昨年末にポーランドの再生可能エネルギーシステムにサイバー攻撃があったことをポーランドの首相が明らかにしました。攻撃によってシステムはダメージを受けたものの電力の供給に影響はなかったということです。ポーランドのCERTの報告書によると攻撃を受けたシステムでは日立製RTUが多く使われていたようです。
変電所の遠隔制御・監視システムを破壊
攻撃は昨年12月29日に行われたようです。太陽光や風力発電などの再生可能エネルギーのシステムが狙われたほか、地域暖房(DH)の熱源となっているCHP(熱電併給発電所)も攻撃されたということです。ポーランドのCERTの報告書によると、太陽光や風力で発電された電力は変電所に送電されて変圧器で110KVに昇圧されて配電網に送電されるということです。変電所での変圧は外部からの遠隔で操作、監視されており、それを可能にするのがRTU(リモートターミナルユニット)です。RTUはセンサーや機器からデータを収集し、中央制御システム(SCADA)に送信し、制御命令を受けて操作をする電子機器で遠隔制御や監視を自動化します。ポーランドのCERTの報告によると30を越える太陽光や風力発電所が攻撃されたということですが、その多くで日立製のRTUが使われていたようです。
攻撃を受けた変電所では、VPNコンセントレータとファイアウォールとして機能するFortiGateデバイスが設置されていたということです。VPNインターフェイスはインターネットへの接続を許可し多要素認証なく設定で定義されたアカウントへの認証を許可していたということです。業界では同じアカウントとパスワードを複数施設で使い回すことが常態化しているため、1つのアカウントが侵害されることで他のデバイスも侵害される可能性があったことをポーランドのCERTは指摘しています。
ファームウェア破損、プロセッサが無効な命令を実行
システムへの侵入を許したことで機器に対する破壊的な攻撃が行われました。その中でもっとも多く使われていた機器がHitachi RTU560コントローラだったようです。Hitachi RTU560は送電網および二次送電網向けの変電所自動化製品で、グリッド自動化、制御インターフェースにおける高度に複雑なシステムに対応できるように設計されている機器です。ポーランドのCERTの報告書によると、「Default」という名前のアカウントを含むデフォルトの認証情報で構成されており、すべてのデバイスは変電所のネットワークからアクセスでき、権限があればFortiGateデバイスからもアクセスできるウェブインターフェースが公開されていたということです。
攻撃は「Default」のアカウントを使用してウェブインターフェースにログインすることで実行されたということです。ファームウェアが破損されてプロセッサは無効な命令を実行して障害が発生、デバイスは再起動のループに陥ったようです。この攻撃では日立の他にポーランドの地元企業のミクロニカのRTUや日立の保護制御リレー、Hitachi Relion 650v1.1 IEDに対しても破壊的な攻撃が行われたようです。保護制御リレーは異常を検知して自動的に遮断する装置です。
この攻撃では再生可能エネルギーシステムのほかにCHP(熱電供給発電所)も攻撃を受け、CHPへの攻撃ではワイパーマルウェアが使われたということです。攻撃者はロシアの国家を背景とした脅威グループとみられています。
【出典】
https://www.gov.pl/web/primeminister/poland-stops-cyberattacks-on-energy-infrastructure
https://cert.pl/en/posts/2026/01/incident-report-energy-sector-2025/