KnowBe4 が身分偽装した北朝鮮エンジニアを雇用 マルウェアを仕掛けるのを発見
標的型攻撃メール訓練ツールを提供しているKnowBe4(ノービフォー)は新入社員として雇用したITエンジニアが身分を偽装した北朝鮮籍の人間で、勤務開始25分で同社の環境へマルウェアをダウンロードしようとしたと発表しました。
なお、KnowBe4 のシステムでは不正アクセスは発生しておらず、データの損失や侵害も発生していません。
目次
経緯
KnowBe4は、2024年7月15日午後9時55分(東部標準時)にマルウェア対策ソフトウェアが異常なアクティビティに関する警告を社内へ送付され、この事件に初めて気付いたと述べた。
調査の結果、新入社員は、速度の問題をトラブルシューティングするためにルーターのガイドの手順に従っていたが、それが侵害を引き起こした可能性があると述べた。
同社のCEO ストゥ・シャワーマン氏は、「攻撃者はセッション履歴ファイルの操作、潜在的に有害なファイルの転送、許可されていないソフトウェアの実行など、さまざまな操作を実行した」と述べています。
「彼はラズベリーパイを使ってマルウェアをダウンロードしました。私たちは彼に電話をかけるなどして、さらに詳しい情報を得ようとしましたが、彼は電話に出られないと言い、その後反応しなくなりました。」
東部標準時午後10時20分頃、ショーワーマン氏は同社が感染したワークステーションを封じ込め、「KnowBe4のシステムへのアクセスや侵害は発生していない」と強調した。
入社審査をすり抜けた北朝鮮の工作員
ストゥ・シャワーマン氏は AIディープフェイクとして身元が明らかになったこの従業員は、北朝鮮の国家工作員がITワーカーを装って数百の米国企業に侵入した数百件のケースの1つであると述べた。
また、北朝鮮職員が身元を偽装するこの仕組みは、偽の労働者が自分のワークステーションを基本的に「ITミューレラップトップファーム」と呼ばれるアドレスに送るように要求することです。
その後、彼らは実際に物理的にいる場所(北朝鮮または国境を越えた中国)からVPNで接続し、夜勤をして米国の日中に働いているように見せかけます」。
とストゥ・シャワーマン氏は「詐欺の内容は、彼らが実際に仕事をして高給を得、その多くを北朝鮮に渡して違法なプログラムを資金調達していることです。この重大なリスクについては説明するまでもありません。」としています。
また、とストゥ・シャワーマン氏は身元不明の北朝鮮工作員が「信じられる身分を作り出し、採用およびバックグラウンドチェックのプロセスの弱点を悪用し、会社内に足場を築こうとする高いレベルの巧妙さ」を示したと警告しました。
生成AIを利用した身分証明書
上はオリジナルのストック写真です。下は人事に提出された AI製の偽装画像です。
画像引用:KnowBe4
一部引用
How a North Korean Fake IT Worker Tried to Infiltrate Us
KnowBe4 Hires Fake North Korean IT Worker, Catches New Employee Planting Malware
日本でも活動する北朝鮮労働者
2024年3月26日 警察庁は北朝鮮のIT労働者が日本人になりすまして国内で業務を不正受注している疑いがあるとして、注意喚起を行いました。
フリーランスの技術者などが企業から仕事を受注するためのオンラインのプラットフォームに、中国などを拠点とする北朝鮮のIT労働者が身分を偽って登録し、日本企業の仕事を受注して収入を得ていると見られるケースが相次いでいるということです。
加えて、北朝鮮IT労働者が悪意のあるサイバー活動について関与の可能性もあると指摘しています。
日本のアニメ「導具師ダリヤはうつむかない」に北朝鮮が関与
日本のアニメ「導具師ダリヤはうつむかない」は中国の制作会社経由で北朝鮮の労働者が関わっている事を指摘され該当部分が再修正され放映されました。
北朝鮮の外貨獲得政策
北朝鮮は国連制裁を受けており、不足する外貨を様々な方法で獲得しておりサイバー攻撃も例外ではありません。
実際2024年3月7日の国連のレポートでは、北朝鮮が約58件のサイバー攻撃で6年間に30億ドル 日本円で4500億円を窃取し、さらに外貨収入の約50%をサイバー攻撃によって獲得していると公表しています。
関連記事