キーストロークの遅延が不正発覚の鍵に

Amazonは、米国を拠点とするシステム管理者になりすましていた北朝鮮の偽装者を発見しました。この発見は、従来の身元調査ではなく、タイピングの微妙なタイミングを分析することによってなされました。

Bloombergの報告によると、Amazonのセキュリティ専門家は、不審な「キーストローク入力の遅延」を理由にこの従業員を特定しました。米国の正当なリモートワーカーの場合、タイピングデータは通常、数十ミリ秒以内に企業のネットワークに到達します。しかし、この人物の接続では110ミリ秒を超える遅延が示され、これが詳細な調査の引き金となりました。

Amazonのセキュリティチームは、「米国のリモートワーカー」のラップトップが、実際には別の場所から遠隔操作されていると判断しました。そのコンピューター自体は正当に見せるために物理的にアリゾナに設置されていましたが、操作している人物は世界の反対側にいました。

巧妙な手口と拡大する脅威

Tomshardwareによると、Amazonの最高セキュリティ責任者であるスティーブン・シュミット氏は、これが孤立した事件ではないことを明らかにしました。2024年4月以降、この技術大手は北朝鮮のIT労働者による1,800件以上の侵入試行を阻止しています。これらの攻撃の頻度は加速しており、Amazonは企業への侵入試行が四半期ごとに27%増加していると記録しています。

シュミット氏は、「もし私たちが北朝鮮の労働者を探していなければ、彼らを発見することはなかっただろう」と述べ、これらの偽装者を発見するためには積極的な探索が不可欠であることを強調しました。

これらの計画は、米国国内でホストされている「ラップトップファーム」を伴うことがよくあります。今回のケースでは、アリゾナ州の女性が、北朝鮮のアクターが米国のIPアドレスを介してトラフィックをルーティングできるようにするハードウェアをホストすることで詐欺を助長していたことが判明し、今年初めに投獄されました。

これらの侵入の目的は、通常二重です。すなわち、北朝鮮政権（DPRK）の歳入を生み出すことと、スパイ活動や妨害行為を行う可能性です。

キーストローク追跡のような高度なテレメトリが今回の摘発の鍵となりましたが、シュミット氏は企業が監視すべき他の「ローテク」な危険信号も指摘しました。これには、会話中に不器用なアメリカの慣用句の使用や、英語の冠詞の誤った使用などが含まれます。

今回の事例が示すように、堅牢なセキュリティソフトウェアと積極的な監視が、国家が支援する企業侵入に対する最も効果的な防御策であり続けます。

元記事: https://gbhackers.com/amazon-identified-north-korean-eystroke-activity/