米ファイア・アイは10月10日(現地時間)、2017年9月22日に北朝鮮政府との関連が濃厚とされるサイバー脅威グループから複数の米国電力会社宛に送信されたスピアフィッシングメールを検知、阻止したと伝えた。このサイバー攻撃は初期段階の偵察活動で、直ちに破壊的な結果をもたらすものではなく、これまでのサイバー脅威グループが行った過去の経験から判断すると、仮に検知されなかった場合でも破壊的な攻撃の準備には数カ月を要すると考えられている。
これまで、北朝鮮の関与が疑われる攻撃者が、電力供給を制御する産業制御システム(ICS)ネットワークの侵害・不正操作に特化したツールや手法を使った実例は観察されていないほか、同国の攻撃者グループがサイバー能力を保有しているという証拠も現時点では確認されていないという。
特に情勢が緊迫した際、諜報活動や有事への準備を目的に国家がサイバースパイ活動を遂行することが頻繁にあり、同社はエネルギー業界を標的とし、混乱を起こす目的で不正アクセスを試みたサイバー脅威グループをこれまでに20以上検知しており、北朝鮮以外にも少なくとも4カ国の支援が疑われていると指摘。
今回のサイバー攻撃と実際にエネルギー業界に混乱が生じた少ない事例を比べると、攻撃の技術面と運用面で多くのステップが必要とされ、今回の攻撃者はそこまでの能力を有していないと想定している。
2014年12月に韓国政府は韓国水力原子力発電(KHNP)の運営する原子力発電所が北朝鮮との関連が濃厚なワイパー・マルウェアの標的になったことを発表している。
ワイパー・マルウェアには発電所の運営を停止させる能力はなかったが、KHNPの機密文書を漏洩させており、このグループは情報漏洩を通じて、不正アクセスによる脅威を誇張していた。恐怖心の植え付け、あるいは国内のプロパガンダ達成のため、今後も北朝鮮が似たような手法を用いることが予想されているという。
現状では北朝鮮の関与が疑われる活動は一貫しており、サイバースペースで不当な先制攻撃を仕掛けるというより、抑止力の誇示が目的だと考えられている。
しかし、同国の攻撃グループのサイバー攻撃は大胆で、国力誇示のために手の内や帰属先が相手に知られる可能性をいとわず、戦争の抑止や武力衝突時に混乱を生じさせる手段として、韓国、米国およびその同盟国を中心に、今後もエネルギー業界を標的にすると推測している。
電力会社の運用を停止させる能力を持っている国家の数は、近年増加しており、今回の電力会社への不正アクセスは限定的なものだったが、北朝鮮は国内でこれを平壌の勝利として賞賛した可能性がある指摘としている。
北朝鮮と関連のあるハッカーは、国家の脅威グループとしては群を抜いて精力的に活動し、米国や韓国のみならず、世界中の金融システムや政府を標的としている。経済的動機から従来のスパイ活動、妨害工作と目的は多岐にわたるものの、国際規範を破り、もたらされる可能性のある代償を軽視している点では共通しているという。
