求職を試みた北朝鮮ハッカーを特定した方法

• 暗号資産取引所のKrakenは最近、北朝鮮ハッカーによる求職を通じた侵入の試みを事前に検知し、分析した
• 応募者は 複数の身元の使い分け、VPNとリモートデスクトップの組み合わせ、盗用された身分証 を使って侵入を試みた
• セキュリティチームは彼を採用プロセスにあえて参加させ、検知と情報収集 を進めた
• メール、GitHubアカウント、OSINT分析 などを通じて、北朝鮮のハッキンググループとの関連性 を立証した
• この事件は、生体認証・リアルタイム検証 の重要性とあわせて、組織全体のセキュリティ感度 の必要性を強調している

事件の概要

• Krakenの セキュリティおよびITチームは日常的にさまざまな攻撃の試みを阻止 している
• 最近、採用手続きを悪用した北朝鮮ハッカーの侵入の試み を検知し、対応した
• 当該応募者はエンジニア職に応募しており、単なる採用プロセスが情報収集作戦へと転換 された
• 北朝鮮ハッカーは2024年に暗号資産企業から6億5,000万ドル以上を盗んだと推定されている

不審な兆候

• 名前が履歴書とは異なる名前でオンライン面接に参加し、途中で変更された
• 面接中に声が変わるなど、リアルタイムでコーチングを受けている可能性が確認された
• 北朝鮮ハッカーが暗号資産企業へ積極的に応募しているという情報を受けており、事前に入手していた 北朝鮮ハッカーのメールリスト の1つと同じアドレスでKrakenに応募していた

内部調査と発見

• Red TeamがOSINT分析を通じて 攻撃者のメールおよび活動履歴を調査
• データ漏えい記録を分析 し、多数の偽の身元に関連するメールを確認した
• 多数の偽の身元が他社でも採用されており、一部は制裁対象の外国工作員だった

技術的な異常兆候

• 候補者は VPNとリモートMacデスクトップを組み合わせて所在地を隠蔽 していた
• GitHubアカウントに紐づくメールは 過去に流出したデータと一致 した
• 提出された身分証は 2年前に盗用された情報をもとに改ざんされた疑い があった

組織の対応方法

• 応募者を不採用にせず、あえて採用プロセスに継続して参加させた
• セキュリティテスト、技術課題、検証リクエスト を通じて戦術の把握に注力した
• 最終面接 はKrakenの最高セキュリティ責任者（CSO）と行われ、リアルタイム検証の質問 が差し込まれた

リアルタイム検証質問の例

• 現在地の認証リクエスト
• 政府発行の身分証の現物確認リクエスト
• 居住都市のレストラン推薦を求めるなど、即興の質問 をその場で挿入
• 結果として、応募者は検証を通過できなかった

CSOニック・パーココの発言

• 「信頼するな、検証せよ」という原則は今日さらに重要になっている
• 価値ある何かを扱うすべての人と企業は攻撃対象 になりうる
• 組織レベルのセキュリティ感度と事前対応戦略が核心 である

核心的な教訓

• 攻撃者は正面玄関から入ろうとする: 技術的侵入だけでなくソーシャルなアプローチも存在する
• リアルタイム検証は強力な武器: 生成AIで欺けても、本物の検証は突破できない
• セキュリティはITだけの問題ではない: 採用チームを含む組織全体がセキュリティ感覚を持つべきだ

疑わしい応募書類を受け取ったときは覚えておこう: 最大の脅威は機会を装ってやってくる