米国 CISA ポーランドのコンピュータ緊急対応チームが発表したエネルギー部門インシデント報告書の補足と対策の示唆 (2026.02.10)

こんにちは、丸山満彦です。

CISAが、ポーランドCERT-エネルギー部門インシデント報告書 - 2025年12月29日」, Naukowa i Akademicka Sieć Komputerowa Poland, 最終更新日 2026年1月30日の補足とエネルギー部門に対する対策の示唆についての公表していますね...

サイバー攻撃で完全にシステムが停止したり、爆発したりすることはないような設計になっているとしても、制限された状況で運用が続くと社会的には影響がでますので、できるだけレジリエンスなシステムであることが重要ですよね。。。

Poland Energy Sector Cyber Incident Highlights OT and ICS Security Gaps	ポーランドのエネルギー部門におけるサイバーインシデントがOTとICSのセキュリティ上の欠陥を浮き彫りに
he purpose of this Alert is to amplify Poland’s Computer Emergency Response Team (CERT Polska’s) Energy Sector Incident Report published on Jan. 30, 2026, and highlight key mitigations for Energy Sector stakeholders.	本アラートの目的は、2026年1月30日にポーランドのコンピュータ緊急対応チーム（CERT Polska）が発表したエネルギー部門インシデント報告書の内容を補足し、エネルギー部門の関係者向けに重要な緩和を示唆することである。
In December 2025, a malicious cyber actor(s) targeted and compromised operational technology (OT) and industrial control systems (ICS) in Poland’s Energy Sector—specifically renewable energy plants, a combined heat and power plant, and a manufacturing sector company—in a cyber incident. The malicious cyber activity highlights the need for critical infrastructure entities with vulnerable edge devices to act now to strengthen their cybersecurity posture against cyber threat activities targeting OT and ICS.	2025年12月、悪意のあるサイバー攻撃者がポーランドのエネルギー部門（具体的には再生可能エネルギー発電所、熱電併給プラント、製造事業者）の運用技術（OT）および産業制御システム（ICS）を標的とし侵害した。この悪質なサイバーインシデントは、脆弱なエッジデバイスを有する重要インフラ事業体が、OTおよびICSを標的としたサイバー脅威活動に対するサイバーセキュリティ態勢を強化するため、今すぐ行動する必要性を浮き彫りにした。
A malicious cyber actor(s) gained initial access in this incident through vulnerable internet-facing edge devices, subsequently deploying wiper malware and causing damage to remote terminal units (RTUs). The malicious cyber activity caused loss of view and control between facilities and distribution system operators, destroyed data on human machine interfaces (HMIs), and corrupted system firmware on OT devices. While the affected renewable energy systems continued production, the system operator could not control or monitor them according to their intended design.1	本インシデントでは、悪意のあるサイバー攻撃者が脆弱なインターネット接続型エッジデバイスを介して初期アクセスを獲得し、その後ワイパーマルウェアを展開して遠隔端末装置（RTU）に損害を与えた。この悪意あるサイバー活動により、施設と配電システム事業者間の監視・制御機能が喪失し、ヒューマンマシンインターフェース（HMI）上のデータが破壊され、OTデバイスのシステムファームウェアが破損した。影響を受けた再生可能エネルギーシステムは発電を継続したが、システムオペレーターは設計意図通りに制御・監視できなかった。1
CERT Polska’s incident report highlights:	CERT Polskaのインシデント報告書が強調する点：
・Vulnerable edge devices remain a prime target for threat actors.	・脆弱なエッジデバイスは脅威アクターにとって主要な標的であり続ける。
・・As indicated by CISA’s Binding Operational Directive (BOD) 26-02: Mitigating Risk From End-of-Support Edge Devices, end-of-support edge devices pose significant risks.	・・CISAの拘束的運用指令（BOD）26-02が示す通り： サポート終了エッジデバイスからのリスク緩和において、サポート終了エッジデバイスは重大なリスクをもたらす。
・OT devices without firmware verification can be permanently damaged.	・ファームウェア検証機能のないOTデバイスは永久的に損傷する可能性がある。
・・Operators should prioritize updates that allow firmware verification when available; if updates are not immediately feasible, ensure that cyber incident response plans account for inoperative OT devices to mitigate prolonged outages.	・・運用者は、利用可能なファームウェア検証機能を提供する更新を優先すべきである。更新が直ちに不可能な場合、サイバーインシデント対応計画においてOTデバイスの機能停止を考慮し、長期停電を緩和する必要がある。
・Threat actors leveraged default credentials, a vulnerability not limited to specific vendors, to pivot onto the HMI and RTUs.	・脅威アクターはデフォルト認証情報を悪用し、特定のベンダーに限定されない脆弱性を突いてHMIおよびRTUへ展開した。
・・Operators should immediately change default passwords and establish requirements for integrators or OT suppliers to enforce password changes in the future.	・・運用者は直ちにデフォルトパスワードを変更し、統合業者やOTサプライヤーに対し、将来のパスワード変更を義務付ける要件を確立すべきである。
CISA and the Department of Energy’s Office of Cybersecurity, Energy Security, and Emergency Response (DOE CESER) urge OT asset owners and operators to review the following resources for more information about the malicious activity and mitigations:	CISAおよびエネルギー省サイバーセキュリティ・エネルギー安全保障・緊急対応局（DOE CESER）は、OT資産所有者および運用者に対し、悪意ある活動と緩和に関する詳細情報を以下のリソースで確認するよう強く促す：
・CERT Polska’s Energy Sector Incident Report - 29 December 2025.	・CERT Polskaのエネルギー部門インシデント報告書 - 2025年12月29日付
・CISA’s joint fact sheet with FBI, EPA, and DOE Primary Mitigations to Reduce Cyber Threats to Operational Technology.	・CISAとFBI、EPA、DOEの共同ファクトシート「運用技術に対するサイバー脅威を緩和するための主要対策」。
・DOE’s Energy Threat Analysis Center’s threat advisories.	・DOEエネルギー脅威分析センターの脅威アドバイザリー。
Acknowledgements	謝辞
DOE CESER and CERT Polska contributed to this Alert.	本アラート作成にはDOE CESERとCERT Polskaが協力した。
Notes	注記
CERT Polska, “Energy Sector Incident Report - 29 December 2025,” Naukowa i Akademicka Sieć Komputerowa Poland, last modified January 30, 2026, [web] .	CERT Polska, 「エネルギー部門インシデント報告書 - 2025年12月29日」, Naukowa i Akademicka Sieć Komputerowa Poland, 最終更新日 2026年1月30日, [web].

