ロシアのサイバー攻撃グループ「Sandworm」がポーランドのエネルギー網をDynoWiperマルウェアで標的

ロシアのAPTグループ「Sandworm」がポーランドのエネルギー業界を標的とした破壊的ワイパー攻撃を試みる

2025年12月下旬、ポーランドの電力網を標的としたサイバー攻撃が、**ロシア国家支援の高度持続的脅威（APT）グループ「Sandworm」によるものであることが判明した。攻撃者は、データ消去と重要インフラの運用妨害を目的とした新型の破壊的マルウェア「DynoWiper」**の展開を試みたが、最終的に攻撃は失敗に終わった。しかし、フォレンジック分析により、その高度な技術的手口が明らかになっている。

攻撃の技術的詳細

このインシデントを調査したセキュリティ研究者らは、Sandworm（別名：APT44またはVoodoo Bear）がDynoWiperを使用したことを確認した。このマルウェアは、ワイパー型マルウェアに典型的な特徴を有しており、以下の機能が確認されている。

• システム重要ファイルおよび運用データを標的としたファイル破壊機能
• 横展開時の検出回避を目的とした永続化メカニズム
• 相互接続されたシステム全体への影響最大化を狙うネットワーク伝播技術

初期感染経路の特定には至っていないが、Sandwormの過去の攻撃手法から、フィッシング、サプライチェーンの侵害、または未修正の脆弱性（例：Microsoft OutlookのCVE-2023-23397）の悪用が疑われている。この攻撃は、地政学的緊張の高まりの中で発生しており、ロシアがNATO加盟国の重要インフラに対するサイバー作戦を展開するパターンと一致している。

影響と攻撃者の特定

攻撃による運用妨害は発生しなかったものの、その影響は深刻である。

• 連鎖的な障害の可能性：ワイパーが成功していれば、産業用制御システム（ICS）の設定破壊により、大規模停電や長期的な停止を引き起こす恐れがあった。
• ハイブリッド戦争の激化：この事件は、ロシアがサイバー攻撃を地政学的な強制手段として継続的に利用していることを浮き彫りにしている。
• 重要インフラへの信頼低下：エネルギー業界への繰り返される標的化は、欧州全体で高額な防御強化を余儀なくさせる可能性がある。

Sandwormへの帰属は、過去の攻撃で観察された戦術、技術、手順（TTPs）に基づいている。これには、2015/2016年のウクライナ電力網停電や2017年のNotPetyaワイパー攻撃などが含まれる。ポーランドの**CERT.PL（Computer Emergency Response Team）**と民間セクターのパートナーは、包括的なフォレンジック分析を共同で進めている。

緩和策と推奨事項

エネルギー事業者および重要インフラ運営者は、以下の対策を講じるべきである。

1. ICSネットワークの分離：企業IT環境から産業用制御システム（ICS）を厳格に分離する。
2. EDR（Endpoint Detection and Response）の導入：ワイパーマルウェアの挙動を検知可能なEDRソリューションを展開する。
3. 多要素認証（MFA）の強制：運用技術（OT）システムへのリモートアクセスには、必ずMFAを適用する。
4. 机上演習の実施：ワイパー攻撃を想定したシミュレーションを行い、インシデント対応計画の有効性を検証する。
5. 侵害指標（IOC）の監視：CERT.PLが今後公開するDynoWiperに関連するIOCを監視する。

この事件は、国家支援型攻撃者が重要インフラに対して継続的に脅威を与えていることを改めて示している。特に国家安全保障に不可欠な分野では、破壊的マルウェアに対する耐性強化が急務である。