脅威アクターが就職活動？ 2つの巧妙すぎるサイバーキャンペーンに注意：セキュリティニュースアラート

Palo Alto Networksは脅威アクターによる2つのサイバーキャンペーンを報告した。

[後藤大地，有限会社オングス]

　Palo Alto Networksは2023年11月21日（現地時間）、北朝鮮が支援する脅威アクターが関連する2つのサイバーセキュリティキャンペーンについて報じた。同社の研究者はこれらのキャンペーンを「Contagious Interview」（感染インタビュー、CL-STA-0240）および「Wagemole」（賃金スパイ、CL-STA-0241）と呼んでいる。

Palo Alto Networksは、北朝鮮が支援する脅威アクターが関連する2つのサイバーセキュリティキャンペーンについて報じた（出典：Palo Alto NetworksのWebサイト）

あなたの会社にもスパイがいる？　脅威アクターが使う巧妙な2つの手口

　「Contagious Interview」（感染インタビュー）キャンペーンは、雇用主を装った脅威アクターがソフトウェア開発者と面接し、その過程でマルウェアをインストールさせるというものだ。脅威アクターは「GitHub」にリポジトリを作成しており、そこでNPMベースのマルウェアパッケージ配布している。この活動は2022年12月から活動が観測されている。

　Palo Alto Networksはこのキャンペーンを調査する過程で「BeaverTail」と「InvisibleFerret」という2つの新たなマルウェアファミリーを発見した。BeaverTailはNPMのパッケージに隠蔽（いんぺい）されたJavaScriptベースのマルウェアだ。InvisibleFerretはシンプルだが強力なPythonベースのバックドアとされている。どちらも「Windows」「macOS」「Linux」といった複数のプラットフォームで動作するマルウェアと分析されている。

　「Wagemole」（賃金スパイ）キャンペーンはさまざまな国籍の人物になりすまして米国のIT企業にテレワーカーとして就職するというものだ。Palo Alto Networksはこうした活動を裏付ける履歴書データや面接の想定問答集、自己紹介用の台本、窃取された米国永住権カードのスキャンのコピーなどを発見したと報じている。

　データはこの活動が2022年8月から始まった可能性を示唆（しさ）しており、2022年12月まで続いていた可能性があることと、現在進行形で続いている可能性があることを指摘している。北朝鮮はテレワーカーを使って賃金を得て、それを兵器プログラムに流用している可能性がある。

　Palo Alto Networksはこれらのキャンペーンへの対策として以下のアドバイスを挙げている。

• 会社支給のPCを個人の活動や仕事とは関係のない就職面接のような活動には使わない
• 開発者はリポジトリが1つしかなくほとんど更新されていないGitHubアカウントを疑う必要がある
• 就職活動においては面接官が実際に対象となる企業に勤務しているかどうかを確認した方がよい。一般的ではない通信ソフトウェアのダウンロードやインストール、面接の前提条件としてソフトウェアパッケージのダウンロードを求めてくるケースには注意する
• 雇用者は全ての求職応募者を入念に調査する。偽装は簡単であり、リモートのみの求職を実施する場合にはよく調査すること