セキュリティ企業のKnowBe4は7月23日(米国時間)、「How a North Korean Fake IT Worker Tried to Infiltrate Us」において、北朝鮮の工作員を誤って雇用してしまったと発表した。工作員は同社のデバイスに情報窃取マルウェアのインストールを試みたという。これまでのところ、情報流出は確認されていない。
ディープフェイクによって侵入した工作員
KnowBe4の報告によると、同社はソフトウェアエンジニアを必要としたことから求人広告を掲載し、履歴書の確認、面接、身元調査、身元紹介を実施したうえで採用したという。採用後にMacワークステーションを配送したところ、受け取った直後にマルウェアのインストールが開始されたとしている。
報告の内容から、この工作員はリモートの面接を介してリモートワーカーとして採用されたものとみられる。面接は合計4回実施され、履歴書の写真と同一人物か確認し、身元調査においても問題ないことが確認されている。
工作員は一連の調査を米国在住の実在する人物の情報を使用することで回避している。履歴書の写真はディープフェイクを使用して元の人物に近い工作員の画像を作ったとされる。
EDRで工作員の攻撃をブロック
KnowBe4は同社のエンドポイント検出応答(EDR: Endpoint Detection and Response)により異常を検知して攻撃を回避している。セキュリティ担当者が収集したデータをMandiantの関係者や米国連邦調査局(FBI: Federal Bureau of Investigation)と共有したところ、北朝鮮の工作員だったことが判明した。
セキュリティ担当者は異常を検出した際、工作員に連絡を取って原因の問い合わせを行った。工作員は当初、言い訳をしていたが、セキュリティ担当者が詳細を尋ねると連絡がとれなくなったという。
KnowBe4は同様の攻撃を回避するため、採用面接およびシステム運用において以下の点に注意するよう呼びかけている。
- 身元調査を徹底する。今回の採用において氏名に一貫性がなかった
- 電子メールに頼らない
- システムへのアクセスが繰り返し試行される場合は監視を強化する
- アクセス制御と認証を強化する
- ソーシャルエンジニアリング攻撃を重視した従業員教育を実施する
北朝鮮は同様の手法で世界中の企業に工作員を派遣しているものとみられる。履歴書の写真を実在の人物に近い工作員の画像にするなど、手口は巧妙化している。企業の採用担当者には厳格な採用プロセスの構築が、また、セキュリティ担当者には堅牢なセキュリティ体制の構築が求められている。