ロシアのサンドワームAPTグループがポーランド送電網を標的とするデータ破壊型マルウェア攻撃

ロシアのサンドワームAPTグループがポーランド送電網を標的とする破壊型マルウェア攻撃

セキュリティ研究者らは、ポーランドの送電網に対する最近のサイバー攻撃を、サンドワーム（Sandworm）と呼ばれる高度なロシアの持続的標的型攻撃（APT）グループによるものと断定した。この攻撃ではデータ破壊型マルウェアが使用され、重要インフラに対するサイバー物理的脅威がさらに深刻化している。この事態は、同グループが2015年にウクライナの送電網を攻撃し、数十万人が停電の被害を受けた事件を彷彿とさせる。

攻撃の技術的詳細

現在のところ、具体的なマルウェアの種類や攻撃経路は明らかにされていないが、この事件はサンドワームの過去の戦術、技術、手順（TTPs）と一致している。ロシアのGRU軍事諜報機関と関連付けられている同グループは、これまで以下のマルウェアを使用してきた：

• BlackEnergy（2015年ウクライナ攻撃）
• Industroyer/CrashOverride（2016年ウクライナ攻撃、CVE-2016-5851）
• NotPetya（2017年世界的なワイパーマルウェア、CVE-2017-0144）

ポーランドの送電網に対する今回の攻撃では、データを破壊または消去することを目的としたワイパーマルウェアが使用された可能性が高く、運用技術（OT）システムの機能を妨害する恐れがある。ランサムウェアとは異なり、ワイパーマルウェアは金銭的利益よりも破壊を優先するため、国家支援型のサボタージュに好んで使用される。

影響と地政学的背景

この攻撃のタイミングは、ロシアとNATO加盟国、特にロシアのウクライナ侵攻以降の緊張関係の高まりと一致している。ウクライナへの西側軍事支援の重要な物流拠点であるポーランドは、ロシアのサイバー作戦の標的となることが多くなっている。この事件は以下の点を浮き彫りにしている：

• 重要インフラが現代のハイブリッド戦争における高価値標的となっていること。
• 国家支援型のサイバー作戦において、サイバー諜報活動と物理的影響の境界が曖昧化していること。
• サイバー攻撃における帰属の難しさ。フォレンジック証拠が状況証拠に依存することが多いためだ。

重要インフラ事業者への推奨事項

送電網やその他の重要インフラを管理するセキュリティチームは、以下の対策を講じるべきである：

1. OT固有の脅威に対する監視を強化する。異常なネットワークトラフィックや産業用制御システム（ICS）への不正アクセスなどを検知する。
2. ITネットワークとOTネットワークの間で厳格なセグメンテーションを実施し、横方向への攻撃拡大を防ぐ。
3. OT環境に特化したエンドポイント検出および対応（EDR/XDR）ソリューションを導入する。
4. サイバー物理的攻撃シナリオを想定した定期的な机上演習を実施する。
5. ワイパーマルウェアや破壊型攻撃を考慮したインシデント対応計画を策定・更新する。

ポーランドコンピュータ緊急対応チーム（CERT）および国際的なサイバーセキュリティ機関が現在、この事件の調査を進めている。フォレンジック分析の進展に伴い、侵害の痕跡（IOCs）などの詳細が明らかになる可能性がある。

最新情報は、SecurityWeekの記事をご覧ください。