ルーマニア水資源当局で約1,000台が暗号化されたランサム被害──流域管理10/11機関に波及し、GIS/DB/メールに影響

今日の深掘りポイント

• クリティカルインフラ（流域・水資源管理）で大規模なIT側暗号化が発生し、地理情報・メール・DBなど意思決定系の基盤に障害が出ています。水供給そのものではなくても、洪水監視・配水調整・許認可・現地調査の連携に直結する情報系が止まる影響は大きいです。
• 攻撃は年末の人員薄を狙った横展開型で、ドメイン権限の掌握やグループポリシー経由の一斉暗号化といった「運用的に成熟したRaaS」の典型パターンが疑われます。一次情報は限定的ですが、既知の大規模暗号化事案のTTPと整合します。
• 10/11の流域機関まで波及した点は、ネットワーク分割（組織・地域・役割のセグメンテーション）と特権管理の不備を強く示唆します。OT/IT分離の「理念」と、AD・管理端末・バックアップの「実装」がずれていた可能性が高いです。
• 短期の運用影響は高く、復旧はAD・バックアップ・メールの順に段階的に進めるのが現実的です。被害組織だけでなく、水関連の公的機関・自治体・委託先も、年末年始にかけて緊急の体制点検が必要です。
• 新規性は中程度ですが、波及規模と即時性は高く、同地域の公共インフラ群全体への模倣・連鎖を前提とした準備が求められます。

はじめに

ルーマニアの水資源当局 Administrația Națională Apele Române（ANAR）が、ランサムウェアにより約1,000のシステムが暗号化されたと報じられています。影響は地理情報システム（GIS）、データベースサーバー、メールなど情報基盤に及び、11ある流域管理機関のうち10機関で被害が発生したとされています。当局サイトはオフライン化され、攻撃者は身代金要求メッセージを残したとのことです。ルーマニアのサイバー当局は交渉不推奨の立場を示していますが、一次情報の公開は限定的であり、本稿では公知の報道に基づき、クリティカルインフラ組織の視点で再現性のある防御・復旧の論点を整理します。The Registerの報道に依拠しています。

深掘り詳細

1) 事実整理（公開情報ベース）

• 侵害開始は12月20日ごろとされ、約1,000台が暗号化対象となったと報じられています。
• 影響はANAR配下の11流域管理機関のうち10機関に及び、GIS、データベース、メールなどの情報系サービスが停止・劣化したとされています。
• ランサムメモが残され、交渉を促す文面が提示された一方、ルーマニアのサイバー当局は交渉を避けるよう勧告していると報じられています。
• 公式ウェブサイトは一時的にオフライン化され、代替手段で情報提供が行われているとされています。
  出典：The Register（報道） https://www.theregister.com/2025/12/22/around_1000_systems_compromised_in/

注記：攻撃で用いられた暗号化手法（例：OS標準機能の悪用など）や初期侵入ベクトル、データ持ち出しの有無などは一次情報で未確定です。既知の類似事案ではOS標準の暗号化機能やドメイン配布機構（GPO、管理エージェント）を悪用した大量同時暗号化が多いため、本件でも可能性はありますが、確証はありません。

2) インサイト（運用・ガバナンス観点）

• 情報系の広域停止は「安全な運転」の意思決定を阻害します
  水道・ダム制御などのOTが直接停止しなくても、GISやDB、メールが止まると、洪水監視・流量調整・障害対応・対外調整が遅延します。水インフラは「指令・連絡・参照情報」が止まるだけで安全余裕度が下がるため、情報系の復旧優先度は高くすべきです。
• 「10/11機関で被害」は管理系アイデンティティの単一障害点を示唆
  広域横展開は、アイデンティティ・管理プレーン（AD、特権アカウント、管理端末、ソフトウェア配布）が侵害されたときに典型的に起きます。地域・事業・役割でのセグメント化（管理者・管理端末の分離、GPOの境界、相互信頼の最小化）が機能していなかった可能性が高いです。
• 休日・年末進行は攻撃者に優位
  年末の人員薄は検知後の初動と復旧のSLAを押し下げます。水関連の公的機関は、祝祭日対応のインシデント体制（輪番、オフライン連絡網、代替指揮系統）を平時から確立しておくべきです。
• 新規性は限定的、再現性は高い
  既知のRaaSが用いるTTPの延長線上で再現可能なため、同地域の上下水・環境・自治体・流域関連組織に模倣攻撃が波及する確率は高いです。対策は「ゼロからの新機軸」ではなく、AD・バックアップ・セグメント化の基本に立ち返った実装品質の底上げが要諦です。

脅威シナリオと影響

以下は一次情報が限られるなかでの仮説です。MITRE ATT&CKに沿って、最小反証性のある想定を提示します。

• シナリオA：フィッシングと有効アカウント悪用によるAD乗っ取り → 一斉暗号化
  仮説の流れ

  1. 初期侵入: スピアフィッシング（ATT&CK: T1566）や認証情報詐取→有効アカウントの不正使用（T1078）
  2. 権限昇格/横展開: 資格情報ダンピング（T1003）、RDP/SMB横展開（T1021.001/002）
  3. 持続化/防御回避: ドメインポリシー改変（T1484.001）、セキュリティツール無効化（T1562）
  4. 影響: データ暗号化（T1486）、システム復旧妨害（T1490）
  5. 追加の脅迫: データ持ち出しがあればExfiltration over Web Service（T1567）で二重恐喝（未確認）

