*まず最初に:KnowBe4のシステムにおいて、不正アクセスは行われておらず、データの紛失、漏洩、流出も発生していません。これはデータ侵害の通知ではありません。そのような通知は存在しません。私が皆さんと共有しているのは、組織にとっての学びの機会だと捉えてください。私たちに起こり得ることなら、ほとんど誰にでも起こり得ます。皆さんにも起こらないようにしましょう。 *
この記事は2024年10月19日に更新され、採用プロセスに関する10の重要なアップデートが盛り込まれました。詳細は下記をご覧ください。FAQも作成しましたでは、お客様からの質問に回答しています。
要約:KnowBe4は、社内IT AIチームにソフトウェアエンジニアを必要としていました。��求人広告を掲載し、履歴書を受け取り、面接を実施し、身元調査と身元照会を行い、採用しました。採用担当者にMacワークステーションを送付したところ、受け取った瞬間からマルウェアが読み込まれ始めました。
人事チームは、4回に分けてビデオ会議による面接を実施し、応募書類に記載された写真と本人確認を行いました。さらに、身元調査とその他すべての標準的な採用前チェックを実施した結果、盗用されたIDが使用されていたため、問題はありませんでした。これは、米国在住の有効なIDを盗用した実在の人物でした。写真はAIによって「加工」されていました。
EDRソフトウェアがこれを検知し、情報セキュリティ運用センターに警告を発しました。SOCは新入社員に連絡し、協力を依頼しました。そこで事態は急速に悪化しました。収集したデータは、世界有数のサイバーセキュリティ専門家であるMandiant社とFBIの協力を得て共有し、当初の調査結果を裏付けました。その結果、この人物は北朝鮮出身の偽のIT職員であることが判明しました。ご覧の写真は、ストックフォト(下記)からAIによって加工されたものです。これはFBIが現在捜査中であるため、以下の要約は詳細を限定しています。
概要:本報告書は、プリンシパルソフトウェアエンジニアとして採用された従業員ID:XXXXに関する調査を扱っています。 2024年7月15日、当該ユーザーアカウントで一連の不審なアクティビティが検出されました。SOCチームによるアクティビティの評価に基づき、これはユーザーによる意図的な行為である可能性があり、内部脅威/国家レベルのアクターである可能性が疑われました。初期調査とホスト�の封じ込め後、新規採用者に関するより詳細な調査が行われました。
2024年7月15日、東部標準時午後9時55分から、当該ユーザーで一連の不審なアクティビティが検出されました。これらのアラートが届くと、KnowBe4のSOCチームは当該ユーザーに連絡を取り、異常なアクティビティとその原因について問い合わせました。XXXX氏はSOCに対し、ルーターの速度問題のトラブルシューティング手順を実行していたが、それが侵害を引き起こした可能性があると回答しました。
攻撃者は、セッション履歴ファイルの操作、潜在的に有害なファイルの転送、不正なソフトウェアの実行など、様々な操作を実行しました。攻撃者はRaspberry Piを使用してマルウェアをダウンロードしました。SOCは、XXXX氏に電話で連絡するなど、詳細情報の収集を試みました。 XXXX氏は電話に出られないと述べ、その後反応がなくなりました。東部標準時午後10時20分頃、SOCはXXXX氏のデバイスを封鎖しました。
この手口は、偽装工作員が自分のワークステーションを、いわば「ITミュールのラップトップファーム」のような住所に送ってほしいと依頼することです。そして、実際にいる場所(北朝鮮または中国国境)からVPN経由でアクセスし、米国の昼間に働いているように見せかけて夜勤を行います。この詐欺の手口は、彼らが実際に仕事をし、高額の報酬を受け取り、北朝鮮の違法プログラムの資金として多額の資金を北朝鮮に提供しているというものです。この手口の深刻なリスクについては、改めて説明するまでもありません。新入社員が入社時に厳重な制限区域に配属され、本番システムにアクセスできないのは良いことです。当�社の管理体制でこの件は既に発見済みですが、これは確かに教訓となり、皆様と共有できることを嬉しく思います。
これを防ぐためのヒント
- リモートデバイスをスキャンし、誰もリモートアクセスできないようにします。*
- 身元調査を強化し、担当者が物理的に所定の場所にいることを確認します。
- 履歴書に経歴の矛盾がないか、より綿密に調査します。
- 担当者をビデオカメラで撮影し、業務内容を確認します。
- ノートパソコンの配送先住所が、担当者の居住地/勤務地と異なる場合は、要注意です。
推奨されるプロセス改善
- 身元調査が不十分なようです。氏名に一貫性がありませんでした。
- 推薦状が適切に審査されていない可能性があります。メールのみに頼らないでください。
- システムへの継続的なアクセス試行に対して、強化された監視を実施します。
- アクセス制御と認証プロセスを見直し、強化します。
- 従業員に対し、セキュリティ意識向上研修を実施し、ソーシャルエンジニアリング戦術に重点を置く
注意すべき点:
- VOIP番号の使用と、提供された連絡先情報のデジタルフットプリントの欠如
- 複数の情報源における住所と生年月日の不一致
- 個人情報の矛盾(婚姻状況、不在理由の「家族の緊急事態」など)
- 社内システムへのアクセスにVPNまたはVMを巧妙に利用
- マルウェアの実行とその後の隠蔽工作の試み
人事部への警告事項:
対象者は、信憑性の高い偽装IDの作成、採用および身元調査プロセスの弱点の悪用、そして組織システムへの足掛かりの確立において、高度な技術を駆使しています。
これは、国家が支援する、組織化された大規模な犯罪組織であり、莫大な資金を投入しています。この事例は、高度な持続的脅威(APT)から身を守るために、より強固な審査プロセス、継続的なセキュリティ監視、そして人事部、IT部門、セキュリティ部門間の連携強化が不可欠であることを浮き彫りにしています。左はオリジナルのストック写真です。右は人事部に提出されたAI 偽です。
北朝鮮IT労働者の脅威:採用プロセスにおける10の重要なアップデート
KnowBe4は、北朝鮮(DPRK)の偽IT労働者の発覚後、採用プロセスにどのような変更が加えられたかについて質問を受けました。以下に概要を記載します。貴社の人事部と協議し、同様の変更、あるいは同様のプロセスアップデートを実施することを強くお勧めします。 これらの重要な最新情報を含むブログ記事はこちらです:
推奨リソース:
- 米国政府はこの脅威を認識しており、2022年から警告を発しています。リンクはこちらです
- Google: 2023年版 北朝鮮のサイバー構造と連携の評価
- SpotifyのMandiant Podcast: 北朝鮮のIT労働者
- Mandiant ブログ
- Brian Krebs LinkedInでこの投稿をシェア そして、コメントは心温まるものでした。