Amazonは、米国拠点のシステム管理者を装っていた北朝鮮のなりすましを発見しました。
この発見は従来の身元調査によるものではなく、作業者のタイピングの微妙なタイミングを分析することで明らかになりました。
Bloombergの報道によると、Amazon のセキュリティ専門家は、不審な「キーストローク入力遅延」を理由に当該従業員を警戒対象としてマークしました。
米国内の正当なリモートワーカーであれば、タイピングによるデータは通常、数十ミリ秒以内に同社ネットワークへ到達します。
しかし、この人物の接続では110ミリ秒を超える遅延が確認されました。
この不一致が、より深い調査の引き金となりました。Amazonのセキュリティチームは、「米国のリモートワーカー」のノートPCが、実際には別の場所から遠隔操作されていると判断しました。
コンピューター本体は正当性を装うためにアリゾナ州に物理的に置かれていましたが、操作していた人物は地球の反対側にいました。
詐欺の仕組み
Tomshardwareによると、Amazonの最高セキュリティ責任者(CSO)であるスティーブン・シュミット氏は、これは決して孤立した事案ではないと明かしました。
2024年4月以降、このテック大手は北朝鮮のIT労働者による侵入の試みを1,800件以上阻止してきました。
こうした攻撃の頻度は加速しており、Amazonは社内への侵入を試みる件数が前四半期比で27%増加したと記録しています。
シュミット氏は「もしDPRKの労働者を探していなければ、見つけられなかっただろう」と述べ、こうしたなりすましを捕まえるには能動的な探索が不可欠だと強調しました。
これらの手口には、米国内で運用される「ラップトップ・ファーム」が関与することがよくあります。
この具体的なケースでは、アリゾナ州の女性が、 North Koreanの関係者が米国のIPアドレス経由でトラフィックを迂回できるようにするハードウェアを設置・提供し、詐欺に加担していたことが判明しました。彼女は今年初めに禁錮刑を言い渡されました。
こうした侵入の目的は通常2つあります。北朝鮮政権(DPRK)の資金源を生み出すこと、そして潜在的に諜報活動や破壊工作を行うことです。
今回の摘発ではキーストローク追跡のような高度なテレメトリーが鍵となりましたが、シュミット氏は企業が監視すべき他の「ローテク」な危険信号にも言及しました。
これには、米国の慣用句の不器用な使用や、会話中に英語の冠詞を誤って使うことなどが含まれます。
しかし本件が示すとおり、国家支援による企業への侵入に対する最も有効な防御策は、堅牢なセキュリティソフトウェアと継続的な監視です。
翻訳元: https://gbhackers.com/amazon-identified-north-korean-eystroke-activity/
