ポーランドの再エネ・熱供給を狙った協調攻撃——「通信の妨害」とワイパーの同時投入が示す次の一手

今日の深掘りポイント

• 攻撃の狙いは「停電」ではなく、運用・保守（O&M）と指令・監視の遅延化です。通信妨害と端末破壊（ワイパー）の組み合わせは、現場対応を長期化させ、運用コストと社会的圧力を増幅させます。
• 分散型の風力・太陽光が多数の小規模サイトとベンダー遠隔保守に依存する構造的弱点を突いた多点同時攻撃です。再エネの普及は、管理系統・通信のサプライチェーンを新たな攻撃面に変えます。
• カスタムビルドのワイパー投入は事前のプレポジション（潜伏）と準備工の存在を示唆します。インシデントの「当日」だけでなく、その前後の痕跡を掘り起こす捜査設計が不可欠です。
• 冬季の大規模熱電併給（CHP）への波及は、停電がなくても生活インフラの脆弱性を可視化します。エネルギー安全保障と地政学的緊張の接点にある事案です。
• 現場の対応優先度は、デフォルト認証情報の排除、遠隔保守のゲート化と時間制御、OT-IT境界の分離強化、ワイパー復旧を想定した「黄金イメージ」とリストア演習です。

はじめに

年末の静けさを破るかのように、分散した再生可能エネルギー設備と地域の熱供給を巻き込む協調的なサイバー攻撃がポーランドで報告されました。今回は、直接の停電には至らずとも、通信の妨害とワイパーによる破壊行為が並走しています。これは「止める」よりも「遅らせ、混乱を増幅させる」ことを主眼に置いた作戦に見えます。分散化とデジタル化が進むエネルギー系統にとって、痛点がどこにあるのか——攻撃者は、現場のオペレーションが最も疲弊する地点を突く傾向があります。現場で対峙する皆さんが明日すぐ着手できることにフォーカスしつつ、戦術面の含意を掘り下げます。

深掘り詳細

事実関係（確認できるポイント）

• ポーランドのCERT Polskaは、2025年12月29日に30以上の風力・太陽光発電所、製造業の民間企業、50万人超に熱供給する大規模CHPを標的とした協調攻撃を公表しています。
• 攻撃者は内部ネットワークへ到達し、ファームウェア損傷やシステムファイル削除を実施。ESETが「DynoWiper」と命名したカスタムワイパーが展開され、通信の妨害が発生しました。電力供給への直接影響は確認されていません。
• 脅威クラスターはFSBに関連する「Static Tundra」に起因するとされています。
  参考（報道）: The Hacker News: Poland Attributes December Cyber Attacks on Energy Firms to Russia's FSB-Linked Hackers

注記: 上記は公開報道に基づく整理です。一次資料（CERT PolskaやESETの詳細レポート）への直接リンクは本稿時点で提示できていませんが、報道の範囲内で事実関係を要約しています。

インサイト（編集部の見立てと示唆）

• 「通信妨害＋ワイパー」の同時併用は、監視・遠隔制御の可用性を下げ、現場の手作業回復（オンサイト介入）を強いるための典型的な手筋です。停電を狙うよりも、広範な小規模サイトに対し「復旧の手間を累積させる」ことで、持続的な業務混乱とコスト増を引き起こす意図が読み取れます。
• 30サイト超の同時多発は、単発の侵入ではなく、複数サイトにわたる事前の潜伏と資格情報・装置知識の収集を前提にしたオペレーションの可能性が高いです（仮説）。「カスタムビルドのワイパー」という表現は、ターゲット環境に合わせたテスト・調整を経た投入であることを示唆します。
• 再エネ事業の現実として、遠隔監視・保守はベンダーやO&M事業者、通信キャリア、リモートI/Oや産業ルータなど多層の委託と機器に支えられます。攻撃者にとっては、デフォルト認証・弱いセグメンテーション・横断的な遠隔保守アカウントといった「共通要素」を足掛かりに、多拠点同時展開が可能になります。
• CHPのような熱供給インフラへの波及は、停電がなくとも社会的インパクトが大きい領域です。冬季の生活インフラを狙った心理・政治的圧力の演出（仮説）も視野に入ります。
• 高い緊急性と現実性、そして十分な信頼性が示唆される事案です。一方で、電力系統の堅牢性が直ちに破られたわけではありません。攻撃者は「運用の縁（ふち）」を攻め、疲弊と遅延を積み上げる戦い方を強化している、と読み解くのが妥当です。

脅威シナリオと影響

以下は、公開情報を踏まえた仮説シナリオです。実際のインシデント内容と一致することを保証するものではありません。

• シナリオA: 再エネサイトの管理端末・ゲートウェイ経由での同時ワイパー展開

  • 初期侵入: インターネット露出の産業ルータ/遠隔監視端末の脆弱性悪用またはデフォルト認証情報の濫用（ATT&CK: T1190 Exploit Public-Facing Application, T1078 Valid Accounts, T1133 External Remote Services）
  • 展開・横移動: WMI/SMB/RDPなどで管理端末に横展開（T1047 Windows Management Instrumentation, T1021 Remote Services）
  • 破壊・妨害: カスタムワイパーでシステムファイル破壊、復旧阻害（T1561 Disk Wipe, T1485 Data Destruction, T1490 Inhibit System Recovery）、監視サービス停止（T1489 Service Stop）、通信設定破壊によるテレメトリ喪失（ICS観点では Inhibit Response Functionに相当）
  • 影響: 遠隔監視断＋現地訪問が必須となり、復旧に時間・工数がかかる。出力指令の最適化が低下し、オペレーションコストと機会損失が拡大。

