スウェーデン、親ロシア派ハッカーが昨年自国の火力発電所を侵害しようとしていたと明かす

スウェーデン、親ロシア派ハッカーが昨年自国の火力発電所を侵害しようとしていたと明かす

The Record – April 15th, 2026

親ロシア派とみられるハッカー集団が昨年、スウェーデン西部の火力発電所の操業を妨害しようとしていたという。スウェーデンの防衛当局者が明らかにした。

この事実は、4月15日にストックホルムで行われた記者会見の場でボーリン民間防衛大臣が公表したもの。同大臣によると、ハッカーによるシステムへの侵入試行は2025年春に発生したが、同施設のセキュリティ保護策により防がれたという。同国の治安当局により特定された容疑者らは、ロシアの諜報機関と繋がりを持つものとみられると同大臣は述べた。ただ、標的となった発電所の名称は明かされていない。

スウェーデンの当局者らは、今回の侵入試行が親ロシア派ハッカーグループらの戦術の変化を反映していると指摘。かつては一時的にWebサイトをオフラインにするDDoS攻撃が主流だったのに対し、最近では破壊的な性質のサイバー攻撃が仕掛けられるようになっていると警告している。

特に、今回のようにOTシステムを標的とする攻撃についてボーリン大臣は、「これらのシステムが妨害されたり、破壊されたり、脅威アクターによって遠隔操作されたりした場合、社会に及ぼす影響は甚大になり得る」として懸念を伝えている。OTシステムは、発電所、水道施設、製造設備などの物理的インフラを制御する産業用ソフトウェア。2025年にはロシア関連とみられるハッカーによってポーランドの電力網を狙った攻撃が実施され、約30か所の通信・制御システムのうち、一部の産業用制御システム（ICS）に恒久的な損害がもたらされたと報告されている。

こうしたサイバー活動はポーランドだけでなく、ヨーロッパ全域のエネルギー部門を標的として行われており、ボーリン大臣は、近隣のノルウェーやデンマークでも同様の試みが確認されているとも伝えている。

実際にヨーロッパ各国の当局者らは、ロシアと関連するサイバー作戦が、特にウクライナを支援する国々の重要インフラを標的にしているとして、ますます強く警告を発している。

署名付きソフトがアンチウイルスキラー展開のために悪用される

BleepingComputer – April 15, 2026

デジタル署名付きのアドウェアツールが、アンチウイルスを無効化するSYSTEM権限ペイロードを展開しているのを、セキュリティ企業Huntressが発見。124か国の研究機関・公共施設・政府機関・ヘルスケア組織にわたって23,500件以上の感染したホストが存在し、それぞれが攻撃者のインフラへと接続しようとしていたという。

Huntressの研究者らは、3月22日に複数の管理対象環境でアラートが発出されたことを受け、このキャンペーンを発見。アラートは、アドウェア（PUP）とみなされるファイル数件により引き起こされていたという。これらのファイルは、Dragon Boss Solutions LLCという企業の署名付きだった。同社は「検索収益化の研究」活動に従事しているとされ、ブラウザと称しながらも複数のセキュリティソリューションによってPUPとして検出される各種ツール（Chromstera Browser、Chromnius、WorldWideWeb、Web Genius、Artificius Browserなど）を宣伝している。

アドウェアは、主に広告のポップアップやバナーを表示したり、ブラウザをリダイレクトさせたりすることで開発者に収益をもたらすものであり、一般的には悪意あるソフトウェアというよりは、むしろ迷惑な存在とみなされている。しかしHuntressの研究者が発見したアドウェアは、広告やリダイレクトでユーザーを煩わせるだけでなく、アンチウイルスキラーを展開する高度な更新メカニズムも備えていた。

攻撃者は、ペイロード展開のために商用インストーラー作成ツール「Advanced Installer」の更新メカニズムを利用。この更新プロセスにより、まずGIF画像に見せかけたMSIペイロード「Setup.msi」を取得する。このペイロードは、メインのペイロードを展開する前に偵察を実施。管理者権限の確認、仮想マシンの検出、インターネット接続の検証、およびレジストリを照会してMalwarebytes、Kaspersky、McAfee、ESET製のアンチウイルス（AV）製品がインストールされているかを確認するという。

これらのセキュリティ製品は、その後展開されるPowerShellペイロード（ClockRemoval.ps1）によって無効化されるほか、同ペイロードはシステムの起動時、ログオン時、および30分ごとにルーチンを実行。サービスの停止、プロセスの強制終了、インストールディレクトリやレジストリエントリの削除、ベンダー提供のアンインストーラーのサイレント実行を行うほか、アンインストーラーが実行されない場合にファイルの強制削除を行うことにより、システム上にアンチウイルス製品が残らない状態を確保する。加えて、各ベンダーのドメインをブロックすることで、セキュリティ製品の再インストールやアップデートも防ぐという。

分析の結果、Huntressは、攻撃者がキャンペーンで使用されたメインの更新ドメイン（chromsterabrowser[.]com）や代替ドメイン（worldwidewebframework3[.]com）を登録していなかったことを発見。Huntress自身でメインの更新ドメインを登録し、「悪意ある者の手に渡れば、あらゆる悪用が可能だったであろう指示を求めて、数万もの侵害されたエンドポイントが接続を試みる様子」を監視したという。なお、この未登録だった状態は、誰でもこのドメインを乗っ取り、セキュリティ対策が施されていない何千台もの既に感染したマシンに対して任意のペイロードを送り込むことが可能だったことを意味している。

この監視の結果、同社はIPアドレスに基づき、重要度の高いネットワーク内で324台の感染ホストを特定している：

• 北米、ヨーロッパ、アジアの学術機関：221件
• エネルギー・運輸セクターや重要インフラ事業者のOTネットワーク：41件
• 地方政府、国家機関、公共施設：35件
• 小・中学校：24件
• 病院システム、ヘルスケア事業者：3件

Huntressは組織のシステム管理者に対し、「MbRemoval」または「MbSetup」を含むWMIイベントサブスクリプション、「WMILoad」または「ClockRemoval」を参照するスケジュールされたタスク、およびDragon Boss Solutions LLCによって署名されたプロセスがないかを確認することを推奨。加えて、ホストファイルを確認し、アンチウイルスベンダーのドメインをブロックするエントリがないか確認するとともに、Microsoft Defenderの除外設定に「DGoogle」、「EMicrosoft」、または「DDapps」などの不審なパスが含まれていないかを確認することも勧めている。