2025年12月末、ポーランドの電力インフラがロシア系APTグループ「Sandworm」による破壊的サイバー攻撃を受けた。攻撃に使用されたワイパーマルウェア「DynoWiper」は、熱電併給(CHP)プラントと30以上の再生可能エネルギー施設を標的とし、約47万人への暖房供給停止を企図したものであった。ESETおよびCERT Polskaの分析により、攻撃はEDR製品によって阻止され実被害には至らなかったことが判明しているが、NATO加盟国の重要インフラに対する初の本格的破壊攻撃として、OT/ICSセキュリティの根本的な見直しを迫る事例となった。

DynoWiperとは何か ── 技術的特徴と攻撃メカニズム

DynoWiperは、2025年12月26日から29日にかけてポーランド国内で展開されたデータ破壊型マルウェア(ワイパー)である。ESETが2026年1月30日に公開した技術分析により、その動作メカニズムが明らかになった。

DynoWiperの破壊プロセスは3段階で構成される。第1・第2段階ではファイルの上書き破壊を行い、第3段階でシステムの強制再起動を実行する。ファイル破壊には、実行インスタンスごとに生成される16バイトのランダムデータバッファを使用する。16バイト以下の小容量ファイルは完全に上書きされ、それ以上のファイルは破壊速度を優先して部分上書きを行う設計となっている。

展開手法としては、Active Directory のグループポリシー(GPO)および共有ドメインディレクトリが利用された。これはIT環境への展開を前提とした手法であり、Windows、System32、Program Files、AppDataといったシステムディレクトリは破壊対象から意図的に除外されている。この除外ロジックは、同じくSandwormに帰属される「ZOV」ワイパーと類似しており、開発プラクティスの共有が示唆される。

注目すべき点として、DynoWiperにはOT(運用技術)機器を直接標的とする機能が一切含まれていない。Industroyer(2016年)やIndustroyer2(2022年)がIEC 60870-5-104等の産業用プロトコルを操作するペイロードを搭載していたのとは対照的であり、Sandwormの戦術的変化を示唆する可能性がある。

攻撃の全容 ── ポーランド電力インフラへの8か月間の侵入

CERT PolskaおよびESETの報告を統合すると、攻撃は2025年3月に始まる長期的な侵入活動と、12月末の破壊フェーズという二段構成であったことがわかる。

第一の標的は、約47万人に暖房を供給するCHPプラント2か所であった。攻撃者は2025年3月から8〜9か月にわたりネットワーク内に潜伏し、OTネットワークの近代化計画、SCADAシステムの技術文書、関連するメール通信を窃取していた。この長期偵察の後、12月29日にDynoWiperの展開が実行された。

第二の標的は、30か所以上の風力発電・太陽光発電施設を管理する再生可能エネルギー管理システム(RES)であった。こちらでは、RTU(遠隔端末装置)のファームウェア破壊、システムファイルの削除、発電施設と配電事業者間の通信妨害が試みられた。なお、ESETとは別にCERT Polskaは、再エネ施設への攻撃を「Static Tundra」(FSBセンター16に帰属)として追跡しており、帰属分析は現在も精緻化が進んでいる。

結果として、全ての攻撃はESET PROTECTなどのEDR/XDR製品により阻止され、暖房供給の停止や大規模停電は発生しなかった。12月末という厳冬期を狙った攻撃タイミングは、2015年12月23日のウクライナ電力網攻撃を想起させるものであり、民間人への最大被害を意図した可能性が指摘されている。

Sandwormの系譜 ── 電力網攻撃の10年間の進化

Sandworm(別名APT44、GRU第74455部隊)は、電力インフラに対するサイバー攻撃能力を10年にわたり体系的に発展させてきた。その系譜を振り返ることで、DynoWiper攻撃の文脈が明確になる。

2015年12月 ── BlackEnergy3によるウクライナ電力網攻撃。ウクライナ西部の3つの電力会社が同時攻撃を受け、約23万人が1〜6時間の停電を経験した。公的に確認された世界初の電力網サイバー攻撃であり、攻撃者はExcelマクロ付きフィッシングメールで初期侵入し、約8か月の偵察期間を経て攻撃を実行した。

