セキュリティ企業が雇ったリモートワーカーが実は北朝鮮のハッカーだった

セキュリティソフトウェアを開発する「KnowBe4」で、ソフトウェアエンジニアとして採用した人物が実は北朝鮮のハッカーだったことが報告されています。

How a North Korean Fake IT Worker Tried to Infiltrate Us
https://blog.knowbe4.com/how-a-north-korean-fake-it-worker-tried-to-infiltrate-us

Security Firm Discovers Remote Worker Is Really a North Korean Hacker | PCMag
https://www.pcmag.com/news/security-firm-discovers-remote-worker-is-really-a-north-korean-hacker

フィッシング攻撃やサイバー攻撃の脅威についてのセキュリティ意識向上プログラムを開発するKnowBe4では、ソフトウェアエンジニアを募集していました。KnowBe4では、求人の応募者に対して履歴書の提出を求めたり、リモートでの面接を複数回実施したり、身辺調査を行ったりしており、ある応募者がこのプロセスをクリアしたとのこと。

晴れてKnowBe4のリモートソフトウェアエンジニアとして採用されたこの従業員に対し、KnowBe4はMacを支給しました。

しかし、Macが従業員の元に到着した直後、Macにマルウェアのロードが開始されたことが確認されました。KnowBe4はマルウェアによって内部システムが危険にさらされる前に当該Macの活動をリモートで抑制したとのこと。KnowBe4が当該従業員に連絡を取ると、従業員は「速度の問題を解決するためにルーターガイドの手順に従っていました」と報告。しかしその後の調査で、当該従業員が「セッション履歴ファイルを操作する」「有害なソフトウェアを転送する」「Raspberry Piを用いてマルウェアをダウンロードする」といった不正行為に及んでいたことが明らかとなりました。

その後、従業員が電話に応答することはなかったとのこと。

FBIとGoogleのセキュリティチームであるMandiantと合同で行われた調査の結果、当該ソフトウェアエンジニアは、実はIT労働者を装った北朝鮮のハッカーだったと結論付けられています。KnowBe4は「この従業員はVPN経由で北朝鮮からアクセスしていた」と報告しました。

北朝鮮のハッカーにとってリモートソフトウェアエンジニアという役職に就くことは、企業の機密情報を盗み出し、新たな攻撃の手法を考案する上で重要な手段となっています。これまでにもFBIが「アメリカなどの外国企業と契約を結んだ数千人の北朝鮮人が、年間数億円もの賃金を秘密裏に北朝鮮に送金している」との調査結果を報告しています。

数千人の北朝鮮人が身分を偽って他国でリモートワーカーとして働いているとFBIが警告、賃金は北朝鮮に送金してミサイル計画に - GIGAZINE

今回のKnowBe4の事例では、北朝鮮を拠点とするハッカーは、ストック画像をAIで編集することで、KnowBe4の面接プロセスをクリアしたとのこと。以下の画像の左側がオリジナルのストック画像で、右側が実際にKnowBe4の人事部に提出されたAIによるディープフェイク画像です。

KnowBe4は「今回のケースは、高度で持続的な脅威から企業を保護するために、より堅固な審査プロセスや、継続的なセキュリティ監視、人事・IT・セキュリティチーム間の連携を改善することが重要であることを浮き彫りにしました」と述べています。また、KnowBe4は業界の同業他社に対して「ビデオ通話を使って内定者と面接し、当該人物が本物であるかどうかを確認すべきです」とアドバイスしています。また、単に候補者に電子メールを送るだけでなく、その人物に対する推薦状を念入りにチェックすることを勧めています。