[能動的サイバー防御 – Public Attribution]
これはKnowBe4のCEO、Stu Sjouwerman氏によるインシデント報告書です。北朝鮮の偽のIT労働者が同社に侵入しようとした事例を紹介しています。このケースから得た教訓を共有し、他の企業が同様の事態を避けるためのアドバイスを提供しています。
How a North Korean Fake IT Worker Tried to Infiltrate Us
KnowBe4 Security Awareness Training Blog
https://blog.knowbe4.com/how-a-north-korean-fake-it-worker-tried-to-infiltrate-us
インシデントの概要
- 発生日時: 2024年7月15日
- 状況: KnowBe4は社内IT AIチームのためにソフトウェアエンジニアを募集し、通常の採用手続きを経て雇用した人物が、実際には北朝鮮の偽のIT労働者でした。
- 方法:
- 履歴書の提出、面接、バックグラウンドチェック、参照の確認を経て雇用。
- 雇用後に送付したMacワークステーションが受け取られた瞬間にマルウェアがロードされた。
- HRチームは4回のビデオ面接を実施し、応募書類に記載された写真と一致することを確認。
- バックグラウンドチェックは盗まれた米国の身分証明を使用してクリアされた。
発見と対策
- 発見: エンドポイント検出・応答(EDR)ソフトウェアが異常を検知し、SOC(セキュリティオペレーションセンター)に警告を送信
- 対策:
- SOCが新しい従業員に連絡し、疑わしい活動について問い合わせると、従業員は無線ルーターのトラブルシューティングをしていたと回答
- その後、従業員は連絡が取れなくなり、SOCはデバイスを隔離
- MandiantとFBIと協力し、偽のIT労働者が北朝鮮出身であることを確認
攻撃の手口
- 偽の従業員は、米国の住所にワークステーションを送るよう要求し、その後VPNを使用して実際の物理的な場所(北朝鮮または中国の国境付近)から接続していた。
- 実際の仕事を行い、給与の一部を北朝鮮の違法プログラムに資金として送っていた。
防止策の提案
- リモートデバイスのスキャン
- 実際にその場所にいることを確認するための厳密なチェック
- 経歴の不整合をチェック
- ビデオカメラを使って仕事の内容を確認
- 配送先住所が実際の居住地と異なる場合は注意
推奨するプロセスの改善
- バックグラウンドチェックの強化。使用された名前に一貫性がありませんでした。
- 身元が適切に審査されていない可能性があります。電子メールによる身元確認のみに頼らない。
- システムへのアクセス試行が継続している場合は、監視を強化します。
- アクセス制御と認証プロセスを強化します。
- ソーシャルエンジニアリング戦術を重視した従業員向けセキュリティ意識向上トレーニングを実施します。
注意すべきポイント
- VOIP番号の使用と提供された連絡先情報のデジタルフットプリントの欠如
- 異なる情報源間での住所と生年月日の不一致
- 矛盾する個人情報(婚姻状況、連絡が取れない理由となる「家族の緊急事態」)
- 企業システムにアクセスするためのVPNやVMの高度な使用
- マルウェアの実行とその後の隠蔽工作の試み
このケースは、より強固な採用プロセス、継続的なセキュリティ監視、HR、IT、セキュリティチーム間の連携の重要性を示しています。
