1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 北朝鮮のIT技術者がソースコードを盗んで企業を脅迫

北朝鮮のIT技術者がソースコードを盗んで企業を脅迫

セキュリティニュース

投稿日時: 更新日時:

北朝鮮のIT技術者がソースコードを盗んで企業を脅迫―FBIが警告

米国企業が知らずに北朝鮮のIT技術者を雇用し、ソースコードを盗まれることで脅迫されている事例があるとFBIが報告しています。

北朝鮮による脅迫の概要

北朝鮮のIT技術者は企業の機密データを入手しており、それらの情報をオンライン上で漏洩させないように身代金を要求していると、米国を含む世界中の公共機関および民間企業に警告しています。

具体的には、北朝鮮のIT技術者はGitHubなどのコードのリポジトリを、自身のユーザープロファイルや個人のクラウドアカウントにコピーしています。

これはソフトウェアの開発者の間では一般的な行為ですが、コードが大規模に盗まれるリスクを伴います。

さらに、機密性の高い企業の認証情報やセッションクッキーを収集し、企業管理以外のデバイスか
ら再度セッションを開始することで、さらなる機密漏洩の機会を狙う可能性があります。

このようなリスクを軽減するため、FBIは企業に対し、以下のような対策を推奨していま
す。

FBIが推奨する対策

・「最小権限の原則」を適用:管理者アカウントを無効にし、リモートデスクトップア
プリの権限を制限する

・ 異常なネットワークトラフィックの監視と調査:リモート接続における異常なネット
ワークトラフィックを監視する

北朝鮮のIT技術者は短期間にさまざまなIPアドレスから同じアカウントにログインすることが多いためです。また、これらのIPアドレス
はさまざまな国にまたがっている場合があります。

・ データ流出の監視:共有ドライブ、クラウドアカウント、プライベートコードリポジ
トリを介したデータの流出を特定するため、ネットワークログやブラウザセッション
を再確認する

・ エンドポイントの監視:複数の音声/ビデオ通話を同時に行うことが可能なソフトウェ
アの使用を監視するまた、リモートでの採用プロセスを強化するため、企業は面接時や入社時に応募者の身元確認を行い、履歴書の内容や連絡先情報が類似している応募者を人事システムで照合する
ことが重要です。

北朝鮮のIT技術者は、面接時にAIやフェイススワッピング(顔入れ替え)技術を使用して身元を隠すことが知られているため、人事部や採用マネージャーは関連するリスクを認識しておく必要があります。

また、履歴書のメールアドレスや電話番号を再利用することが多いため、入社後に決済プラットフォームや連絡先情報の変更を監視することも重要です。

さらに、採用時の身元確認をすり抜けようとする北朝鮮のIT技術者を検出するのに役立つと
思われるその他の対策には、以下のようなものがあります。

北朝鮮のIT技術者を採用しないためにできる対策

・ 第三者の人材派遣会社が厳格な採用基準を適用し、その基準を定期的に監査している
ことを確認する

・ 応募者に対して、居住地や学歴に関する具体的な事柄を尋ねる「ソフトな」面接質問
を行う

※北朝鮮のIT技術者は、米国以外の教育機関に通っていたと主張することが多
いためです

・ 応募者の履歴書に誤字や不自然な用語がないか確認する

・ 採用および入社手続きを可能な限り対面で実施する

今回の警告は、FBIがこれまでに発表してきた北朝鮮の大規模なIT技術者グループに関する
警告に続くものです。これらの技術者は、本当の身元を隠し、米国を含む世界中の数百にのぼる企業に雇用されています。

「IT戦士」とも呼ばれる彼らは、米国内のラップトップファーム(業務用PCを指定した住所に送らるよう依頼し、そのPCを国外から遠隔で操作する)を介して企業ネットワークに接続し、米国在住のITスタッフになりすましています。

2024年8月には、米国の法執行機関がナッシュビル、続いて5月にはアリゾナのラップトップファームを摘発しました。

潜入していた北朝鮮のIT技術者は、摘発されて解雇された後も、企業のシステムから盗ん
だ機密情報を漏洩すると元の雇用主を脅迫しています。

更なる被害を避けるためには、解雇後のアクセス権の完全な削除や監視の徹底が重要です。

Mandiant社のプリンシパルアナリストであるMichael Barnhart氏は、「機密データを盗ん
で企業を脅迫し、多くの身代金を入手するために、今までよりさらに大きな企業に潜入す
る北朝鮮のIT技術者を目にする機会が増えています。また、これらの手口や戦術に慣れて
いないヨーロッパに対し、アメリカやその他の国の成功を再現するために活動を活発化し
ていることも驚くことではありません」と語りました。

米国国務省は現在、北朝鮮のフロント企業の活動を阻止するのに役立つ情報に対して数百
万ドルの報奨金を提供しています。

これらのフロント企業は、違法なリモートIT技術者スキームを通じて、北朝鮮政府に収益をもたらしており、対策には国際的な協力が必要です

関連記事

サイバー攻撃の事例を解説サイバー攻撃の事例を解説 孔子学院や日中友好協会など経済や文化を用いた日本における中国の影響力拡大孔子学院や日中友好協会などを用いた日本における中国の影響力拡大 サイバー攻撃の新手法:中国と北朝鮮APTグループの不正アクセス戦術サイバー攻撃の新手法:中国と北朝鮮APTグループの不正アクセス戦術 オープンAI (Open AI) 「ロシアや中国がChatGPTや生成AIを利用して国内で世論工作」さらに「フクシマ」批判の記事もOpen AI「ロシアや中国がChatGPTやAIモデルを利用し世論工作」 さらに「福島批判」記事も JAXAへのサイバー攻撃のまとめJAXAへのサイバー攻撃をまとめて解説 中国系ハッカーが古いF5 BIG-IPへマルウェアを仕込みデータ窃取中国系ハッカーが古いF5 BIG-IPへマルウェアを仕込みデータ窃取 ランサムウェア グループ BlackSuit (ブラックスーツ)とは 概要や事例、国などを解説ランサムウェア BlackSuit(ブラックスーツ)とは 概要や事例、国などを解説 VMware ESXiの脆弱性をランサムウェア 攻撃グループが悪用(CVE-2024-37085)VMware ESXiの脆弱性をランサムウェア 攻撃グループが悪用(CVE-2024-37085) Volt TyphoonがVersa Director のゼロデイ脆弱性を悪用し不正アクセスVolt TyphoonがVersa Director のゼロデイ脆弱性を悪用し不正アクセス