• シナリオB: 事業者/アグリゲータの中枢監視系（IT-OT境界）に対する指令・監視の妨害

  • 初期侵入: VPN・リモート接続経由（T1133）、あるいは委託ベンダーのアカウント濫用（T1078）
  • 指揮統制: 正規プロトコル経由のC2（T1071）、暗号化トンネル（T1573）
  • 妨害: ヒストリアン/SCADAサーバのサービス停止とログ破壊（T1489, T1070 Log Clearing）
  • 影響: サイトは動作していても可視性が喪失し、需給調整・障害検知の遅延が発生。人的なフォールバック運用に切り替えざるを得ない。

• シナリオC: CHPの制御周辺での設定改変と監視無効化（注意: 仮説）

  • 影響: 冬季の熱供給低下や配熱最適化の崩れによるサービス品質低下。重大障害に至らずとも、社会的反響と規制当局からの監督強化を招く。

検知とハンティングの観点（優先度高）

• 端末破壊の前兆: サービス一斉停止（Windows EID 7036/7034増加）、ボリュームシャドウ削除（vssadmin/shadow copy痕跡）、ブート関連レジストリ変更（T1547）
• 横移動の兆候: 管理端末間のWMIリモート実行、SMB経由のPsexec様の振る舞い、RDP同時多発接続
• 資格情報濫用: 短時間で複数サイトへ成功ログオン（4624/Anomalous Login）、新規管理者アカウント作成（4720）
• 通信異常: 同一ASN/国からの同時接続スパイク、監視ポーリングのタイムアウト急増

セキュリティ担当者のアクション

「停電は起きなかった」ことに安心せず、通信・復旧を狙う攻撃に備える前提で、優先順位を付けて動くのが肝要です。

• 直ちに（72時間以内）

  • 露出資産の洗い出しと遮断
    • 産業ルータ、遠隔I/O、監視端末、保守用VPNのインターネット露出を棚卸しし、外部到達を遮断または一時停止します。
    • デフォルト/共有/ベンダー共通アカウントを無効化・強制ローテーション。リモート保守はブローカー経由かつ時間制（Just-In-Time）に限定します。
  • ワイパー前兆のハンティング
    • サービス停止イベントの広域相関、vssadmin/カーネルドライバの新規登録、WMI横移動の痕跡を集中的に確認します。
    • 監視・制御に関わるWindows系サーバ/端末の「書き込み大量増」「実行ファイル急増」などI/O異常を可視化します。
  • 復旧の足回りを固める
    • 黄金イメージ（ゴールデンイメージ）とオフライン/不変（WORM）バックアップの所在確認、最短リストア手順のリハーサルを行います。USBメディア経由でのブート復旧手順も点検します。

• 短期（30日）

  • OT-IT境界の実効分離
    • 監視DMZ、単方向ゲートウェイ（可能なら）、ヒストリアン分離構成を再評価。OTからITへのアウトバウンド最小化、OT側は許可リスト方式へ寄せます。
  • ベンダーアクセスの契約・運用見直し
    • 常時VPNを廃し、事前承認・時間制限・録画付きの跳躍サーバ方式に統一。多要素認証はハードトークン/物理キーを優先します。
  • サイト横断の共通要素の除去
    • 同一認証情報の横展開を廃止。機器ごとの固有認証、秘密情報の保管・配布（Secret Management）を導入します。

• 中期（90日）

  • 構成の復元力を高める
    • 産業機器のセキュアブート/署名済みファームの適用可否を棚卸し。ファーム復旧の現地SOPとパーツ調達リードタイムを明文化します。
    • 通信の二重化（セルラー/衛星など）と手動・現地運用へのフォールバック手順（紙/オフライン）を整備します。
  • インシデント演習の刷新
    • 「テレメトリ喪失＋端末ワイプ」を想定した机上演習と、限定スコープの実動リストア演習を実施します。広域同時多発を前提に、派遣要員・部材・輸送計画まで含めて検証します。
  • 監視の粒度を現場起点に
    • SOCのユースケースをOT実務に寄せ、サービス停止・設定改変・視認性喪失を早期検知するルールに重み付けします。IT向け一般的シグネチャ依存を減らし、ふるまいベースの相関に移行します。

• 指標（現場で回せるKPIの例）

  • 露出資産ゼロ化までの時間、デフォルト認証情報の撲滅率
  • ベンダー遠隔アクセスの「時間制」適用率と例外の件数
  • ゴールデンイメージからのベアメタル復旧に要する平均時間
  • サイト間の資格情報共通率の削減推移

• Threat Intelligenceへの宿題

  • 「Static Tundra」クラスターのTTP更新を継続追跡し、横移動・破壊フェーズの道具立て（スクリプト、ドロッパ、ドライバ）をIOCだけでなく振るまいで記述します。
  • 同時多発のタイミング制御（スケジューラ/時刻同期の痕跡）に関する情報共有は、ワイパー防御に直結します。

最後に。本件のスコアリング観点では、規模・即時性・信頼性がいずれも高いレベルで噛み合っている事案に見えます。一方で、停電という「分かりやすい惨事」を伴わないからこそ、対応の優先順位が後回しになりがちです。狙われているのは「可視性と回復力」です。いま皆さんが積み上げる分離・最小化・復元の地道な取り組みが、次の一手を無効化します。今日の行動が、明日の平常運転を守ります。

参考情報

• 報道: The Hacker News: Poland Attributes December Cyber Attacks on Energy Firms to Russia's FSB-Linked Hackers