Yahoo!ニュース

活発化する北朝鮮のサイバースパイ活動。ディープフェイク技術を悪用し民間企業にも潜入。

大元隆志CISOアドバイザー
画像はChatGPTを利用し筆者作成

一週間を始めるにあたって、押さえておきたい先週気になったセキュリティニュースのまとめです。セキュリティニュースは毎日多数の情報が溢れかえっており「重要なニュース」を探すことが大変です。海外の報道を中心にCISO視点で重要なインシデント、法案や規制に関して「これを知っておけば、最低限、恥はかかない」をコンセプトに、コンパクトにまとめることを心がけています。

該当期間:(2024/07/22 - 2024/07/28)

■FBI、CISA、北朝鮮のサイバースパイ活動に関するアドバイザリーを発表

FBI、CISA等が共同で朝鮮民主主義人民共和国(北朝鮮)偵察総局(RGB)第3局に関するサイバースパイ活動に関するアドバイザリーを発表しました。

これらのグループは主に防衛、航空宇宙、核、エンジニアリングの組織を標的とし、機密性の高い技術情報や知的財産を入手して、政権の軍事および核計画と野望を推進しています。

ターゲットとしている国としてはインド、日本の名前が挙げられていますが、これらの国に留まらず、前述の重要なインフラを担う産業を保有する国は標的になり得るとしています。

■北朝鮮の偽IT労働者が米国に侵入しようとした経緯

北朝鮮のサイバースパイ活動は既に民間企業に潜伏している可能性があります。KnowBe4は自社で採用した社員が北朝鮮の偽IT労働者であったことを入社初日に発見し、重大なインシデントに繋がるところを未然に防止することが出来たと公表しています。

KnowBe4の発表によれば、同社が社内ITのAIチームにソフトウェアエンジニアの採用のために求人広告を掲載し、履歴書を受け取り、面接を実施し、身元調査を行い、採用し、Macワークステーションを送付したところ、「受け取った瞬間」からマルウェアがダウンロードされ始めたとのことです。

KnowBe4の人事チームは、ビデオ会議による面接を別々に4回実施し、応募書類に添付された写真と応募者が一致していることを確認していました。さらに、身元調査とその他の標準的な採用前チェックを実施したが、「米国在住の有効な身元を盗んだ実在の人物」だったため問題を検出することが出来ず、チェックの結果は「正常」でした。そして、写真はAIで「強化」されていました。

2024年7月15日:東部標準時午後9時55分から、ユーザーXに対して一連の不審なアクティビティが検出され始めた。

KnowBe4のSOCチームがユーザーに連絡し、異常なアクティビティの原因について確認をした。Xは、速度の問題についてトラブルシューティングするためにルーターのガイドの手順に従っていたが、それが異常なアクティビティを引き起こした可能性があるとSOCに返答しました。

攻撃者は、セッション履歴ファイルを操作し、有害なファイルを転送し、許可されていないソフトウェアを実行するために様々な行動を取りました。彼はラズベリーパイを使ってマルウェアをダウンロードしました。

推測となるが、このマルウェアはウェブブラウザに保存されたデータを狙うインフォスティーラーであり、おそらく犯人は依頼される前にコンピュータに残された情報を抜き取ろうとしていたのかもしれない。
引用:KnowBe4 "North Korean Fake IT Worker FAQ"

SOCはXから詳細を確認するために連絡を試み、通話に出るよう求めたが、Xは通話ができないと述べ、その後応答しなくなった。

2024年7月15日:午後10時20分頃、SOCはXのデバイスを封じ込めた。

KnowBe4は、今回実行された手口について、偽のIT労働者がワークステーションを「IT mule laptop farm」の住所に送るよう要求し、実際には北朝鮮や中国国境を越えた場所からVPNで接続し、米国の昼間に勤務しているように見せかけるという詐欺行為であり、実際に仕事をし、高額な報酬を受け取り、その多くを北朝鮮の違法なプログラムの資金に充てると指摘しています。

Knowbe4は幸いにも早期に異常な行動を検出することが出来ましたが、実際に「採用」に至ってしまっていたため、採用および身元調査プロセスの弱点を悪用することで、組織のシステム内に足場を確立しようとする高度な技術が既に確立されていると警戒を呼びかけています。

最後に、実際に今回の攻撃者が採用プロセスを欺くために利用した写真と、その元写真を紹介します。左の写真がオリジナルの人物の写真であり、右側がAIによってアジア人風に加工された写真です。

引用:Knowbe4 左がオリジナルの画像、右がAIによって加工され人事に提出された画像
引用:Knowbe4 左がオリジナルの画像、右がAIによって加工され人事に提出された画像

・CISOにとって何が重要か?

企業のセキュリティ対策も高度化しており、多要素認証やSASE/SSE、EDR/EPP等を完備している企業も出てきています。このように高度化した防御に対して、採用プロセスに目を付けた新たな侵入手口。

日本でも過去に北朝鮮の技術社が韓国人を装い、県防災アプリの修正作業に関わっていたという事件がありました。採用プロセスにおける身元確認の高度化も重要な要素と捉える必要があるでしょう。

★国内、海外における重要な注意喚起★

該当期間中に発表された、CISAのKEVとJPCERT/CCを掲載します。自社で該当する製品を利用されている場合は優先度を上げて対応することを推奨します。

・CISA 悪用された既知の脆弱性カタログ登録状況

 - Twilio Authy Information Disclosure Vulnerability

 - Microsoft Internet Explorer Use-After-Free Vulnerability

・JPCERTコーディネーションセンター(JPCERT/CC)注意喚起

 - 該当期間中の掲載はありませんでした。

大元隆志
CISOアドバイザー

通信事業者用スパムメール対策、VoIP脆弱性診断等の経験を経て、現在は企業セキュリティの現状課題分析から対策ソリューションの検討、セキュリティトレーニング等企業経営におけるセキュリティ業務を幅広く支援。 ITやセキュリティの知識が無い人にセキュリティのリスクを解りやすく伝えます。 受賞歴:アカマイ社 ゼロトラストセキュリティアワード、マカフィー社 CASBパートナーオブ・ザ・イヤー等。所有資格:CISM、CISA、CDPSE、AWS SA Pro、CCSK、個人情報保護監査人、シニアモバイルシステムコンサルタント。書籍:『ビッグデータ・アナリティクス時代の日本企業の挑戦』など著書多数。

大元隆志の最近の記事