 

 

元のポーランドCERTの報告...

● CERT Polska

・2026.01.30 Energy Sector Incident Report - 29 December 2025 

Energy Sector Incident Report - 29 December 2025	エネルギー部門インシデント報告書 - 2025年12月29日
On 29 December 2025, in the morning and afternoon hours, coordinated attacks took place in Polish cyberspace. They were directed at more than 30 wind and photovoltaic farms, a private company from the manufacturing sector, and a large combined heat and power plant supplying heat to almost half a million customers in Poland.	2025年12月29日、午前と午後の時間帯に、ポーランドのサイバー空間で組織的な攻撃が発生した。標的となったのは30以上の風力発電所と太陽光発電所、製造事業者の民間企業、そしてポーランド国内で約50万人の顧客に熱を供給する大規模な熱電併給プラントであった。
All attacks had a purely destructive objective. By analogy to the physical world, they can be compared to deliberate arson. It is worth noting that this occurred during a period when Poland was struggling with low temperatures and snowstorms just before the New Year. Although attacks on renewable energy farms disrupted communication between these facilities and the distribution system operator, they did not affect the ongoing production of electricity. Similarly, the attack on the combined heat and power plant did not achieve the attacker’s intended effect of disrupting heat supply to end users.	全ての攻撃は純粋に破壊を目的としていた。物理世界における類推を用いれば、これは意図的な放火に相当する。特筆すべきは、この攻撃がポーランドが年末の低気温と吹雪に苦しんでいた時期に発生した点である。再生可能エネルギー発電所への攻撃は、これらの施設と系統運用者間のコミュニケーションを遮断したが、継続中の電力生産には影響を与えなかった。同様に、熱電併給プラントへの攻撃も、攻撃者が意図したエンドユーザーへの熱供給遮断には至らなかった。
These events affected both IT systems and physical industrial devices, which is rarely observed in previously described attacks. We are publishing a report on this incident to share knowledge about the sequence of events and the techniques used by the attacker. We hope this will increase awareness of the real risk associated with sabotage in cyberspace. The observed attacks represent a significant escalation compared to incidents we have encountered so far.	これらの事象はITシステムと物理的産業機器の両方に影響を与えた。これはこれまで報告された攻撃では稀な現象だ。我々は本インシデントに関する報告書を公開し、攻撃者の手法と事象の経緯に関する知見を共有する。これによりサイバー空間における妨害行為の現実的リスクに対する認識が高まることを期待する。観測された攻撃は、これまで遭遇したインシデントと比較して重大なエスカレーションを示している。
Attack on Renewable Energy Plants	再生可能エネルギー発電所への攻撃
The attacks targeted power substations - grid connection points that serve as hubs transferring energy from wind and photovoltaic sources to the distribution system. Numerous industrial automation devices operate at these grid connection points that have become of interest to the attacker. These include RTUs responsible for telecontrol and supervision of the substation operation, local HMIs visualizing the facility’s operational status, protection relays responsible for, among other things, protection against electrical damage, as well as communication devices such as serial port servers, modems, routers, and network switches.	攻撃は変電所を標的とした。変電所は送電網接続点として機能し、風力・太陽光発電源からのエネルギーを配電システムへ中継するハブである。これらの接続点では多数の産業用自動化デバイスが稼働しており、攻撃者の標的となった。具体的には、変電所運営の遠隔制御・監視を担うRTU、施設の稼働状態を可視化するローカルHMI、電気的損傷防止などを担当する保護リレー、さらにシリアルポートサーバー・モデム・ルーター・ネットワークスイッチなどの通信機器が含まれる。
