インシデント報告サマリー: インサイダー脅威
まずお伝えしたいのは、KnowBe4 システムに対する不正アクセスはなく、データの紛失、漏洩、流出はなかったということです。このブログは、データ漏洩の報告といった類のものではなく、ある組織が学習しているその瞬間を皆様に共有するものです。
はじめに
まずお伝えしたいのは、KnowBe4 システムに対する不正アクセスはなく、データの紛失、漏洩、流出はなかったということです。
ですから、このブログは、データ漏洩の報告といった類のものではなく、ある組織が学習しているその瞬間を皆様に共有するものです。このようなインシデントは、私たちに起こりうることなら、多くの皆様においても起こりうる可能性があります。しかし、このようなことが起きてはなりません。私たちはお客様からのよくあるご質問と回答を用意いたしました。こちらをご覧ください。 更新7/25/2024。
経緯:
KnowBe4は社内のIT AIチームでソフトウェアエンジニアを必要としていました。求人広告を掲載し、履歴書を受け取り、面接を実施し、身元調査を行い、採用しました。Macワークステーションを送付したところ、受領された直後からマルウェアのロードが開始されました。
KnowBe4の人事チームは、ビデオ会議による面接を4回実施し、応募書類に添付されていた写真と応募者が一致していることを確認しました。さらに、身元調査や、その他の標準的な採用前の照合を実施しましたが、盗まれたIDが使用されていたために問題はありませんでした。このIDは米国在住の実在の人物のものでした。写真はAIによって加工されたものでした。
EDRソフトウェアが異常を検知し、KnowBe4のセキュリティ・オペレーション・センター(SOC)にアラートを発しました。SOCは新入社員に電話をかけ、何か手伝えることはあるかを尋ねました。その時点から、急に事態が怪しくなってきました。ここから、KnowBe4は、世界的なサイバーセキュリティのエキスパートであるMandiant社の友人やFBIと連携して、収集したデータを共有し、最初の調査結果の裏取りをしました。この結果、この人物は北朝鮮の偽IT労働者だったことが判明しました。ご覧の写真は、ストックフォト(下の写真)を元にAIで加工されたものです。
なお、このインシデントは現在FBIが捜査中であるため、以下の内容は一部公開を控えています。
概要:
本レポートは、プリンシパルソフトウェアエンジニアとして採用された従業員ID: XXXXの調査を対象としています。2024年7月15日、本ユーザーアカウントで一連の不審な行動が検出されました。SOCチームのアクティビティ評価に基づき、検出された一連の不審な行動はユーザーによる意図的なものである可能性があり、インサイダー脅威/国家行為者である可能性が疑われました。初期調査とホストの封じ込めの後、この新入社員に対してより詳細な調査が行われました。
2024年7月15日午後9時55分(米国東部標準時)より、一連の不審な行動が検出されました。これらに関するアラートを受けて、KnowBe4のSOCチームは本ユーザーに連絡を取り、異常なアクティビティと考えられる原因について問い合わせました。XXXXは、SOCに対し、速度の問題をトラブルシューティングするためにルーターのガイドの手順に従っていたが、それが侵害を引き起こした可能性があると回答してきました。
この攻撃者は、セッション履歴ファイルの操作、有害と思われるファイルの転送、不正なソフトウェアの実行など、さまざまなアクションを実行していました。 また、raspberry piを使ってマルウェアをダウンロードしていました。このあと。SOCは電話をかけることも含めて、XXXXから詳細を聞き出そうしました。XXXXは電話に出らないと述べ、その後応答しなくなりました。
米国東部標準時で午後10時20分頃、SOCがXXXXの端末を封じ込めるために隔離しました。
この犯行の仕組みは、偽の労働者が自分のワークステーションを「ITミュール・ラップトップ・ファーム」である住所に送るようにさせるというものでした。そして、実際に物理的にいる場所(北朝鮮や国境を越えた中国)からVPNに入り、アメリカの日中に働いているかのように現地の夜に働いています。この詐欺行為は、彼らが実際に仕事をし、高い報酬を得ていて、違法なプログラムの資金源として北朝鮮に多額の資金を提供するというものです。この重大なリスクについては、言うまでもないでしょう。
新入社員が入社したとき、まずは、本番システムにアクセスできないよう、高度に制限された領域に置くことは、賢明です。KnowBe4はうまくコントロールできました。しかし、それは学びであり、皆様にこの学びを共有したく思っています。
今回のようなことを防ぐためのヒント
- リモートから利用するデバイスをスキャンして、それらが遠隔操作されていないことを確認する
- 従業員がいるべき場所に物理的にいることを詳細にチェックして確認する
- 履歴書を詳細に確認して経歴の矛盾を見つけ出す
- ビデオカメラをオンにして、実際に行っている仕事について質問する
- ノートパソコンの発送先住所が居住地/勤務地と異なるのは危険信号である
推奨される改善点
- 採用前のバックグラウンドチェックを強化します。今回は不十分で使用されている名前に一貫性がありませんでした。
- 推薦者が適切に確認されていない可能性があります。Eメールでの紹介だけで済まさないようにする必要があります。
- システムへの継続的なアクセスが試みられていないかの監視を強化します。
- アクセス制御と認証プロセスを見直し、強化する必要があります。
- ソーシャルエンジニアリングの手口にフォーカスした、従業員向けのセキュリ ティ意識向上トレーニングを実施します。
何に気をつけるべきか:
- VOIP番号の使用や、提供された連絡先情報に関する少ないデジタルフットプリント
- 異なる情報源において、住所や生年月日が一致していない
- 個人情報(配偶者の有無、不在時の緊急時連絡先など)に矛盾がある
- 社内システムへアクセスするためのVPNやVMに高度な設定がある
- マルウェアの実行とその後の隠蔽工作の試みがある
人事部門への警告事項:
内部侵入者は、信憑性のある偽装IDを作成し、雇用および身元調査プロセスの弱点を利用し、組織のシステム内に足がかりを築こうとする高度な技術を利用しています。
これは、豊富なリソースをもち、組織化された、国家が支援する大規模な犯罪組織によるものです。このインシデントは、持続的標的型攻撃(APT)から守るためには、採用におけるより詳細な審査プロセス、継続的なセキュリティ監視、そして人事部門、IT部門、セキュリティチーム間の連携強化の必要性を浮き彫りにしました。
左がオリジナルのストック写真です。右は人事部に提出されたAIで偽装された写真(ディープフェイク)です。
参考資料(英文):
Google:Assessed Cyber Structure and Alignments of North Korea in 2023
Mandiant Podcast on Spotify: The North Korean IT Workers
Mandiant: Blog
Brian Krebs: LinkedInの投稿.
原典:Stu Sjouwerman著 2024年7月23日発信 https://blog.knowbe4.com/how-a-north-korean-fake-it-worker-tried-to-infiltrate-us