NATO圏の電力を狙った年末未遂——Sandwormが新ワイパー「DynoWiper」でポーランドを試す

今日の深掘りポイント

• 年末（12/29–30）という最も防御が手薄になりがちなタイミングに、ポーランドの2つの熱電併給（CHP）プラントを標的にした未遂攻撃が実施され、Sandwormが新ワイパー「DynoWiper」を投入したと報じられています。これは、IT側の復旧・監視能力を同時に鈍らせ、OT側での操作妨害を狙う“二正面作戦”の典型パターンです。
• NATO加盟国の電力インフラを狙ったという地政学的意味は重く、ウクライナでの停電作戦の延長線上に、欧州の再生可能エネルギー（DER）統合が進む環境特有の攻撃面（IEC‑104、DERアグリゲータ、遠隔制御ベンダ経路）を試す意図がにじみます。
• 新ワイパー自体の“新規性”よりも、年末の人的リソース低下と、冬季の熱需要・周波数安定性の脆弱性を突く“タイミングの最適化”に本質があります。実被害は回避された一方で、実運用の演習・分離・権限統制の成熟度が試される局面が続くと見ます。
• 緊急度と実務上の対処可能性は高く、EDR/ログの“ワイパー兆候アナリティクス”と、OT DMZ・ワンウェイ経路の堅牢化、DER/遠隔保守ベンダのJITアクセス設計の再点検が優先課題です。
• 攻撃の信頼性・実現可能性は高いと評価される一方、影響規模は“未遂”に留まったことで限定的です。ただし試行が通れば次は組み合わせ攻撃（ITワイプ＋OT操作妨害）の完成度を上げてくるはずで、猶予は短いと見ます。

参考: 報道まとめ（The Hacker News）に基づく事実関係の骨子は本文「深掘り詳細」を参照してください。The Hacker News です。

はじめに

Sandwormは、ウクライナの停電事例（2015/2016）や各種破壊的マルウェア（NotPetya系統や複数ワイパー）で知られるロシア国家支援の攻撃者で、ITとOTの同時撹乱を設計思想に据えることで知られています。今回、ポーランドの電力セクターを標的にした未遂攻撃で、新しいワイパー「DynoWiper」を用いたと報じられました。NATO圏の重要インフラに対する高難度の試行であり、ハイブリッド戦環境での“破壊未遂＋防御観察”という偵察的な色合いもにじみます。

日本のCISO/SOC/インテリジェンス担当にとっての示唆は明確です。ITの破壊（ワイプ）で監視・復旧力を奪い、OTの操作妨害に踏み込む二段構えは、国内の電力・ガス・水道・製造にそのまま移植可能な戦術です。特にDERや外部ベンダによる遠隔保守が普及するほど、侵入経路は太く長くなります。未遂のうちに、監視・分離・演習・権限統制の“現実解”を磨くことが肝要です。

深掘り詳細

事実関係（確認できるファクト）

• 2025年12月29〜30日、ポーランドの電力セクター（少なくとも2つの熱電併給プラント）がサイバー攻撃の試行を受け、破壊は未遂に終わったと報じられています。新しいワイパー「DynoWiper」の使用が示されています。
• ポーランド政府は攻撃が成功しなかったことを確認し、追加対策の方針を示したとされます。過去のSandwormの活動（ウクライナの重要インフラ攻撃）との連続線上にあるとの分析が付されています。
• 以上は報道ソースに依拠します。プライマリ情報の技術詳細（サンプルハッシュ、配置経路、ペイロードのI/O動作）は現時点で限定的です。
  出典: The Hacker News です。

また、Sandwormの歴史的手口として、IT側の破壊的活動とOT側のプロセス妨害を組み合わせる戦法は、各種公的/研究機関の分析と整合します。たとえば、MITRE ATT&CKでの「Disk Wipe（T1561）」やICS側の「Inhibit Response Function（ICS: T0814）」は、こうした二正面作戦を構成する代表的要素です。MITRE ATT&CK: T1561、MITRE ATT&CK for ICS: T0814 です。加えて、ロシア国家支援アクターによるICS/SCADA狙いの一般的TTPは、米CISAの共同勧告でも長年注意喚起されています（例: CISA AA22‑110A）です。

