2024年7月23日、私はKnowBe4が、盗まれた米国市民の身分証情報を使用したよく訓練された北朝鮮のIT労働者を不注意にも雇ってしまった件についてブログ記事を書きました。彼は何度もビデオ面接に参加し、一般的に行われている身元調査プロセスを掻い潜りました。ブログを書いた目的は、組織としての学習したことを共有し、皆さんがこのような目に遭わないようにすることです。この話は口コミで広まりましたが、それはまさに私が望んでいたことです。私たちは恥を晒したのでしょうか?はい、その通りです。ですが、私はその教訓を皆さんに共有することにしました。それが、私が 2010 年に KnowBe4 を始めた理由です。2024 年、私たちの使命はこれまで以上に重要になりました。
KnowBe4 の偽 IT ワーカー ブログについての よくあるご質問(FAQ)
Q1:この北朝鮮の IT 労働者の事件で KnowBe4 のシステムが侵害されたのでしょうか?
いいえ。KnowBe4は侵害されていません。新入社員を採用すると、そのユーザー アカウントには、新入社員研修プロセスとトレーニングを進めるために必要な限定された権限のみが付与されます。新入社員は、新入社員トレーニングを受けるために必要な最小限のアプリにしかアクセスできません。
Q2:新入社員は何にアクセスできますか?
メールの受信トレイ、Slack、Zoom などのアプリです。受け取るワークステーションはロックダウンされており、データは保存されていません。基本的には、エンドポイント セキュリティと管理ツール以外は何も入っていないラップトップです。
Q3:新入社員は顧客データにアクセスできたのでしょうか?
いいえ。この人物は、顧客データ、KnowBe4 のプライベートネットワーク、クラウド インフラストラクチャ、コード、または KnowBe4 の機密情報へのアクセスできませんでした。この人物は、基本的な通信アプリと工場で新品にプロビジョニングされたラップトップを使用していました。当社は疑わしいアクティビティを検出し、数分以内に対応して、ラップトップ全体を隔離しました。
Q4:マシン上でマルウェアは実行されたのでしょうか?
いいえ。弊社のセキュリティ・ツールによってブロックされたため、マシン上でマルウェアは実行されませんでした。ラップトップ上のすべてのプロセス、コマンド、ネットワーク接続、その他のアクティビティを漏れなく確認した結果、検出およびブロックされたもの以外に不審な動作はなかったため、これ以上の措置は必要ないという結論に達しました。
Q5:この従業員は、ワークステーション上で顧客データを漏洩させる、あるいはフィッシング訓練・プラットフォームを使用したりなど、どのようなアクセス権を持っていたのでしょうか?
ラップトップには何も提供されていませんでした。KnowBe4 のデータはすべてクラウドに保存されており、この個人のユーザーアカウントを確認したところ、自分のメール受信トレイ以外にはアクセスしていないことが判明しました。当社では、Okta を通じて KnowBe4 プラットフォームへのアクセスをプロビジョニングしています。新入社員は新入社員研修が完了するまで KnowBe4 プラットフォームへのアクセスを許可されません。この人物は新入社員研修を完了していなかったため、プラットフォームにアクセスすることはできませんでした。
Q6:ソフトウェア開発者として雇われた人が、新しいマシンにマルウェアをロードしようとするのはなぜでしょうか?
あくまで推測ですが、ロードしようとしたマルウェアはウェブ・ブラウザに保存されたデータを窃取するように作られたものであり、おそらくは彼に提供される前にこのコンピュータを使った人の残された情報を抜き取ろうとしたのかもしれません。
Q7:この悪質な人物はどのようにして採用プロセスを通過したのですか?
この人物は、国家が支援する犯罪組織が支える北朝鮮のよく訓練されたIT労働者で、盗んだ米国市民の身分証を使って、何度もビデオ面接を受け、企業が一般的に行う身元調査プロセスを掻い潜りました。
Q8:報道ではデータ漏洩の暴露のように報じられていますが、本当にそうでしょうか?
いいえ。これは「Public Service Announcement」(公共に役立つ啓発)でした。私たちは恥を晒すことなく、黙っていることもできました。しかし、私たちの使命はサイバー犯罪について世界に知ってもらうことです。このようなことが私たちに起こり得るのであれば、ほとんど誰にでも起こり得ると考えました。このブログの目的は、こうした危険について多くの組織に広く警告することにあります。
Q9: KnowBe4 は採用プロセスを変更しましたか?
変更いたしました。こうした問題を早期に発見できるよう、いくつかのプロセスで変更が行われました。一例として、米国では、新入社員のワークステーションを近くの UPS店舗にのみ発送し、受け取りには写真付き身分証明書の提示が求められます。
Q10:この特定のリスクについて詳しく知るにはどうすればよいでしょうか?
ブログ記事の最後に、今回の件についての危険性について詳しく解説をしている Mandiant のポッドキャストへのリンクを用意しました。ぜひアクセスして聞いてみてください。
この件はどのメディアで報道されたのでしょうか?
- Bleeping Computer: KnowBe4 が誤って北朝鮮のハッカーを雇用、情報窃盗攻撃に直面
- SecurityWeek: KnowBe4 が偽の北朝鮮 IT 労働者を雇用、新入社員がマルウェアを仕掛けているのを発見
- PCMag:セキュリティ会社がリモートワーカーが実は北朝鮮のハッカーであることを発見
- MSN(PCMagから配信):セキュリティ会社、リモートワーカーが実は北朝鮮のハッカーであることを発見
- CyberScoop:サイバー企業 KnowBe4 が北朝鮮から偽の IT 労働者を雇用
- SCメディア:KnowBe4が偽の北朝鮮IT労働者の標的に
- OODAループ:KnowBe4が偽の北朝鮮IT労働者を雇用、新入社員がマルウェアを仕掛けているのを発見
- サイバーセキュリティニュース: KnowBe4 が偽の北朝鮮 IT 労働者を雇用、マルウェアをインストール中に逮捕
- サイバーエクスプレス:KnowBe4 が偽の従業員を暴露:北朝鮮のハッカーがチームに採用された経緯
- CIOニュース:セキュリティ会社KnowBe4が誤って北朝鮮のハッカーを雇っていたことが判明
- 検索セキュリティ: KnowBe4 が IT 従業員を装った北朝鮮ハッカーを捕らえる
- サイバーセキュリティインサイダー:KnowBe4 が北朝鮮のインサイダー脅威の標的に
- Ars Technica:北朝鮮のハッカーが米国のセキュリティベンダーに雇われ、すぐにマルウェアをロード
原典:Stu Sjouwerman著 2024年7月25日発信 https://blog.knowbe4.com/north-korean-fake-it-worker-faq