サイバーニュース.jp

世界のサイバーなニュースを配信

北朝鮮のIT作業員、無害な求人応募を通じて組織ネットワークに侵入

カテゴリ:

, , , , , , , , ,

今日の複雑な脅威の状況において、攻撃者は従来の防御をすり抜ける「マルウェアレス」な侵入手法をますます好んでいます。特に悪質な手口の一つに、北朝鮮の工作員が正規のリモートITプロフェッショナルを装い、企業ネットワークに潜入するというものがあります。

Trellixの研究者たちは最近、あるキャンペーンを明らかにしました。このキャンペーンでは、偽の応募者が米国の主要な医療機関の採用プロセスをシームレスに進んでいましたが、プロアクティブな脅威ハンティングとオープンソースインテリジェンス(OSINT)の相関分析によってその正体が暴かれました。この指標リストが公開されたことで、世界中の研究者が脅威ハンティングツールに活用できる貴重な情報源を得ました。

テレメトリーとTrellixのSecondSight脅威ハンティングサービスを活用し、セキュリティチームはこれらのアドレスと受信通信を照合し始め、その努力はすぐに実を結びました。2025年半ばを通じて、アナリストの@SttyKによる独立したOSINT調査により、約1,400のメールアドレスが、欧米の組織での雇用を求める北朝鮮のIT工作員に関連していることが判明しました。

医療機関の人材採用チームは、リスクに気づかないまま、応募者「カイル・ランクフォード」をプリンシパルソフトウェアエンジニアの職務のコーディング評価に招待しました。応募プロセスは通常のステップを踏みました。採用担当者は7月10日に企業アドレスから指示をメールで送り、候補者は7月16日に評価を完了し、8月4日に丁寧なフォローアップを行いました。各やり取りは完全に日常的なものに見え、正規のURL、適切にDMARCヘッダーが整えられ、悪意のあるコードを含む添付ファイルはありませんでした。

### キャンペーンの詳細分析
詳細なタイムラインは、この計画がどのように展開されたかを浮き彫りにします。

* **2025年7月10日:評価招待**
採用担当者が企業メール経由でCodeSignalテストリンクを送信。
* **2025年7月16日:評価完了**
候補者がCodeSignalでコーディングテストを完了。
* **2025年8月4日:フォローアップメール**
候補者が無害なメッセージで応募状況を問い合わせ。
* **2025年8月:脅威ハンティングがトリガー**
SecondSightがGmailアドレスをDPRK(北朝鮮)の指標と照合。
* **2025年8月:調査と暴露**
バックグラウンドチェックにより、北朝鮮の工作員である可能性が高いことが確認され、顧客に採用を阻止するよう警告。

フォローアップメールのさらなる分析により、完全に整合したメタデータが明らかになりました。GmailホストのIPアドレス(209.85.128.196)、企業のセキュアURL防御によってラップされたCodeSignalヘルプ記事への正規リンク、そして無害な署名ロゴファイルです。悪意のあるペイロードやフィッシングURLは存在せず、プロアクティブなインテリジェンスなしにはこの手法がいかに検出困難であるかを強調しています。

### 緩和策
攻撃者が日常的なワークフローにシームレスに溶け込む場合、組織は受動的な制御だけに頼る余裕はありません。DPRKのIT作業員による計画は、意図しない制裁違反による北朝鮮への数百万ドルの資金流入、知的財産窃盗、兵器およびサイバープログラムへの不正資金提供、悪意のあるコード寄与によるサプライチェーン妨害など、複数の重大なリスクをもたらします。2025年6月の米国司法省の行動は、100以上の不正ネットワークを破壊し、これらの雇用ベースの詐欺キャンペーンの広大な規模を示しています。

効果的な防御には、高精度の脅威インテリジェンスとアクティブなハンティング能力の融合が必要です。セキュリティチームは、DPRK関連のメールアドレスのリストなどのOSINTフィードを、メールセキュリティおよびSIEMプラットフォームに直接統合すべきです。自動化された相関ルールは、指標が一致する場合、一見無害に見える応募メールでさえもフラグを立てることができます。リモート採用者の定期的なバックグラウンド検証と、新規従業員アカウントのテレメトリー監視を組み合わせることで、内部脅威が本格化する前に異常を検出できます。

この事例が示すように、最も危険な脅威は、正規の協力者として現れることがあります。信頼そのものを悪用しようとする脅威を暴くためには、プロアクティブでインテリジェンス主導のアプローチが不可欠です。Trellixのカスタム脅威ハンティングと堅牢なインテリジェンスパイプラインへの投資は、受動的な検出から予測的な防御への必要な転換を例示しています。マルウェアの不在がもはや安全を保証しない時代において、組織は警戒を怠らず、検出戦略を継続的に進化させ、脅威を積極的にハンティングする必要があります。

元記事:[https://gbhackers.com/north-korean-it-worker-gains-access-to-organizations-network-through-innocent-job-application/](https://gbhackers.com/north-korean-it-worker-gains-access-to-organizations-network-through-innocent-job-application/)

投稿をさらに読み込む