ポーランド政府は2026年1月15日、2025年末(12月29日・30日)にエネルギーインフラを狙ったサイバー攻撃が発生したものの、防御に成功し停電などの影響は出なかったと公表しました。攻撃対象には、コージェネレーション発電所(CHP)2か所や、風力・太陽光など再生可能エネルギー(RES)の発電管理システムが含まれるとしています。
その後、ESET Researchは2026年1月23日、攻撃で使われたデータ破壊型マルウェア(ワイパー)を分析し、Sandworm(ロシアに連携するとされるAPT)によるものだと中程度の確度で結論づけたと発表しました。
何が起きたか
政府発表によれば、攻撃は2025年12月29日と30日に実施され、特定の拠点を狙った形で進められました。標的にはCHP(熱電併給)発電所2か所のほか、再生可能エネルギーの発電を管理する仕組み(風力発電や太陽光発電の運用に関わるシステム)が含まれます。
政府は、国家のエネルギー安全保障だけでなく、国家安全保障の観点でも重大として対応を強化する姿勢を示しています。
影響
ポーランド政府は、送電網などの重要インフラが脅かされる状況には至らず、電力系統の不安定化やブラックアウトといった結果も発生しなかったと説明しています。
ESET側も、今回の攻撃による実際の破壊的な影響(成功した混乱)を把握していない、としています。
ESET調査 Sandworm関与とワイパーDynoWiper
ESET Researchは、攻撃に用いられたワイパーをDynoWiperと命名し、同社製品ではWin32/KillFiles.NMOとして検知するとしています。
また、マルウェアやTTP(戦術・技術・手順)を過去の事例と比較した結果、Sandwormとの強い重なりがあるとして、中程度の確度でSandworm関与と結論づけています。
ESETは、今回の攻撃が2015年12月のウクライナ電力網攻撃(Sandwormが関与したとされ、マルウェアによる大規模停電として知られる)の10年後に重なる点も指摘しています。
公表されているIoC(例)
ESETが公開しているIoCの一部は以下です。運用環境に取り込む際は、誤検知やハッシュ衝突の可能性も踏まえ、複数の検知軸(プロセス挙動、書き換え対象、通信、実行経路)と組み合わせて扱うのが安全です。
政府の見立てと追加対策
ポーランド首相府の発表では、攻撃はロシアの機関と直接つながる集団が準備した可能性が高いとの認識が示されています(断定は避けつつも、ロシア側の関与を強く示唆)。
また、政府は国家サイバーセキュリティ制度(Act on the National Cybersecurity System)の整備を進め、リスク管理、IT/OT(運用技術)保護、インシデント対応の要件を強化する方針です。
情シス・OT担当が学ぶべきポイント
今回の情報から、重要インフラを狙う攻撃が「侵入」だけでなく「破壊(ワイパー)」を目的に取り得る点が改めて確認できます。日本の電力・製造・物流・ビル管理など、OTを抱える組織でも次の観点は優先度が高いです。
IT/OT境界の前提を見直す
再エネ管理や拠点設備の運用は、外部連携や遠隔監視が増えています。通信経路・認証・踏み台対策(特権ID、委託先接続、VPN/リモート管理)を棚卸ししてください。
破壊行為(ワイパー)を想定した復旧設計
ランサム対策の延長ではなく、意図的な破壊を前提に、オフラインバックアップ、復旧手順の演習、重要端末の再構築時間短縮(ゴールデンイメージ)を準備しておくと効きます。
検知はIoC依存にしない
公開ハッシュは役立ちますが、亜種や別ツールにすぐ置き換わります。大量削除・サービス停止・設定改変など、破壊系の挙動検知をSOC運用に組み込むのが現実的です。
重要システムの分離と最小権限
管理系・監視系・現場制御系の分離、踏み台の堅牢化、管理操作の記録(セッション録画等)を徹底し、横展開を難しくします。
参照
ESET Research: Sandworm behind cyberattack on Poland’s power grid in late 2025
この記事をシェアする
メールマガジン
最新のセキュリティ情報やセキュリティ対策に関する情報をお届けします。
投稿者:三村
セキュリティ対策Labのダークウェブの調査からセキュリティニュース、セキュリティ対策の執筆まで対応しています。
セキュリティ製品を販売する上場企業でSOC(セキュリティオペレーションセンター)やWebサイトやアプリの脆弱性診断 営業8年、その後一念発起しシステムエンジニアに転職。MDMや人事系のSaaS開発を行う。
WACOCA: People, Life, Style.