After gaining access to the internal network of the grid connection points, the attacker carried out reconnaissance and then prepared a plan of destructive actions targeting devices they have gained access to: damaging the firmware of controllers, deleting system files, or launching custom-built destructive software (wiper malware). The partially automated plan was triggered in the morning of 29 December. As a result of damage to the RTUs, the stations lost the ability to communicate with the DSO's systems and prevented remote control, although this did not affect ongoing energy production.	攻撃者は送電網接続点の内部ネットワークへのアクセス権を獲得後、偵察を実施し、アクセス権を得たデバイスを対象とした破壊行動計画を立案した。具体的には、コントローラのファームウェアを損傷させたり、システムファイルを削除したり、独自開発の破壊ソフトウェア（ワイパーマルウェア）を起動させるといった手段である。この部分的に自動化された計画は12月29日朝に実行された。RTUの損傷により、発電所は配電事業者（DSO）のシステムとのコミュニケーション機能を喪失し、遠隔制御が不可能となった。ただし、稼働中のエネルギー生産には影響がなかった。
Attack on a Large Combined Heat and Power Plant	大規模コージェネレーションプラントへの攻撃
The goal of the attack on the combined heat and power plant was sabotage in the form of irreversible destruction of data stored on devices in the entity's internal network using wiper malware. The attack was preceded by long-term infiltration of the infrastructure and theft of sensitive operational information. Through these actions, the attacker gained access to privileged accounts, which allowed them to move freely within the plant's systems. When the attacker attempted to activate the malicious software, its operation was blocked by the EDR software used by the organization.	コージェネレーションプラントへの攻撃目的は、ワイパーマルウェアを用いた事業体内のネットワーク上のデバイスに保存されたデータの不可逆的破壊という形態の妨害工作であった。攻撃に先立ち、インフラへの長期潜伏と機密運用情報の窃取が行われた。これらの行動により攻撃者は特権アカウントへのアクセス権を獲得し、プラントシステム内を自由に移動できた。攻撃者が悪意のあるソフトウェアを起動しようとした際、組織が使用していたEDRソフトウェアによってその動作が阻止された。
Attack on a Manufacturing Sector Company	製造事業者への攻撃
On the same day - 29 December - the attacker also attempted to disrupt the operations of a manufacturing sector company. These actions were coordinated with the attacks on the energy-sector entities, but the objective was opportunistic and unrelated to the other targets. The wiper malware used was identical to that employed in the attack on the combined heat and power plant. A detailed technical analysis of the malware is included in the report.	同日（12月29日）、攻撃者は製造事業者の操業妨害も試みた。これらの行動はエネルギー事業体への攻撃と連携していたが、目的は機会主義的であり他の標的とは無関係であった。使用されたワイパー型マルウェアは熱電併給プラント攻撃時と同一である。マルウェアの詳細な技術分析は報告書に記載されている。
Attribution	攻撃主体の特定
Analysis of the infrastructure used in the attack - including compromised VPS servers, routers, traffic patterns, and characteristics of anonymizing infrastructure - shows a high degree of overlap with the infrastructure used by the activity cluster publicly known as “Static Tundra” (Cisco), “Berserk Bear” (CrowdStrike), “Ghost Blizzard” (Microsoft), and “Dragonfly” (Symantec). Public descriptions of this actor's activities indicate a strong interest in the energy sector and capabilities to attack industrial devices, which are consistent with the attacker's actions observed in this incident. This is, however, the first publicly described destructive activity attributed to this activity cluster.	攻撃に使用されたインフラストラクチャの分析——侵害されたVPSサーバー、ルーター、トラフィックパターン、匿名化インフラの特性を含む——は、公に「Static Tundra」（シスコ）、「Berserk Bear」（CrowdStrike）、「Ghost Blizzard」（マイクロソフト）、「Dragonfly」（シマンテック）として知られる活動クラスターが使用したインフラと高い重複性を示している。この攻撃者の活動に関する公開情報によれば、エネルギー分野への強い関心を示しており、産業用機器を攻撃する能力を有している。これは本インシデントで確認された攻撃者の行動と一致する。ただし、この活動クラスターに帰属する破壊的活動が公に説明されたのは今回が初めてである。

 

・[PDF] 

 

2025.12.29にポーランド国内で同時多発的に発生した一連のサイバー攻撃が、従来の犯罪行為や金銭目的の攻撃を超え、国家レベルの能力を備えた攻撃者による「意図的な破壊行為（サイバー破壊工作）」であったというふうにみているようですね...

攻撃は風力・太陽光発電所、CHP（熱電併給）プラント、製造業企業に対して同時に行われ、IT と OT の双方を標的とし、RTU・IED・HMI・Moxa デバイスなど産業機器の破壊、Active Directory の侵害、GPO を用いたワイパー配布など、高度かつ体系的な手法が確認されたとのことです...

報告書は「これらの攻撃は純粋に破壊を目的としており、物理世界で言えば放火に相当する」といっていますね...