セキュリティ運用

他人になりすます北朝鮮の応募者を検知: CISO プレイブック

北朝鮮の攻撃者が貴社に応募していたり、あるいは既に採用されていたりするかもしれません。そのリスクを検知し回避するためのツールキットを共有します。
作成者 , , , , , ,
Security Operations CISO North Korea セキュリティオペレーション ツールキット プレイブック 北朝鮮

** 本記事は、Detecting fraudulent North Korean hires: A CISO playbook の翻訳です。最新の情報は英語記事をご覧ください。**

北朝鮮の「労働者」スキームは、世界的脅威となっています。当初は米国のテクノロジー企業がこのスキームの主な標的でしたが、今や金融、医療、政府機関など他の地域や業界にも広がっています。リモートワーカーを雇用するすべての企業がリスクに晒されています。リモートワーク中心のテクノロジー企業であるソフォスでさえ、IT 労働者を装った北朝鮮の国家支援型工作員に狙われてきました。

リスクの評価

攻撃者は、高給かつ完全リモートの職を狙っています。主な目的は、北朝鮮政府の資金源となる給与を得ることです。彼らは通常、ソフトウェアエンジニアリング、Web 開発、AI/機械学習、データサイエンス、サイバーセキュリティの求人に応募しますが、他の職種にも手を広げています。

こうした攻撃者に侵入された組織には、多くのリスクがあります。まず、北朝鮮の労働者を雇用することは、制裁違反の可能性があります。さらに、攻撃者は、不正アクセスや機密データの窃取といった従来型のインサイダー脅威活動を行う可能性があります。また、なりすまし労働者は、特に解雇された後などにデータを公開すると脅して組織を恐喝/a>することがあります。

組織の規模は、このスキームの標的となるかどうかとは関係がないようです。ソフォスが確認しているだけでも、請負業者や臨時スタッフを探す個人事業主のような小さな組織から、Fortune 500 に入る大企業までもが標的になっています。大企業では、人材紹介会社を介して採用されることが多く、入社前の身元確認が厳格でない場合があります。

ソフォスが提供する対策

私たちは、この脅威の解決に向けて、部門の垣根を超えた取り組みを強化してきました。このプロセスを通じて、組織が利用できる、防御のための情報を数多く発見しました。しかし、これらの情報を実行可能な一連の対策としてまとめるには、かなりの労力が必要でした。多くの場合、防御側が「すべきこと」は明白です。本当の課題は、「どのように実行するか」にあります。

対策を導入した経験のある人なら誰でも、紙上では簡単に見えることが、複雑な設計上の課題へと変貌するかを知っています。特に、拡張性と実用性を備えた持続可能な解決策を目指す場合にはなおさらです。私たちは、この脅威に対処する他の組織を支援するため、プレイブックを公開することとしました。今回の資料を作成するにあたっては、汎用性よりも具体的な内容にすることを優先しました。これらの対策は、ベストプラクティス、ソフォス独自のプロセス、および北朝鮮の攻撃者が使用する戦術、手法、手順 (TTP) を監視するセキュリティ研究者からの脅威インテリジェンスに基づいています。

プレイブックにはツールキットが含まれています。ツールキットの内容は、2 つのバージョン (汎用版とプロジェクトマネージャー向け版) の対策マトリックス、実装ガイド、トレーニング用スライドです。対策マトリックスは、従業員の採用段階から採用後までを網羅する 8 つのカテゴリに分割されています。

  • 人事および採用プロセスの管理
  • 面接および審査
  • 身元情報の検証
  • 口座情報、給与計算、および財務
  • セキュリティおよび監視
  • サードパーティおよび人材派遣
  • トレーニング
  • 脅威ハンティング

このマトリックスには、技術的な対策とプロセスへの対策の両方がリストアップされています。他人になりすました北朝鮮労働者の回避と排除は、単なるテクノロジーの問題ではないからです。これらの対策には、人事、IT、法務、財務、サイバーセキュリティなどの社内チームだけでなく、外部の請負業者との連携が必要です。「プロジェクトマネージャー向け」バージョンには、対策の状況や担当者を記録したピボットテーブルを作成するためのワークシートが追加されています。これらのワークシートには、凡例としてサンプルデータが事前に入力されています。

これらの対策の一部はすべての組織に当てはまらない可能性がありますが、私たちはこのツールキットをリソースとして提供します。自社の環境や想定される脅威に合わせて推奨事項を調整することを推奨します。

今すぐツールキットにアクセス

著者について

Ross McKerchar is the CISO of Sophos. Ross has a BSc in Computer Science from Edinburgh University and joined Sophos in 2007. During his years at Sophos, Ross established and built Sophos’ cybersecurity program through periods of high company growth, including multiple acquisitions and an IPO on the LSE.

At Sophos, the CISO team runs all aspect of Sophos' own security including Security Architecture, Trust and Compliance, Product Security, Red Teaming and Security Operations. Sitting in the Sophos technology group alongside Sophos Labs and our customer-facing MDR team, we are part of Sophos X-Ops joint task force.

Out of work Ross has a passion for the outdoors and, when he’s not spending time with his young family, loves to travel around the world rock climbing, trail running or surfing.

Rafe Pilling
著者について

Rafe Pilling is a Director of Threat Intelligence in the Sophos Counter Threat Unit (CTU). He leads global threat intelligence production within the CTU, where he oversees all-source analysis focused on advanced cybercriminal and state-sponsored threats. This threat intelligence directly informs and supports organizations worldwide in strengthening security operations, guiding incident response, and shaping strategic cyber-risk decisions.

Sarah Kern
著者について

Sarah Kern is a security researcher, specializing in North Korean and emerging threats, in the Sophos Counter Threat Unit (CTU). With deep expertise in state-sponsored cyber adversaries, Sarah plays a critical role in identifying, analyzing, and mitigating sophisticated threats originating from North Korea and other advanced persistent threat groups.

著者について

Angela Gunn is a senior threat researcher in Sophos X-Ops. As a journalist and columnist for two decades, her outlets included USA Today, PC Magazine, Computerworld, and Yahoo Internet Life. Since morphing into a full-time technologist, she has focused on incident response, privacy, threat modeling, GRC, OSINT, and security training at companies including Microsoft, HPE, BAE AI, and SilverSky.

著者について

Jane Adams is a Principal Threat Researcher at Sophos. Before joining Sophos, she worked in security research at Secureworks, following 20+ years as a journalist and PR in the fintech and cards sectors.

著者について

Mindi McDowell is a Senior Threat Researcher in Sophos X-Ops. She holds a master's degree in professional writing from Carnegie Mellon University and began her cybersecurity career at the CERT Coordination Center, based at Carnegie Mellon University's Software Engineering Institute. She later joined Secureworks, where she was a member of the Counter Threat Unit (CTU).

Ryan Westman
著者について

Ryan Westman is a Senior Manager of Threat Research at Sophos. With over a decade of experience in cybersecurity and national security, Ryan specializes in threat intelligence and operations. He has led high-performing teams across government, Big Four consulting, and the MDR space. Ryan has provided expert commentary to leading media outlets and spoken at major national and international conferences, including DEFCON, RMISC, Sleuthcon, ILTACon, and Evanta CISO events. He holds multiple degrees and industry certifications (GCTI, GCFA, GSLC) and is passionate about protecting organizations from foreign and domestic cyber threats.

関連記事を読む