インサイト（編集部の視点）

• 新規ワイパーの“意義”：Sandwormは作戦ごとに新規ワイパーを投入する傾向があり、既存シグネチャの回避とDFIRの遅延を狙います。新銘柄の登場自体は目新しい一方、戦術としては“ITの可視性と回復力を先に刈り取る”既視感の強い動きです。未遂に終わった点は、事業者側のネットワーク分離・監視・運用訓練が奏功した可能性を示唆します。
• 冬季・年末の“時機選定”：CHPは電力と熱供給を担い、12月末は需要ピークと現場要員の手薄が重なりやすい時期です。ワイパーは復旧要員の可視化・ツールを直撃し、OT側の小さな操作妨害でも社会的影響が拡大しやすくなります。時機の最適化は攻撃設計の成熟を示します。
• 欧州のDER統合が生む攻撃面：再エネの統合率が上がるほど、アグリゲータや遠隔制御ベンダ、規格（IEC‑60870‑5‑104、Modbus/TCP、DNP3など）を経由した論理的な橋渡しが増えます。OTの物理分離を維持していても、ベンダの遠隔保守やデータ連携の“例外”が侵入経路になります。
• 「未遂」の意味合い：実被害を避けたことは評価すべきですが、攻撃者にとっては“観察の機会”でもあります。どこで止まるか、どの監視に引っかかるか、復旧に何時間かかるか——次の設計に反映されます。今回のシグナルは、次回が“ITワイプ＋OT制御妨害”の密結合で来る確度の高さを示します。

脅威シナリオと影響

以下は、公開情報に基づく仮説シナリオであり、確定情報ではないことに留意ください。

• 目的仮説

  • IT側：SOC/運用可視性と復旧力の剥奪（EDR停止、バックアップ破壊、ログ消去、ドメインの混乱）
  • OT側：短時間の操作妨害（周波数・電圧維持の難易度上昇、DERの出力セットポイント乱し、HMI/エンジニアリングWSの視界喪失）
  • 社会的：冬季の電力・熱供給に対する心理的圧力と政治的レバレッジ

• 想定Kill Chain（Enterprise → ICSブリッジ）

  1. 初期侵入（仮説）
     • フィッシング／添付（MITRE Enterprise: T1566）
     • 脆弱な境界機器の悪用（T1190）、外部リモートサービスの乱用（T1133）です。
  2. 権限獲得・横展開
     • 認証情報ダンプ（T1003）、リモートサービス lateral（T1021）、Active Directory探索（T1069/T1018）です。
  3. 破壊の準備（IT）
     • バックアップ・ボリュームシャドウの無効化（T1490 Inhibit System Recovery）、サービス停止（T1489）、ワイプ（T1561 Disk Wipe）です。
  4. 破壊実行（IT）
     • DynoWiper展開・実行による端末/サーバの不可逆破壊（詳細未公表のため一般的ワイパー挙動を想定）です。
  5. OT側ブリッジ（仮説）
     • OT DMZ経由のジャンプ、ベンダ遠隔保守の不正利用、エンジニアリングWS/HMIの視界奪取（ICS: T0815 Denial of View）
     • フィールド機器/RTUへの制御ロジック変更（ICS: T0831 Manipulate Control Logic）や保護機能の抑止（ICS: T0814 Inhibit Response Function）を短時間で狙うシナリオです。

• 影響レンジ（仮説）

  • CHPへの影響は電力と地域熱供給の二重性を持ち、短時間のダウンでも社会的露出度が高いです。
  • DERの乱れは系統の周波数安定維持を難しくし、需給逼迫のときにスパイク的な制約が増幅します。IT側の可視性喪失と重なると、指揮命令の遅延が影響を長引かせます。

参考（TTPの一般論拠）: MITRE ATT&CK: T1561 Disk Wipe、MITRE ATT&CK for ICS: T0814、CISA AA22‑110A: ロシア国家支援アクターとICS/SCADA です。

