Yahoo!ニュース

北朝鮮IT労働者の日本人労働者なりすましに注意 03/22-03/28

大元隆志CISOアドバイザー
画像はChatGPTにより筆者作成

一週間を始めるにあたって、押さえておきたい先週気になったセキュリティニュースのまとめです。セキュリティニュースは毎日多数の情報が溢れかえっており「重要なニュース」を探すことが大変です。海外の報道を中心にCISO視点で重要なインシデント、法案や規制に関して「これを知っておけば、最低限、恥はかかない」をコンセプトに、コンパクトにまとめることを心がけています。

■「セキュリティー・クリアランス」法案 各省庁に相談窓口設置へ

高市経済安全保障担当大臣は、セキュリティー・クリアランスにおける認定制度において、信頼性が認められなかった人が所属する企業から不利益な取り扱いを受けた場合に相談できる窓口を各省庁に設置する考えを示しました

セキュリティ・クリアランスとは、政府が保有する安全保障上重要な情報として指定された情報(Classified Information)にアクセスできる資格者を政府が認定する制度です。

同様の取り組みは海外では既に存在し、機密情報を共有する英語圏の枠組みとして「ファイブ・アイズ」がありますが、これらを構成する米国、英国、カナダ、オーストラリア、ニュージーランドではセキュリティ・クリアランスがすでに導入されています。

これまでにも、日本には機密情報を保護する法律として、特定秘密保護法がありましたが、同法では特定秘密として指定できる情報の範囲が、防衛、外交、特定有害活動の防止、テロリズム防止の4分野に関する一定の要件を満たす事項に限られていました。

しかし、海外のセキュリティ・クリアランスで「機密情報」として指定する情報の範囲と、日本の特定秘密保護法では差分があり、「世界水準のセキュリティ・クリアランス」を持たない日本の研究者等が、宇宙・AI・量子、Beyond 5G等といった、これからの社会を担う重要な研究に関する国際共同研究に参加できないなどの弊害が発生していました。

経済安全保障の重要性の高まりに対応した制度整備が急務となっており、日本政府は2024年の通常国会での関連法の制定を目指しています。

このように、セキュリティ・クリアランスに認定されるかどうか経営的にも重要な意味を持つ可能性があります。今回の検討は「認定されなかった」場合に、所属企業から何らかのペナルティを受けた場合の相談窓口となります。

■北朝鮮IT労働者に関する企業等に対する注意喚起

警察庁は北朝鮮IT労働者が、日本人になりすまして日本企業が提供する業務の受発注のためのオンラインプラットフォームを利用して業務を受注し、収入を得ている疑いがあるとオンラインプラットフォーム事業者とそれらを利用する企業に注意喚起を行いました

同文書によれば、北朝鮮IT労働者が獲得した賃金が北朝鮮の核・ミサイル開発の資金源として利用されていると指摘しています。

また、北朝鮮IT労働者に対して業務を発注し、サービス提供の対価を支払う行為は、外国為替及び外国貿易法(昭和24年法律第228号)等の国内法に違反するおそれがあると指摘しています。

業務を発注する側の企業において、このような受注者には警戒するよう呼びかけています。

 - 不自然な日本語を用いるなど日本語が堪能ではない。また、そのためテレビ会議形式の打合せに応じない。

 - プラットフォームを通さず業務を受発注することを提案する。

 - 一般的な相場より安価な報酬で業務を募集している。

 - 複数人でアカウントを運用している兆候がみられる

 - 暗号資産での支払いを提案する。

■Red Hat、XZ Utils利用中止を呼びかけ。不正アクセスを目的としたバックドアの存在が明らかに。

Red Hatは、最新のXZ Utilsデータ圧縮ツールおよびライブラリに不正アクセスを目的としたバックドアと見られる悪意あるコードを発見したため、Fedora 40 または Fedora Rawhideを実行しているシステムの使用を直ちに中止するようユーザーに警告しました。

CISAも本件に関して警告を発表しており、XZ Utils バージョン 5.6.0 および 5.6.1を利用している場合には、 XZ Utils 5.4.6 Stableにダウングレードするよう呼びかけています。

なお、XZとは、コミュニティプロジェクトと商用製品ディストリビューションの両方、ほぼすべてのLinux ディストリビューションに存在する汎用データ圧縮形式です。

非常に一般的に利用されてきたツールであるため、どのようにして混入されたのか?など、混入に至った経緯等にも今後注目が集まると考えられます。

★国内、海外における重要な注意喚起★

該当期間中に発表された、CISAのKEVとJPCERT/CCを掲載します。自社で該当する製品を利用されている場合は優先度を上げて対応することを推奨します。

CISA 悪用された既知の脆弱性カタログ登録状況

- Nice Linear eMerge E3 シリーズ OS コマンド インジェクションの脆弱性

- Ivanti Endpoint Manager Cloud Service Appliance (EPM CSA) コード インジェクションの脆弱性

- フォーティネット FortiClient EMS SQL インジェクションの脆弱性

- Microsoft SharePoint Serverのコードインジェクションの脆弱性

JPCERTコーディネーションセンター(JPCERT/CC)注意喚起

 - 該当期間中の掲載はありませんでした。

CISOアドバイザー

通信事業者用スパムメール対策、VoIP脆弱性診断等の経験を経て、現在は企業セキュリティの現状課題分析から対策ソリューションの検討、セキュリティトレーニング等企業経営におけるセキュリティ業務を幅広く支援。 ITやセキュリティの知識が無い人にセキュリティのリスクを解りやすく伝えます。 受賞歴:アカマイ社 ゼロトラストセキュリティアワード、マカフィー社 CASBパートナーオブ・ザ・イヤー等。所有資格:CISM、CISA、CDPSE、AWS SA Pro、CCSK、個人情報保護監査人、シニアモバイルシステムコンサルタント。書籍:『ビッグデータ・アナリティクス時代の日本企業の挑戦』など著書多数。

大元隆志の最近の記事