ポーランド電力網ハッキング、基本的なセキュリティ不備が招いた国家インフラの脆弱性

ロシア政府系ハッカーがポーランドの電力インフラをハッキング。デフォルトパスワードと多要素認証の未設定が原因。日本の重要インフラへの警鐘となるか。

2025年12月29日、ポーランドの風力・太陽光発電所と熱電併給プラントがロシア政府系ハッカーに侵入された。しかし、この攻撃が成功した理由は、高度な技術ではなく、信じられないほど基本的なセキュリティの不備だった。

「デフォルトパスワード」が国家インフラを危険に晒した

ポーランドのコンピュータ緊急対応チーム（CERT）が1月30日に公開した技術報告書によると、攻撃者は「ほとんど抵抗に遭わなかった」という。標的となったシステムは、デフォルトのユーザー名とパスワードを使用し、多要素認証も有効化されていなかった。

ハッカーたちは侵入後、システムを消去・破壊するワイパーマルウェアを感染させようとした。目的は電力供給の停止と推測されるが、明確な意図は不明だ。攻撃は熱電併給プラントでは阻止されたが、風力・太陽光発電所の監視制御システムは機能不全に陥った。

報告書は「すべての攻撃は純粋に破壊的な性質を持っていた。物理世界に例えれば、意図的な放火行為に匹敵する」と記している。

サイバーセキュリティ企業ESETとDragosは、悪名高いロシア政府系ハッキンググループSandwormの犯行と分析した。Sandwormは2015年、2016年、2022年にウクライナの電力インフラを攻撃し、実際に停電を引き起こした実績がある。

一方、ポーランドのCERTは別のロシア政府系グループ「Berserk Bear」（Dragonflyとも呼ばれる）の犯行と結論づけた。このグループは通常、破壊的攻撃よりも従来型のサイバースパイ活動で知られている。

今回の事件で最も衝撃的なのは、攻撃の「簡単さ」だ。国家の重要インフラが、家庭用ルーターレベルのセキュリティで運用されていた現実が露呈した。

日本では、電力会社や重要インフラ事業者に対するサイバーセキュリティ対策が法制化されているが、実際の運用レベルでの不備は存在するのだろうか。東京電力、関西電力などの大手電力会社は高度なセキュリティ体制を構築しているとされるが、再生可能エネルギーの普及に伴い、小規模な発電事業者も増加している。

ポーランドの事例は、サイバー攻撃の脅威が技術的な高度さだけでなく、基本的なセキュリティ管理の徹底にかかっていることを示している。

今回の攻撃は、ロシアがウクライナ侵攻以降、NATO諸国に対するサイバー攻撃を強化していることの表れとも解釈できる。電力インフラへの攻撃は、軍事的な意味を持つだけでなく、市民生活への心理的影響も狙っている可能性がある。

幸い、今回の攻撃では実際の停電は発生せず、「ポーランドの電力システムの安定性には影響しなかった」とされる。しかし、これは偶然の結果だったのか、それとも攻撃者の意図的な制限だったのか。