米国土安全保障省（DHS）とFBIが、ウルフクリーク原子力運営会社（WCNOC）など、米国で原子力発電所を運営する企業の従業員を標的にしたマルウェア攻撃に関する共同レポートを発表したと『New York Times』が報じている。攻撃が2017年5月から行われていることを明らかにしたこのレポートは6月末に発行され、業界に送付された。

今回の業界へのアラートは「アンバー」に分類されている。FBIとDHSから出されるこの種のレポートのなかでは、2番目の深刻度だ。攻撃は従業員のパソコンに集中しているが、まだ制御システムには至っていない。管理コンピューターと原子炉制御システムは、ほとんどの場合は別々に運用されており、制御ネットワークは通常「エアギャップ」（隔離）されている。つまり、インターネットにつながったネットワークにはつながっていない。

攻撃は核施設の工業制御を行うシニアエンジニアを狙っており、「スピアフィッシング」と呼ばれるハッキングが仕掛けられているが、発電所の運転に関係する情報が流出された形跡はない。『New York Times』によると、用意された電子メールには偽の履歴書が添付されており、制御エンジニア職を探している人から送られてきたメールを装っていたという。

原子力発電所の制御は「エアギャップ」されているが、だからといって必ずしも安全というわけではない。英国のシンクタンク、王立国際問題研究所（別名チャタム・ハウス）が2015年に行った研究によると、核制御システムは「安全ではない設計」であり、攻撃に弱いことが判明した［日本語版記事］。制御システムをインターネットにつながっている管理ネットワークから分離していないところや、エアギャップはしているがデータの移動とソフトウェアアップデートのインストールにUSBドライヴを多用するため、脆弱なところがあった。こうしたシステムは、定期的なアップデートがされていない古いオペレーティングシステムで動いているものが多い。

『New York Times』が報道したレポートには攻撃元の示唆はなかったが、匿名で提供された情報によれば、一部研究者の間で「Energetic Bear」（精力的なクマ）の名で知られている「脅威グループ」が過去5年間に展開してきた攻撃にアプローチが似ているという。Energetic Bearは、エネルギー部門を標的としてロシアを拠点に活動している。今回の攻撃は悪意ある電子メールの添付ファイルによって注入するマルウェアを使っており、特に工業制御システムを狙ったものだ。利用されたマルウェアの性質については、FBIとDHSのアナリストもまだ解明できていない。

こうした攻撃に先立ち、2017年に入ってから重要インフラ企業に対するサイバー諜報活動がより広範囲に展開されている。DHSは4月、医療と情報技術、遠距離通信の各業界に加えて、エネルギー部門全体に対してサイバー攻撃が続いていると警告した。その攻撃はユーザーの認証情報を盗み、ネットワークに永続的なバックドアを設けることを狙った「Redleaves」などのマルウェアが使われていたことが明らかにされている。