2016年12月 ── Industroyer(CrashOverride)によるキーウ停電。前年の攻撃からちょうど1年後、キーウの電力供給の約5分の1が1時間にわたり停止した。Industroyerは電力網攻撃に特化した初のマルウェアであり、IEC 60870-5-101(シリアル遠隔制御)、IEC 60870-5-104(TCP/IP遠隔制御)、IEC 61850(電力系統自動化)、OPC DA(Windows産業通信)の4つのプロトコル操作モジュールを搭載していた。

2017年6月 ── NotPetyaによる世界規模の破壊。ウクライナの税務ソフト「M.E.Doc」を初期感染経路とし、EternalBlue脆弱性とMimikatzを利用して世界中に拡散した。ランサムウェアを装いながら実際にはデータ復旧手段を持たない純粋な破壊兵器であり、推定被害額は100億ドルを超えるとされている。

2022年4月 ── Industroyer2によるウクライナ電力網再攻撃。ロシアのウクライナ侵攻と連動し、約200万人に電力を供給する事業者が標的となった。IEC 104プロトコル操作に特化したIndustroyer2に加え、CaddyWiper(Windows環境破壊)、OrcShred(Linux/Solaris拡散)、AwfulShred・SoloShred(Linux破壊)という多層的な破壊ツールが協調展開された。2016年の攻撃から教訓を得たウクライナ側の防御により阻止された。

DynoWiper(2025年12月)は、この系譜において重要な転換点を示している。標的がウクライナからNATO加盟国のポーランドへと拡大し、かつOTプロトコル操作機能を持たないIT指向の破壊ツールへと変化した。この変化が戦術的判断なのか、OT境界への侵入失敗を反映しているのかは、現時点では確定していない。

IT/OT境界の攻撃手法 ── プロトコルレベルの分析

Sandwormの過去の攻撃事例から抽出されるIT/OT境界の越境手法は、重要インフラ防御の設計において最も注視すべき領域である。

Industroyer(2016年)では、4つの産業用プロトコルに対応するペイロードモジュールが独立して動作した。IEC 61850モジュールはMMS(Manufacturing Message Specification)クエリを発行してデバイスの能力情報を取得し、CSW(Circuit Switch)論理ノードを特定する。IEC 60870-5-104モジュールは、STARTDT(Start Data Transfer)シーケンスを操作した後、C_SC_NA_1(Single Command)またはC_DC_NA_1(Double Command)を特定のIOA(Information Object Address)に送信し、遮断器を直接制御する。

この攻撃チェーンでは、まず既存プロセスが使用するCOMポートやTCPソケットを強制的に解放(ポートシーズ)し、OT通信チャネルの排他的制御を確立する。その後、正規のプロトコルコマンドを注入して物理機器を操作するという手順が踏まれる。

2025年のポーランド攻撃では、DynoWiper自体にはこうしたOTプロトコル操作機能は確認されていない。しかし、再エネ施設に対する攻撃ではRTUのファームウェア破壊が行われており、プロトコル操作とは異なる「機器の物理的破壊」というアプローチが採られた可能性がある。また、CHPプラントでのOTネットワーク近代化文書の窃取は、将来のプロトコルレベル攻撃に向けた偵察活動と解釈することもできる。

近年の研究では、「Living Off the Plant(LOTP)」と呼ばれる手法も報告されている。デュアルホーム構成のPLC(IPネットワークとシリアルポートの両方に接続されたコントローラ)を中継点として利用し、外部ツールをインストールすることなくPLCのネイティブ機能だけでOTネットワーク深部への横方向移動を行う手法である。Purdueモデルにおけるレベル1(基本制御システム)とSIS(安全計装システム)の境界を越える攻撃ベクタとして、防御設計上の重大な課題となっている。