• シナリオB：公開系の管理ポータル/ゲートウェイの脆弱性悪用 → 管理プレーン侵害
  仮説の流れ

  1. 初期侵入: 公開アプリケーションの脆弱性悪用（T1190）やサプライヤーVPN経由（T1199）
  2. 以降はシナリオAと同様に、AD/配布機構を悪用し短時間で大量暗号化

• 影響評価（情報系中心）

  • GISやDB停止により、洪水・渇水リスク評価、取水・放流の計画、現場指示・住民広報の遅延が発生します。
  • メール停止は、自治体・警察・河川管理・ダム事業者・メディアとの連絡に遅延を生み、危機広報を難しくします。
  • OT側への即時影響は報じられていませんが、IT→OTピボットの典型経路（監視端末、境界のジャンプホスト、データヒストリアン、遠隔保守）は要注意です。MITRE ATT&CK for ICSでは、監視喪失（Loss of View, T0829）や応答妨害（Inhibit Response Function, T0814）が典型的な最悪シナリオです。
    参考：MITRE ATT&CK（Enterprise/ICS） https://attack.mitre.org

• 地域的外部性
  同一流域や越境河川を共有する公共機関・自治体・事業者の計画・意思決定は相互依存です。単独組織の停止でも、周辺の避難判断・工事計画・河川工学的評価に波及するため、情報連携の代替手段（相互ホットライン、データミラー、共通GISの読み取り専用バックアップ）を地域で整備しておくべきです。

セキュリティ担当者のアクション

攻撃の新規性は高くない一方、波及性と即時性が高い事案です。以下は水・環境・自治体を含む公共インフラ組織における実装優先のToDoです。

• 初動（発見〜72時間）

  • ドメイン復旧前提の封じ込め
    • 侵害ドメインの管理者資格情報を棚卸しし、KRBTGTの二段階ローテーションを計画・実施（復旧計画に基づく）（AD全体復旧に関わるため要注意）。
    • 侵害セグメントの東西トラフィック遮断、管理端末からの南北（IT→OT）禁止の強化。
    • GPO/スクリプト/ソフト配布の変更履歴監査（Directory Service変更 5136、GPO変更 4739、グループ変更 4728/4732 などのイベント監査）。
  • バックアップの保全
    • オフライン/イミュータブルコピーを最優先で検証・隔離。バックアップ管理プレーン（コンソール、鍵、保管先）への不正アクセス痕跡を確認。
  • コミュニケーションの代替確保
    • メール停止時の代替（クラウド一時ドメイン、メッセージング、電話/無線の指揮回線）を即時運用。

• 復旧（1〜2週間）

  • アイデンティティのクリーン化と段階復旧
    • 最小構成（新AD林/子ドメイン、Tier 0のみ）で上位から再構築し、ゼロトラスト志向の特権境界（PAW、JIT/PIM、LAPS、ローカル管理者の無効化）を徹底。
    • メールはMXフェイルオーバー/クラウド一時運用で段階復旧、GIS/DBは読み取り専用のミラーから先に公開。
  • ハンティング/監査の重点
    • 大量暗号化の痕跡（暗号化プロセスのスパイク、復旧妨害コマンド、ログ消去：EventID 1102）
    • 管理者経由の横展開（psexec/wmi、スケジュールタスク）、OS標準暗号化機能の濫用（例：manage-bde/cipher等の大量実行。あくまで一般論です）。

• 再発防止（中期）

  • IT/OTの「実効分離」
    • 物理・論理・人の三層で分離。ジャンプホストは一方向、プロトコルブレイク、監査一元化。ヒストリアンやエンジニアリング端末は強制的に信頼境界の内側へ。
  • 管理プレーンの分割統治
    • 流域・地域ごとに管理ドメイン/OU/GPOの境界を設け、横展開の最大半径を小さくする。委託先/ベンダーの特権はJIT化と端末制約（PAW/VDI）で最小化。
  • バックアップの設計見直し
    • 3-2-1の徹底と「管理面の分離」。リカバリ演習は「ドメイン/林まるごと」レベルの年2回実施。
  • 法令・制度対応
    • EU NIS2/CERの要件に沿ったリスク管理・報告・是正プロセスを再点検。とくに水・環境分野は要件の対象になりやすく、委託先もスコープに含めて監督すべきです。参考：NIS2指令（EUR-Lex） https://eur-lex.europa.eu/eli/dir/2022/2555/oj

• 地域横断の現実解

  • 近隣の河川・自治体・水道事業体と、読み取り専用のデータバックアップ共有、非常連絡網、共同訓練（年1回以上）を制度化。
  • 祝祭日・長期休暇向けに、輪番SOC/IRT、代替指揮、連絡品目（紙・無線・バックアップ端末）の整備を常設化。

本件は、規模と即時性の高さに対してTTPの新規性が低い「防げた可能性の高い攻撃」に分類されやすいです。CISOやSOCは、スコープを広げるよりも「AD・管理プレーン・バックアップ・分離」の実装品質を、この機会に一段引き上げることが最短距離の投資対効果につながります。

参考情報

• The Register: Around 1,000 systems compromised in ransomware attack on Romanian water authority ANAR（2025-12-22）
  https://www.theregister.com/2025/12/22/around_1000_systems_compromised_in/
• MITRE ATT&CK（Enterprise/ICS）
  https://attack.mitre.org
• EU NIS2指令（公式EUR-Lex）
  https://eur-lex.europa.eu/eli/dir/2022/2555/oj

注記：本稿は上記公開情報に基づく分析であり、一次情報の追加公開により評価が更新される可能性があります。データ持ち出しの有無、特定の暗号化手口、侵入経路など未確定要素は仮説として明示しています。