求人、人材募集をされている企業や団体は特にご注意ください。サイバー犯罪者は、企業ネットワークに悪意のあるプログラムを潜り込ませる新たな手口を取り始めました。カナダのセキュリティ企業であるeSentireの研究者は、企業の求人への応募に見せかけ、応募の時に提出する履歴書に強力なバックドア「More_eggs」を送り込む悪意のあるフィッシングキャンペーンを発見しました。
このサイバー攻撃者は履歴書の参照という誰もが行う人材の採用プロセスの一つを利用し、深刻な影響を及ぼす攻撃を仕掛けています。調査によると、サイバー攻撃者はLinkedInの求人情報を狙い、採用担当者を候補者の履歴書が掲載されているように見せかけた偽のWebサイトに誘導しています。しかし、これらの「履歴書」をダウンロードしても、候補者を見つけることはできず、マルウェアに感染します。
eSentireは、5月に工業関連のサービスを提供している企業を標的としたこの攻撃を特定しました。サイバー攻撃者は応募者になりすまし、採用担当者を騙して攻撃のためのサイトに誘導し、悪意のあるWindowsショートカットファイルを使用して「More_eggs」マルウェアを秘密裏に展開しました。
More_eggsは、機密データの詐取、別のペイロードの配信、サイバー攻撃者による完全なリモートアクセスを可能にする悪意のあるモジュラーバックドアです。これは、Golden Chickensなどの犯罪グループが運営している「サービスとしてのマルウェア」の一部で使用されており、サービスを利用する犯罪者に強力な攻撃ツールを提供しています。
これらのサイバー攻撃者は、感染させる確率を高めるソーシャルエンジニアリングに精通しています。過去のMore_eggsのキャンペーンでは、LinkedInに偽の求人情報を掲載し、応募してくる人を騙してマルウェアをダウンロードさせています。応募者の注意を募集要項に惹きつけてマルウェアに感染させるあたりは、人の心理の隙をつく術をよく理解していると言わざるを得ません。
感染経路を知られないように、悪意のある履歴書をダウンロードさせるサイトは、一定時間が経過すると無害なHTMLコードに切り替わるように設計されています。攻撃した痕跡が無くなってしまうため、被害者は気づくことができません。これは、標的の企業のネットワークで可能な限り長期間マルウェアが検出されないようにするための手法です。
このキャンペーンは、フィッシングやソーシャルエンジニアリングの脅威を阻止するためには、技術職だけでなく、人事部門を含む、全ての職員を対象にセキュリティ意識向上トレーニングを実施する必要があることを明確に示しています。不正なファイルを1回クリックするだけで、組織全体が大きな危険にさらされる場合もあります。
採用担当者は、応募者やその履歴書、特に安全ではないWebサイトやメールの連絡先から送られてきた履歴書については、常に細心の注意を払って取り扱う必要があります。何か不審な点を感じたら、履歴書のファイルをダウンロードする前に立ち止まってスキャンしてください。企業のセキュリティポリシーとベストプラクティスで、採用担当チームが候補者の資料を扱う方法を規定しておく必要があります。
このような卑劣な手口に警戒できるように従業員を教育することが、優秀な人材を安全に採用できるか、悪意のあるコードを操るサイバー攻撃者を知らずうちに企業ネットワークに侵入させてしまうかの分岐点になる可能性があります。履歴書を悪用する脅威から企業を守るために、今すぐ自社のセキュリティ意識向上トレーニングを強化してください。KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの形成につなげています。
詳細については、Hacker Newsの全文を参照してください。
原典:Stu Sjouwerman著 2024年6月11日発信 https://blog.knowbe4.com/sinister-moreeggs-malware-targeting-hiring-managers