OT防御のアーキテクチャ設計 ── DynoWiperの教訓から

DynoWiper攻撃は阻止されたが、その攻撃パターンから導かれる防御設計の教訓は多い。以下に、重要インフラのOTセキュリティにおける主要な防御レイヤーを整理する。

ネットワーク分離とゾーン設計。IEC 62443が規定するゾーン&コンジットモデルに基づき、同一のセキュリティ要件を持つ資産を論理的にグループ化し、ゾーン間通信をコンジット(管理された通信経路)に限定する。Purdueモデルのレベル0〜3(OT層)とレベル4〜5(IT層)の境界には、データダイオード(単方向ゲートウェイ)の設置が推奨される。OTからITへのデータフローは許容しつつ、逆方向のコマンド注入経路を物理的に遮断する設計である。

Active Directory GPO の保護強化。DynoWiperがAD GPOを悪用して展開されたことから、GPO書き込み権限の厳格な制限、GPO署名の有効化、GPO変更の監査ログ取得が不可欠である。サービスアカウントの権限は最小権限の原則に従い、定期的なクレデンシャルローテーションを実施する。

EDR/XDRのOT境界への配備。ポーランドの事例では、ESET PROTECTがDynoWiperの実行を阻止した。ジャンプホスト、エンジニアリングワークステーション、HMI(ヒューマンマシンインターフェース)端末など、OTネットワークに接続する全てのエンドポイントへのEDR/XDR配備は、最も即効性の高い防御策の一つである。

長期潜伏への対策。8〜9か月の潜伏期間は、従来のシグネチャベース検知では捕捉が困難である。ネットワークトラフィックのベースライン監視、異常なデータ流出パターンの検知、OT環境におけるファームウェア完全性の定期検証が求められる。IEC 60870-5-104の制御コマンド(C_SC_NA_1、C_DC_NA_1)の発行パターンを監視し、正常時のベースラインからの逸脱をリアルタイムで検知する体制の構築も重要である。

レジリエンス設計。攻撃を完全に防ぐことは不可能であるという前提に立ち、OT設定情報のオフライン・イミュータブルバックアップ、定期的な復旧手順テスト、グレースフルデグラデーション(段階的縮退運転)を可能にするアーキテクチャが必要である。NIST CSF 2.0の6機能(統治・特定・防御・検知・対応・復旧)を包括的に実装することで、攻撃耐性の高い運用体制を構築できる。

FAQ

DynoWiperはどのような種類のマルウェアか?

DynoWiperはデータ破壊型マルウェア(ワイパー)であり、ファイルをランダムデータで上書きした後にシステムを強制再起動する。ランサムウェアとは異なり、データの復旧手段は提供されない。ESETが2026年1月に技術分析を公開した。

Sandwormとは何者か?

Sandworm(APT44)は、ロシア軍参謀本部情報総局(GRU)第74455部隊に帰属されるAPTグループである。2015年以降、ウクライナの電力網を繰り返し攻撃してきた実績を持ち、NotPetya(2017年)の実行者としても知られる。

ポーランドの電力網攻撃は成功したのか?

攻撃は失敗に終わった。EDR/XDR製品(ESET PROTECT)がDynoWiperの実行を阻止し、暖房供給の停止や大規模停電は発生しなかった。ただし、再エネ施設ではRTUファームウェアの一部破壊や通信妨害が報告されている。

OT/ICSセキュリティにおいて最も重要な防御策は何か?

IEC 62443に基づくゾーン分離、IT/OT境界へのデータダイオード設置、OT接続エンドポイントへのEDR配備、産業用プロトコルの異常検知が基本となる。単一の対策ではなく、多層防御の設計が不可欠である。

DynoWiperとIndustroyerの違いは何か?

Industroyerは電力網のIEC 104等の産業用プロトコルを直接操作して遮断器を制御するOT特化型マルウェアである。一方、DynoWiperはIT環境のファイル破壊に特化しており、OTプロトコル操作機能を持たない。この差異はSandwormの戦術変化を示唆する可能性がある。

参考文献