KnowBe4が社内ITチームのソフトウェアエンジニアとして採用したリモートワーカーが、実は北朝鮮の脅威アクターが操るペルソナだったことが、セキュリティ企業KnowBe4の火曜日のブログ投稿で明らかにした。
KnowBe4の創業者兼CEOであるスチュ・ショーワーマン氏は、身元調査、身元照会、そして4回のビデオ会議による面接を含む、一見徹底した面接プロセスを詳述し、この従業員は米国在住の人物から盗んだ有効なIDを使用することで、身元確認を逃れたと述べた。この攻撃者は、人工知能(AI)で加工したストック画像を使用することで、この手口をさらに巧妙に利用していた。
KnowBe4の情報セキュリティ・オペレーションセンターチームが、この新規採用者による「一連の不審な行動」を検知したことから、社内調査が開始された。このリモートワーカーにはAppleのノートパソコンが送付されたが、7月15日にマルウェアがロードされたことが同社によって警告された。一方、AIフィルター処理された写真は、同社のエンドポイント検知・対応ソフトウェアによってフラグ付けされた。
その夜遅く、SOCチームは、偽従業員が連絡に応答しなくなった後、彼のシステムを「封じ込め」た。約25分間、「攻撃者はセッション履歴ファイルの操作、潜在的に有害なファイルの転送、不正なソフトウェアの実行など、様々な操作を実行した」と、Sjouwerman氏は投稿に記している。「彼は(シングルボードコンピュータの)Raspberry Piを使ってマルウェアをダウンロードした」。
その後、同社はデータと調査結果をFBIとGoogle傘下のサイバーセキュリティ企業Mandiantと共有し、偽従業員は北朝鮮を拠点とする架空の人物であるという結論に至った。
KnowBe4によると、偽従業員のワークステーションは「基本的に『ITミュールのラップトップファーム』のようなアドレス」に接続されていた可能性が高いという。彼らはVPNを使用して、実際の居住地(この場合は北朝鮮、あるいは国境を越えた中国)から夜勤を行っていた。この作業は夜間に行われ、通常の米国営業時間中にログインしているように見せかけます。
「この詐欺は、彼らが実際に作業を行い、高額の報酬を受け取り、北朝鮮の違法プログラムの資金として多額の資金を提供しているというものです」とSjouwerman氏は書いています。「このことの深刻なリスクについては、言うまでもありません。」
侵入があったにもかかわらず、Sjouwerman氏は「不正アクセスは行われておらず、KnowBe4システムからデータの紛失、漏洩、流出もありませんでした」と述べています。彼は、この事件は「信憑性の高い偽装IDを作成する高度な技術」を駆使し、「採用および身元調査プロセスにおける弱点」を突き止めた脅威アクターによるものだと結論付けています。
「これは、国家が支援する、組織化された大規模な犯罪組織であり、膨大な資金を保有しています」と彼は書いています。「この事件は、高度な持続的脅威(APT)への対策として、より堅牢な審査プロセス、継続的なセキュリティ監視、そして人事、IT、セキュリティチーム間の連携強化が極めて重要であることを浮き彫りにしています。」 KnowBe4の最高情報セキュリティ責任者であるブライアン・ジャック氏は、CyberScoopへのメールで、今回のインシデント以降、同社のサイバーセキュリティ対策は「それほど大きくは変わっていない」と述べています。「現在の対策のおかげで今回の攻撃を検知できた」からです。
ジャック氏はさらに、「採用プロセスを強化し、採用開始前の身元確認をより徹底するとともに、採用担当者全員にこの種の脅威に見られる一般的な危険信号について研修を行っています」と付け加えました。
この記事は、KnowBe4からのコメントを受けて2024年7月24日に更新されました。