【北のハッカーたちの偽装就職が急増…企業に深刻なセキュリティ脅威】サイバー脅威と政策に関する重要ニュース
こんにちは。S2W NOTE編集です。
今回の記事では、グローバルニュースを元にサイバー脅威や関連政策に関して重要なニュースを抜粋してお届けします。
以下、2024年9月30日付の韓国メディアの『daily secu』の記事を翻訳・編集した内容になります。
北のハッカーたちの偽装就職が急増…企業に深刻なセキュリティ脅威
リモート管理ツールの使用をモニタリングする必要あり
アメリカのサイバーセキュリティ企業マンディアント、AIで生成されたプロフィール写真の識別可能なオープンソースツールの活用を推奨
北のハッカーが偽装就職を通じて全世界の企業に浸透する事例が最近増加しています。
このような活動は主に北の武器開発プログラムを支援するための資金調達目的であり、米英をはじめとする様々な国の企業がその対象となっています。
米司法省は最近、テネシー州ナッシュビルに在住のマシュー・アイザック・ヌートが北のリモートIT労働者を手助けし「ノートブック・ファーム」を運営したという疑いで逮捕したことを明らかにしました。
この「ノートブック・ファーム」は、アメリカ国内で勤務しているように装い、北のIT労働者が実際に業務を遂行できるように支援する方法の一つとして知られています。
ヌートは、米英の企業への北のIT労働者雇用を支援し、彼らが米国市民の身分を盗みリモート勤務を行えるよう手助けをしました。これにより数百万ドルの違法収益が北の武器プログラムに流入したと伝えられています。
アメリカのサイバーセキュリティ企業マンディアント(Mandiant)のレポートによると、北のハッカーは主に中国とロシアを拠点に活動しており、多数の偽の個人情報を使用して複数の企業に同時に就職し、暗号資産の送金やマネーロンダリングなどの方法で自身の正体を隠しています。
彼らは偽の履歴書とプロフィール写真、盗用した情報を利用し自身の身分を隠したまま「就職」に成功しています。
特に、米IT企業「KnowBe4」では、北のハッカーがソフトウェアエンジニアとして就職し、入社初日にマルウェアを仕込もうとした事例が報告されました。これは、企業が彼らの侵入方法に脆弱である可能性があることを示す一例です。
北のハッカーらのIT分野の偽装就職方法は非常に緻密で、様々な方法で企業の採用手続きを回避しています。最も一般的な方法の1つは、偽の個人情報と履歴書を活用して実際のIT専門家に偽装することです。
彼らはNetlifyのようなプラットフォームを使い、偽のプロフィールを作成して複数の企業に同時にエントリーします。
特に盗用した個人情報とAIで生成されたプロフィール写真を活用して自身をアメリカ、イギリスなどの専門エンジニアと偽装し、偽装情報を通じて採用プロセスを突破しています。
また、「ノートブック・ファーム」というユニークなシステムを通じて偽装就職を手助けする支援者も存在します。
「ノートブック・ファーム」は、アメリカや他の国にいる支援者が複数台のノートパソコンを一か所に集め、リモートで北のハッカーがアクセスできるようにするシステムです。
これらはIPベースのKVMデバイス(Keyboard Video Mouse)を使ってリモートでノートブックにアクセスし、AnyDesk、TeamViewer、GoToRemoteなどのリモート管理ツールをインストールし企業のシステムにアクセスします。
このようなラップトップ・ファームにより、企業が採用した人材が実際にその地域に在住し勤務しているように見せ、企業の信頼を容易に得ることができます。
これによりハッカーは同時に複数の雇用を維持し、月に複数の給与を受け取る場合も一般的です。
実際、とある北のハッカーはアメリカの企業にソフトウェアエンジニアとして就職した後、入社初日に会社のシステムにマルウェアを仕込もうと試みた事例があります。
これは、ハッカーが企業内に侵入することに成功すると、深刻なセキュリティ脅威が起こる可能性があることを示しています。
さらに、北のハッカーはほとんど中国とロシアを拠点に活動しており、彼らの活動を隠すために支援者と偽装企業(front company)を活用します。
支援者たちは北のIT労働者の就職を支援し、彼らが稼いだ収益をロンダリングして北の政権に送金する役割を担当します。
これは、ハッカーが自身の位置と正体を徹底的に隠し、企業に浸透するのを助ける主な手段の1つです。
米国務省は、北朝鮮のIT労働者が2020年から2023年の間に300社以上の米企業に浸透して680万ドル(日本円で約9.6億円)以上の収益を収め、この資金が北の武器開発プログラムに使われていると警告しました。
また、FBIとCISAは、北のIT労働者が主要国の防衛、航空宇宙、原子力、工学部門を対象としたスパイ活動とサイバー攻撃を通じてセンシティブな技術情報を確保しており、この情報を北の軍事、核プログラムに活用していると発表しました。
専門家は、偽装就職による脅威について企業はいくつかの重要な事項に注意する必要があると強調しています。
まず、採用プロセスで応募者の身元を徹底的に検証することが重要とし、具体的には、リモート面接を通じて、応募者の実際の身元が履歴書に記載されている情報と一致しているかを確認し、バックグラウンドチェックを通じて身元の信頼性を確認する必要があります。
マンディアントは、AIで生成されたプロフィール写真を識別するオープンソースツールを活用するのも良い方法だと強調しました。さらに、企業内ではリモート管理ツールの使用を慎重にモニタリングする必要があります。
北のハッカーは、企業のノートブックにTeamViewer、AnyDeskなどのリモート管理ソフトウェアをインストールし、リモートでシステムにアクセスすることが多いため、企業はこれらのツールの使用をモニタリングし、異常な使用パターンが検出された場合は直ちに対処する必要があります。
特に、Astrill VPNなどのサービスに関連付けられているIPアドレスのアクセスを慎重にモニタリングする必要があります。
最後に、企業は社内教育を通じて従業員に北のハッカーの侵入方法と偽装就職の危険性を知らせることが重要です。
採用担当者とセキュリティチームは、このような脅威を認識し、対応する方法を習得し、定期的な教育と訓練を通じて脅威を早期に検知して遮断できるように備えなければならないとのことです。
