北朝鮮のIT技術者が大企業に紛れ込む どうやって?
従業員が不注意によってサイバー攻撃を招くことがある。中には企業内の情報を盗み出す者もいる。だが、大企業を中心に事態が悪化し始めた。情報を盗み出したり攻撃を仕掛けたりすることを目的に応募する従業員が続々と現れたからだ。
優秀なIT技術者を求める企業は多い。これを利用して情報を盗み出したり、サイバー攻撃を仕掛けたりすることを目的に入社しようとする事例が見つかった。
北朝鮮のIT技術者が大企業に紛れ込む
特に危険なのが北朝鮮のIT技術者が関わる事例だという。そもそもどうやって紛れ込むのだろうか。
脅威情報とインシデント対応に取り組むMandiantは、そのような事例を2024年9月23日に発表した。北朝鮮政府のために活動するIT従業員が北朝鮮以外の国籍を装い、米国の技術業界をはじめとする西側企業に雇用されているという(注1)。
北朝鮮の支援を受けるIT従業員は、世界で最も価値のある企業の幾つかに潜入している。Mandiant Consultingのチャールズ・カーマカル氏(最高技術責任者)は、2024年9月23日の「LinkedIn」への投稿で「Fortune 100企業のうちの数十社は、北朝鮮出身のIT従業員を知らず知らずのうちに雇用している」と述べた(注2)。
Mandiantによると、このような広範囲にわたる内部脅威攻撃キャンペーンは、北朝鮮政権に収益をもたらす。ときには、北朝鮮と利害が一致する脅威グループがアプリケーションのソースコードに変更を加えたり、スパイ活動やその他の悪質な活動を実行したりするためのアクセス権を提供することにもつながるという。
企業に潜り込んで何をするのか
Mandiantはまだ大規模な悪意ある活動を観察していないものの、脅威グループが将来的に内部アクセスを利用してシステムやソフトウェアにバックドアを挿入する可能性を懸念している。
カーマカル氏は次のように述べた。
「これは攻撃者による初期アクセスの一つの手段だ。特に強調したいのは攻撃者がITや技術関連の職種を狙っている点だ。これにより、他の従業員がアクセスできないシステムに攻撃者がアクセスできるようになる可能性がある。この攻撃手法は非常に大きな影響を与える可能性がある」
Mandiantが追跡している「UNC5267」として知られる非中央集権型の脅威グループは、依然として活発であり、主にフルタイムまたは契約ベースの完全リモートのポジションに応募している。Mandiantによると、北朝鮮政府から派遣され、中国やロシア、アフリカ、東南アジアで生活するIT従業員の一部は、複数の仕事を同時にこなしているという。
北朝鮮国籍以外の協力者は、マネーロンダリングや企業のノートPCの受け取りと保管、偽装された身元を使って雇用を確認するなど、これらのIT従業員に支援サービスを提供している。これらのノートPCはIPベースのKVM装置や市販のリモート監視管理ツールに接続されていることが多い。
2024年5月、アリゾナ州でこれらのノートPCファームの一つを運営して300以上の米国企業を欺き、2020年10月から2023年10月までの間に少なくとも680万ドルの不正収入を得た容疑である女性が逮捕された(注3)。
どうやって防げばよいのか
2022年6月、連邦捜査局(FBI)は企業に対して、リモート求人に応募しようとする際にディープフェイクや盗まれた個人情報を使用する人物に警戒するよう警告した(注4)。
厳格な身元調査や慎重な面接プロセスなど、企業が偽装人材の採用を検知したり、防止したりするための戦略をMandiantが明らかにしている。同社は人事部門に対して、採用チームを訓練し、候補者がカメラをオンにするのを渋ったり、面接時に偽の背景を使用したりするなどの不一致を見抜けるようにすることを求めている。
カーマカル氏は次のように述べた。
「攻撃者は説得力のある履歴書を作成し、採用プロセスにおける幾つかのチェックに対する回避策を知っている。組織はこの潜在的な脅威にまだ気付いていない。そのため、応募書類を確認したり採用プロセスを進めたりする際に、攻撃者の存在に気付かないという問題が発生している」
Mandiantによると、攻撃を受けた可能性を示す技術的な兆候には、企業のノートPCを別の場所に送るように従業員が要求することや、リモート管理ツールやVPNサービス、マウスを自動的に動かすソフトウェアの使用などがある。
企業はITオンボーディングの際にノートPCのシリアル番号の確認を要求したり、企業のデバイスへの物理的なアクセスを確保するためにハードウェアベースの多要素認証を実装したりすることで危険な従業員の活動に対応できる。
出典:Major companies keep hiring North Korean IT workers(Cybersecurity Dive)
注1:Staying a Step Ahead: Mitigating the DPRK IT Worker Threat(Google Cloud)
注2:Charles Carmakal(LinkedIn)
注3:Charges and Seizures Brought in Fraud Scheme, Aimed at Denying Revenue for Workers Associated with North Korea(U.S Department of Justice)
注4:Is your remote IT job candidate legit?(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
Googleの公表はウソだった? 「Chrome」の拡張機能が危険な理由
Google Chromeには便利な拡張機能が多数ある。だが、研究によればChrome ウェブストアからインストールした拡張機能はそれほど安全ではなく、数億人のユーザーがマルウェアに感染した可能性があるという。
「あなたの会社のセキュリティ対策は時代遅れ」Microsoftのクラウド担当が語る
Microsoftのクラウドセキュリティ担当バイスプレジデントは、セキュリティを高める手法を間違えている企業が少なくないと語る。現在のITシステム構成や攻撃内容から考えると、ダイナミックで現実的な手法が必要なのだという。どのような手法だろうか。
「静かな採用」とは? 「静かな退職」に続く新たなトレンドになるか
人事の新しいトレンド「静かな採用」とは何か。この言葉が出現した背景や、正しい「静かな採用」の方法を解説する。