用されたが、ポーランドサイバー軍司令部が攻撃を検知し、運用への影響を未然に防いだ。

攻撃の技術的詳細

DynoWiperの具体的な侵害指標（IOC）や技術分析は限定的だが、その名称からワイパー機能を持つマルウェアであることが示唆される。このマルウェアは、データの消去や破壊を目的としており、情報の窃取ではない。

サンドワームは、ロシアの**GRU（軍参謀本部情報総局）**に関連付けられており、過去に以下のような破壊型マルウェアを使用している：

• NotPetya（2017年） – ランサムウェアを装ったグローバルなワイパー攻撃
• Industroyer（2016年） – ウクライナの電力網を標的とし、大規模停電を引き起こした
• CaddyWiper（2022年） – ウクライナの組織を標的とした攻撃で使用

今回のポーランド電力セクターへの攻撃は、サンドワームの戦術、技術、手順（TTPs）に合致しており、地政学的な影響力を目的とした重要インフラの破壊が狙いと考えられる。同グループはこれまで、ウクライナ、米国、欧州のエネルギーセクターを標的としており、今回の攻撃もその戦略的目的に沿ったものだ。

影響と対応

ポーランドのサイバー軍司令部は、攻撃が被害を引き起こす前に無力化されたと発表したが、初期感染経路の詳細は明らかにされていない。モティカ大臣は、国家インフラに対するサイバー脅威の高度化を強調し、次のように述べた：

「サイバー軍司令部は、年末の数日間で、これまでで最も強力なエネルギーセクターへの攻撃を検知した。」

この事件は、国家支援型APTグループが産業制御システム（ICS）や運用技術（OT）環境に与える持続的なリスクを浮き彫りにしている。ポーランドの防衛は成功したが、この攻撃は他国にとっても重要インフラの強化が急務であることを警告するものだ。

セキュリティチームへの推奨事項

エネルギーセクターやその他の重要インフラに携わる組織は、以下の対策を講じるべきである：

1. 監視の強化 – ICS/OTネットワークにおける異常検知を導入し、ワイパーや破壊型マルウェアの活動を特定する。
2. ネットワークのセグメンテーション – OTシステムを企業のITネットワークから分離し、横方向の移動を制限する。
3. インシデント対応計画の更新 – ワイパーマルウェアや国家支援型のTTPsを考慮したプレイブックを整備する。
4. 脅威ハンティングの実施 – サンドワーム関連のIOCやLiving-off-the-Land（LotL）技術を積極的に探索する。
5. CERTとの連携 – 国家サイバーセキュリティ機関と脅威情報を共有し、集団的防御を強化する。

結論

今回のDynoWiper攻撃は、失敗に終わったものの、重要インフラに対するサイバー脅威の進化を浮き彫りにしている。国家支援型グループがその能力を高める中、防御側は破壊的なサイバー作戦に対するレジリエンスを優先すべきだ。ポーランドの迅速な対応は、国家レベルの脅威に対する先制的なサイバーセキュリティ対策の重要性を示している。

最新情報については、CERT Polskaや業界トップのサイバーセキュリティ企業の脅威インテリジェンスレポートをフォローしてほしい。