セキュリティ担当者のアクション

“新ワイパー”に過剰反応するより、IT/OT同時撹乱を前提にした現実的な整備が要諦です。

• 検知・阻止（IT中心）

  • ワイパー前段の共通挙動を高感度で拾うルールを強化します（vssadmin/WMIC/bcdeditによる回復機構・シャドウコピー無効化、サービス大量停止、ボリューム直書き試行、短時間での大量ファイル削除などのプロセス/コマンド相関）です。
  • EDRをDC/ファイルサーバ/バックアップサーバでブロックモードに、かつEDR停止の挙動自体をアラート化します。
  • ドメインの緊急テイクオーバー手順（セーフモード用アカウント、オフラインのKRBTGTローテーション計画）を“現場が回せる形”で更新します。

• 復旧性（Resilience）

  • 重要サーバのイミュータブル/オフラインバックアップ（3‑2‑1＋不可変ストレージ）と、ゴールデンイメージの“検証済み”即時復元プレイブックを用意します。
  • ログの二重化（SIEMに加え、WORMストレージやクラウドアーカイブ）で、ワイプ下でも事後解析の材料を確保します。

• アイデンティティ・境界

  • ベンダ遠隔保守はJIT＋時間/端末制限＋強制録画、汎用VPNから特権アクセスゲートウェイへ移行します。
  • 管理者権限は階層化し、DA/EAの常時使用を排除（PAW導入、特権昇格は手動承認）します。
  • 監視の“盲点”になりやすいIoT/現場ノートPC/エンジニアリングWSを資産台帳に明示し、別系統の監査ログを確保します。

• OTネットワーク

  • IT/OT/インターネットの三層分離とOT‑DMZの徹底、双方向通信の最小化、可能ならデータダイオード採用を検討します。
  • ICSプロトコル（IEC‑60870‑5‑104/Modbus/DNP3）に対するNDRを導入し、通常パターンからの逸脱（不審なセットポイント、ブロードキャスト、夜間の工程変更）を検知します。
  • HMI/エンジニアリングWSの“視界喪失”に備え、現場手順（紙/オフライン）と安全停止・手動復帰の訓練を四半期ごとに実施します。

• 演習・体制

  • 年末年始・深夜帯の“少人数シフト”を前提に、ITワイプ＋OTアラーム多発を同時に扱うインシデント演習（机上＋技術演習）を実施します。
  • 外部署名（広報、規制当局、治安機関）を含む連携図を更新し、連絡先を物理媒体にも保管します。

• サプライチェーン

  • DERアグリゲータ、系統監視ベンダ、DCS/SCADA保守ベンダのアクセス経路、鍵管理、ログ提供義務を契約上明文化し、年1回の侵入テスト/監査を義務化します。

• インテリジェンス活用

  • STIX/TAXIIでのフィード取り込みを“実運用のルール更新”に結び、ワイパー前段TTP（復旧機構無効化、EDR停止、横展開に用いる管理ツール悪用）の検知改善に即時反映します。
  • 国の勧告（CISA/NCSC/ENISA相当）を監視し、関連するYARA/IoCが公開された場合は緊急適用・ハンティングを実施します。

最後に、今回のメトリクス（緊急度・信頼性・実行性が高い一方、実被害が未遂に留まる構図）は、“今すぐできるテコ入れ”の余地が大きいことを示します。新ワイパー名を追うより、IT/OT同時撹乱という戦術に対して、検知・分離・復帰の一体最適を図ることが、次の一撃を実害にしない最短路です。

参考情報

• 報道（概要）: New DynoWiper Malware Used in Attempted Cyber Attack on Polish Electricity Sector（The Hacker News）: https://thehackernews.com/2026/01/new-dynowiper-malware-used-in-attempted.html
• TTPの一般論拠: MITRE ATT&CK T1561 Disk Wipe: https://attack.mitre.org/techniques/T1561/
• TTPの一般論拠（ICS）: MITRE ATT&CK for ICS T0814 Inhibit Response Function: https://attack.mitre.org/techniques/ICS/T0814/
• 背景的注意喚起（ICS）：CISA AA22‑110A（ロシア国家支援アクターとICS/SCADA）: https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-110a

本稿は、公開情報に基づく分析と仮説で構成し、未確定部分は明示しました。追加の技術詳細（ハッシュ、C2、持続化手法）が公開された際には、検知ルールとプレイブックのアップデート版を追って提供します。読者のみなさまの現場での工夫や所見も、ぜひ共有いただければ幸いです。