脅威アクターが就職活動? 2つの巧妙すぎるサイバーキャンペーンに注意:セキュリティニュースアラート
Palo Alto Networksは脅威アクターによる2つのサイバーキャンペーンを報告した。
Palo Alto Networksは2023年11月21日(現地時間)、北朝鮮が支援する脅威アクターが関連する2つのサイバーセキュリティキャンペーンについて報じた。同社の研究者はこれらのキャンペーンを「Contagious Interview」(感染インタビュー、CL-STA-0240)および「Wagemole」(賃金スパイ、CL-STA-0241)と呼んでいる。
あなたの会社にもスパイがいる? 脅威アクターが使う巧妙な2つの手口
「Contagious Interview」(感染インタビュー)キャンペーンは、雇用主を装った脅威アクターがソフトウェア開発者と面接し、その過程でマルウェアをインストールさせるというものだ。脅威アクターは「GitHub」にリポジトリを作成しており、そこでNPMベースのマルウェアパッケージ配布している。この活動は2022年12月から活動が観測されている。
Palo Alto Networksはこのキャンペーンを調査する過程で「BeaverTail」と「InvisibleFerret」という2つの新たなマルウェアファミリーを発見した。BeaverTailはNPMのパッケージに隠蔽(いんぺい)されたJavaScriptベースのマルウェアだ。InvisibleFerretはシンプルだが強力なPythonベースのバックドアとされている。どちらも「Windows」「macOS」「Linux」といった複数のプラットフォームで動作するマルウェアと分析されている。
「Wagemole」(賃金スパイ)キャンペーンはさまざまな国籍の人物になりすまして米国のIT企業にテレワーカーとして就職するというものだ。Palo Alto Networksはこうした活動を裏付ける履歴書データや面接の想定問答集、自己紹介用の台本、窃取された米国永住権カードのスキャンのコピーなどを発見したと報じている。
データはこの活動が2022年8月から始まった可能性を示唆(しさ)しており、2022年12月まで続いていた可能性があることと、現在進行形で続いている可能性があることを指摘している。北朝鮮はテレワーカーを使って賃金を得て、それを兵器プログラムに流用している可能性がある。
Palo Alto Networksはこれらのキャンペーンへの対策として以下のアドバイスを挙げている。
- 会社支給のPCを個人の活動や仕事とは関係のない就職面接のような活動には使わない
- 開発者はリポジトリが1つしかなくほとんど更新されていないGitHubアカウントを疑う必要がある
- 就職活動においては面接官が実際に対象となる企業に勤務しているかどうかを確認した方がよい。一般的ではない通信ソフトウェアのダウンロードやインストール、面接の前提条件としてソフトウェアパッケージのダウンロードを求めてくるケースには注意する
- 雇用者は全ての求職応募者を入念に調査する。偽装は簡単であり、リモートのみの求職を実施する場合にはよく調査すること
関連記事
- 徳丸 浩氏に聞いてみた 「なぜサイバーセキュリティ人材は足りないの?」
サイバーセキュリティ人材はなぜ不足しているのか。企業は素養がある人材をどのように見極めて、獲得に向けて何をすればいいのか。徳丸 浩氏がこの難問に答えた。 - 大阪急性期・総合医療センターが新ランサムウェア対策を発表
シスコとネットワンは大阪急性期・総合医療センターがNDRソリューション「Cisco Secure Network Analytics」を導入したと発表した。同センターは2022年10月にランサムウェア被害に遭っている。 - 「サイバー攻撃でいくら損する?」を試算できる待望のフレームワークが誕生
The FAIR Instituteはランサムウェアをはじめとした重大なサイバー攻撃に関連するコストを試算し、関係者がより適切にリスクを算定するための基準を作ろうとしている。 - 企業よ、ランサムウェア対策の前に“サイバーセキュリティ負債”を解消せよ
ランサムウェア攻撃が激化する中、これに向けた対策は企業の喫緊の課題だ。しかし企業が抱えている「サイバーセキュリティ負債」がこの課題の解決を阻んでいるという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.